Anthropic lancia Claude Code Security, scuotendo il mercato dei titoli legati alla sicurezza informatica

Claude Code Security può sostituire gli scanner umani?

L'ultima aggiunta di Anthropic alla sua piattaforma Claude Code arriva con una semplice proposta: lasciare che l'AI legga l'intero codice come un ricercatore esperto di sicurezza, per poi segnalare ciò che altri non riescono a individuare. Secondo il comunicato dell'azienda, Claude Code Security esegue la scansione alla ricerca di vulnerabilità, suggerisce patch e presenta i risultati con valutazioni di gravità e affidabilità, lasciando comunque agli esseri umani il ruolo di approvazione.

A differenza dei tradizionali strumenti di test di sicurezza delle applicazioni statiche che si basano su modelli predefiniti, Claude Code Security si affida a modelli linguistici avanzati (LLM), tra cui Claude Opus 4.6, per ragionare sul flusso dei dati e sull'interazione dei componenti. Ciò significa che mira a individuare i difetti della logica aziendale e i controlli di accesso non funzionanti che sfuggono agli scanner basati su regole.

Durante i test interni, Anthropic ha affermato che Opus 4.6 ha identificato più di 500 vulnerabilità ad alta gravità nei codici open source di produzione, alcune delle quali erano passate inosservate per anni. Questi risultati sono attualmente sottoposti a triage e divulgazione responsabile, il che suggerisce che le ambizioni dello strumento vanno oltre le semplici correzioni cosmetiche.

Il flusso di lavoro è strutturato in modo da garantire la sicurezza. Dopo una scansione completa, il sistema esegue un'autoverifica, cercando di confermare o smentire i propri risultati prima di presentarli in un dashboard con le patch suggerite. Qui non esiste un "push to prod" automatizzato: ogni correzione richiede l'approvazione umana, almeno per ora.

Anthropic ha sviluppato questa funzionalità in più di un anno attraverso il suo Frontier Red Team e l'ha testata in competizioni di sicurezza informatica come gli eventi Capture the Flag, oltre a collaborazioni con istituzioni come il Pacific Northwest National Laboratory. Lo strumento è attualmente in anteprima di ricerca limitata per i clienti Enterprise e Team, con accesso accelerato per i manutentori open source.

Wall Street, tuttavia, non ha aspettato i dettagli. Le azioni delle principali società di sicurezza informatica hanno subito un forte calo dopo l'annuncio, con società come Crowdstrike e Cloudflare che hanno registrato un calo dell'8% circa, mentre altre come Zscaler, Okta e Gitlab hanno subito perdite. Il più ampio Global X Cybersecurity ETF ha registrato un calo del 5% circa, riflettendo il malessere dell'intero settore.

Alcuni analisti hanno definito la reazione come guidata dai titoli dei giornali piuttosto che strutturale, descrivendola come un "mini-flash crash" alimentato dai timori che l'IA possa mercificare il rilevamento delle vulnerabilità. Altri sostengono che la vendita massiccia segnali preoccupazioni più profonde su come l'IA possa rimodellare l'economia della sicurezza del software.

Le discussioni online, in particolare su X, hanno amplificato le ansie relative al lavoro. Alcuni post avvertono che gli scanner basati sull'intelligenza artificiale potrebbero "spazzare via" i ruoli nella valutazione e nella correzione delle vulnerabilità, in particolare nel triage dei bug di livello base. In un settore già alle prese con l'automazione, il momento sembra particolarmente delicato.

Tuttavia, molti esperti offrono una visione più lucida. Logan Graham di Anthropic ha affermato: "Penso che se sei un sostenitore dell'AGI, dovresti preoccuparti molto della sicurezza informatica. L'infrastruttura cyberfisica è il modo in cui l'AGI 'raggiunge il mondo'. Ecco perché vogliamo che Claude la protegga". Graham ha aggiunto che Anthropic stava "assumendo personale per la sicurezza informatica". Molti altri hanno affermato che la nuova funzionalità di Claude è stata progettata per aiutare i team oberati di lavoro a gestire i ritardi piuttosto che sostituirli. Fondamentalmente, Claude Code Security non è in grado di eseguire test di runtime, inviare richieste API o convalidare l'exploitabilità in ambienti live, il che significa che i test dinamici e la supervisione umana rimangono essenziali. Il contesto più ampio è difficile da ignorare. Poiché l'IA accelera sia la generazione di codice che gli attacchi informatici, i difensori devono affrontare avversari in grado di sondare i sistemi alla velocità delle macchine.

Anthropic definisce il suo strumento come un equalizzatore difensivo, che alza il livello di base per uno sviluppo sicuro pur riconoscendo la natura duale dell'IA. In questo senso, Claude Code Security potrebbe rappresentare meno un generatore di licenziamenti e più un riscrittore di ruoli. I professionisti della sicurezza potrebbero ritrovarsi a dedicare meno tempo a setacciare avvisi ripetitivi e più tempo a progettare architetture, convalidare exploit e guidare flussi di lavoro assistiti dall'IA.

Se il tremore del mercato si rivelerà temporaneo o segnerà un cambiamento strutturale dipenderà dall'adozione, dall'integrazione con gli stack esistenti e da tutti i tipi di approcci all'IA nelle infrastrutture critiche. Per ora, Claude Code Security ha fatto qualcosa di raro nella sicurezza informatica: ha posto la revisione del codice al centro di un dibattito finanziario e lavorativo.

FAQ ❓

• Cos'è Claude Code Security? È uno strumento basato sull'intelligenza artificiale di Anthropic che esegue la scansione di interi codici alla ricerca di vulnerabilità e suggerisce patch revisionate da esseri umani.
• Claude Code Security sostituisce i team di sicurezza umani? No, richiede l'approvazione umana per le correzioni e non può eseguire test di runtime, posizionandosi come uno strumento di assistenza piuttosto che come un sostituto.
• Perché le azioni della sicurezza informatica sono diminuite dopo il lancio? Gli investitori hanno reagito al timore che la scansione delle vulnerabilità basata sull'intelligenza artificiale potesse sconvolgere i modelli di business tradizionali dei software di sicurezza.
• Chi può accedere a Claude Code Security in questo momento? È in anteprima di ricerca limitata per i clienti Enterprise e Team, con accesso accelerato per i manutentori open source.