IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Anthropic annonce Claude Code Security, un outil autonome de détection des vulnérabilités intégré à Claude Code
Qui analyse les bases de code à la recherche de problèmes de sécurité et propose des corrections

Le , par Alex

99PARTAGES

5  0 
Anthropic annonce Claude Code Security, un outil autonome de détection des vulnérabilités intégré à Claude Code, qui analyse les bases de code à la recherche de problèmes de sécurité et propose des corrections

Anthropic vient d'annoncer Claude Code Security, un outil autonome de détection des vulnérabilités intégré à Claude Code. Il analyse les bases de code à la recherche de problèmes de sécurité et propose des corrections ciblées à examiner par des humains. Ce lancement fait suite à des rapports indiquant que des pirates, y compris des acteurs soutenus par des États, ont utilisé les modèles Anthropic pour identifier des vulnérabilités exploitables dans des bases de code nouvelles et bien entretenues.

Anthropic est une société américaine spécialisée dans l'intelligence artificielle (IA) qui développe la famille de grands modèles de langage (LLM) Claude. Anthropic fonctionne comme une société d'intérêt public qui mène des recherches et développe des IA afin d'« étudier leurs propriétés de sécurité à la pointe de la technologie » et utilise ces recherches pour déployer des modèles sûrs pour le public.

Claude Code est une interface en ligne de commande qui s'exécute sur l'ordinateur d'un utilisateur. Elle se connecte à une instance Claude hébergée sur les serveurs d'Anthropic via une API et permet à l'instance Claude d'exécuter des commandes, de lire des fichiers, d'écrire des fichiers et d'échanger des messages avec l'utilisateur. Claude peut exécuter des commandes en avant-plan ou en arrière-plan. Le comportement de Claude Code est généralement configuré via des documents Markdown sur l'ordinateur de l'utilisateur, tels que CLAUDE.md, AGENTS.md, SKILL.md, etc. En janvier 2026, certains utilisateurs le considèrent comme le meilleur assistant de codage IA.

Avec la popularité de son outil, Anthropic a introduit ce qui devait être une simple évolution d'interface en février 2026. Anthropic a mis à jour Claude Code en modifiant l'affichage des actions en cours pour masquer les noms des fichiers que l'outil lisait, écrivait ou éditait. Concrètement, la version 2.1.20 condensait la sortie de manière à ne plus afficher, par exemple, les noms des fichiers et le nombre de lignes lues, se contentant d'imprimer « Read 3 files (ctrl+o to expand) ». Les détails restent techniquement accessibles via un raccourci clavier, mais devoir invoquer manuellement ce raccourci à chaque opération rend le flux de travail fastidieux et inefficace dans la pratique.

La réaction de la communauté a été immédiate et sévère. Sur GitHub, une issue dédiée a recueilli des dizaines de commentaires d'ingénieurs exprimant leur frustration, allant bien au-delà du simple mécontentement cosmétique. Les développeurs ont de multiples raisons légitimes de vouloir voir les noms des fichiers : pour des raisons de sécurité, pour savoir immédiatement si Claude tire son contexte des mauvais fichiers, et pour effectuer un audit facile de l'activité passée en faisant défiler la conversation. Cet incident révèle une tension profonde dans la conception des outils d'IA agentique : jusqu'où peut-on abstraire les actions d'une machine qui touche à votre code de production ?

Pour renforcer la sécurité dans Claude Code, Anthropic vient d'annoncer Claude Code Security, un outil autonome de détection des vulnérabilités intégré à Claude Code. Il analyse les bases de code à la recherche de problèmes de sécurité et propose des corrections ciblées à examiner par des humains. Ce lancement fait suite à des rapports indiquant que des pirates, y compris des acteurs soutenus par des États, ont utilisé les modèles Anthropic pour identifier des vulnérabilités exploitables dans des bases de code nouvelles et bien entretenues.


Anthropic affirme que cet outil se distingue des produits de sécurité conventionnels en raisonnant à travers le code à la manière d'un chercheur en sécurité, plutôt qu'en s'appuyant sur une comparaison de modèles basée sur des règles par rapport à des signatures de vulnérabilités connues. Les résultats comprennent des évaluations de gravité pour la hiérarchisation et des scores de confiance, avec des vérifications automatisées destinées à réduire les faux positifs avant que les problèmes n'apparaissent dans un tableau de bord destiné aux équipes de sécurité.

Claude Code Security ne modifie pas directement le code et est actuellement proposé en avant-première limitée à des fins de recherche pour les clients Enterprise et Team, avec un accès accéléré gratuit pour les responsables de maintenance open source éligibles. Cette annonce semble également avoir pesé sur les actions liées à la cybersécurité, des médias tels que SiliconANGLE rapportant que CrowdStrike a clôturé en baisse de près de 8 % et Cloudflare de plus de 8 % lors de la même séance de bourse.

Comment fonctionne Claude Code Security

L'analyse statique, une forme largement déployée de test de sécurité automatisé, est généralement basée sur des règles, ce qui signifie qu'elle compare le code à des modèles de vulnérabilité connus. Cela permet de détecter les problèmes courants, tels que les mots de passe exposés ou le chiffrement obsolète, mais passe souvent à côté de vulnérabilités plus complexes, telles que les failles dans la logique métier ou les contrôles d'accès défaillants.

Plutôt que de rechercher des modèles connus, Claude Code Security lit et analyse votre code comme le ferait un chercheur en sécurité humain : il comprend comment les composants interagissent, suit le cheminement des données dans votre application et détecte les vulnérabilités complexes que les outils basés sur des règles ne détectent pas.

Chaque résultat passe par un processus de vérification en plusieurs étapes avant d'être transmis à un analyste. Claude réexamine chaque résultat, en essayant de prouver ou de réfuter ses propres conclusions et de filtrer les faux positifs. Les résultats sont également classés par niveau de gravité afin que les équipes puissent se concentrer en priorité sur les corrections les plus importantes.

Les résultats validés apparaissent dans le tableau de bord de Claude Code Security, où les équipes peuvent les examiner, inspecter les correctifs suggérés et approuver les corrections. Comme ces problèmes comportent souvent des nuances difficiles à évaluer à partir du seul code source, Claude attribue également un niveau de confiance à chaque résultat. Rien n'est appliqué sans l'accord d'un humain : Claude Code Security identifie les problèmes et suggère des solutions, mais ce sont toujours les développeurs qui prennent la décision finale.


Voici comment l'équipe d'Anthropic a utilisé Claude pour la cybersécurité :

Claude Code Security s'appuie sur plus d'un an de recherche sur les capacités de Claude en matière de cybersécurité. Notre équipe Frontier Red Team a systématiquement testé ces capacités : elle a inscrit Claude à des concours Capture-the-Flag, s'est associée au Pacific Northwest National Laboratory pour expérimenter l'utilisation de l'IA dans la défense des infrastructures critiques et a perfectionné la capacité de Claude à trouver et à corriger les vulnérabilités réelles dans le code.

Les capacités de cyberdéfense de Claude se sont ainsi considérablement améliorées. À l'aide de Claude Opus 4.6, sorti au début du mois, notre équipe a découvert plus de 500 vulnérabilités dans des bases de code open source en production, des bogues qui étaient passés inaperçus pendant des décennies, malgré des années d'examen par des experts. Nous travaillons actuellement avec les responsables de la maintenance pour trier et divulguer ces informations de manière responsable, et nous prévoyons d'étendre notre travail de sécurité à la communauté open source.

Nous utilisons également Claude pour examiner notre propre code, et nous avons constaté qu'il était extrêmement efficace pour sécuriser les systèmes d'Anthropic. Nous avons créé Claude Code Security afin de rendre ces mêmes capacités défensives plus largement accessibles. Et comme il est basé sur Claude Code, les équipes peuvent examiner les résultats et itérer les corrections dans les outils qu'elles utilisent déjà.
Cette annonce dans un contexte où les capacités agentiques de l'IA représentent une menace supplémentaire à la cybersécurité. Dario Amodei, cofondateur et PDG d'Anthropic, a récemment déclaré que le monde s'approchait d'un moment de transformation où les systèmes d'IA dépasseraient la plupart des humains dans la plupart des tâches cognitives, créant des opportunités sans précédent pour lutter contre la maladie et la pauvreté, mais entraînant également de sérieux risques d'abus et de perturbations économiques.

« Il ne faudra que quelques années pour que les modèles d'IA surpassent les capacités cognitives de la plupart des humains dans la plupart des domaines. Nous nous rapprochons de plus en plus de ce que j'ai appelé un pays de génies dans un centre de données, un ensemble d'agents IA qui sont plus compétents que la plupart des humains dans la plupart des domaines et qui peuvent se coordonner à une vitesse surhumaine », a-t-il déclaré.

Si ces déclarations de Dario Amodei s'accomplissent, les pirates utiliseront l'IA pour trouver plus rapidement que jamais les failles exploitables. Dans le même cas, les défenseurs qui agissent rapidement peuvent trouver ces mêmes failles, les corriger et réduire le risque d'attaque. Anthropic affirme que Claude Code Security est un pas vers un objectif de bases de code plus sécurisées et d'un niveau de sécurité plus élevé dans l'ensemble du secteur.

Source : Anthropic

Et vous ?

Pensez-vous que cette annonce est crédible ou pertinente ?
Quel est votre avis sur le sujet ?

Voir aussi :

Anthropic interdit officiellement l'utilisation de l'authentification par abonnement à Claude Code à des fins tierces, y compris OpenClaw. Les développeurs doivent désormais utiliser des clés API à la place

Les craintes liées à la sécurité d'OpenClaw poussent Meta et d'autres entreprises d'IA à en restreindre l'utilisation. L'outil est réputé pour ses capacités exceptionnelles et son extrême imprévisibilité

Le code généré par l'IA contient plus de bogues et d'erreurs que celui produit par l'homme : les demandes d'extraction effectuées à l'aide d'outils d'IA comportaient en moyenne 10,83 problèmes contre 6,45
Vous avez lu gratuitement 2 825 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !