Lo strumento, che unisce intelligenza artificiale e sicurezza informatica per analizzare il codice e suggerire correzioni, ha avviato un dibattito sul futuro della difesa digitale e sulle nuove dipendenze che sistemi di questo tipo possono creare.
[In pillole] La sintesi per chi va di fretta:
Anthropic ha presentato Claude Code Security, uno strumento basato su intelligenza artificiale per identificare vulnerabilità nel software. A differenza degli analizzatori tradizionali, il sistema usa un approccio basato sul ragionamento per scovare falle complesse. La mossa ha avviato un dibattito sui rischi e le opportunità di affidare la sicurezza informatica all'IA, pur richiedendo sempre la supervisione umana.
Che cos’è e come funziona Claude Code Security?
La promessa di Claude Code Security è quella di superare i limiti degli analizzatori di codice tradizionali. Questi ultimi, noti come strumenti di analisi statica (SAST), operano principalmente cercando schemi di codice noti per essere problematici, un po’ come un antivirus cerca le “firme” di virus conosciuti.
Sebbene utili, spesso non riescono a identificare vulnerabilità più complesse, che emergono solo dall’interazione tra diverse parti di un’applicazione o dal modo in cui i dati vengono processati e spostati al suo interno. Claude, invece, utilizza un approccio basato sul ragionamento, tentando di analizzare il codice in un modo più simile a quello di un ricercatore di sicurezza umano.
Come descritto da Anthropic stessa, il sistema è in grado di tracciare il flusso dei dati attraverso l’applicazione e di comprendere il contesto in cui operano le diverse componenti, identificando così vulnerabilità che sfuggirebbero a un’analisi basata unicamente su regole predefinite.
Una volta individuata una potenziale falla, il processo non si ferma. Questo approccio basato su modelli di machine learning va oltre le mere firme di codice
L’intelligenza artificiale avvia una fase di autoverifica, in cui riesamina le proprie scoperte tentando di provarle o smentirle, con l’obiettivo di ridurre al minimo i “falsi positivi”, ovvero le segnalazioni di problemi inesistenti che rappresentano una notevole perdita di tempo per gli sviluppatori.
A ogni vulnerabilità rilevata vengono assegnati due punteggi: uno di gravità, per indicare quanto sia pericolosa, e uno di affidabilità, che esprime la fiducia del sistema nella propria analisi. Tutto viene poi presentato in una dashboard dove un analista umano ha l’ultima parola.
Anthropic ha tenuto a sottolineare un aspetto fondamentale del processo: “nulla viene applicato senza l’approvazione umana”.
Questo significa che ogni suggerimento di correzione deve essere esaminato e approvato da una persona prima di essere implementato nel codice. Si tratta di un meccanismo di controllo pensato per mitigare i timori di un’automazione senza supervisione, ma che al tempo stesso introduce una nuova dinamica nel rapporto tra uomo e macchina.
Una scommessa basata su risultati concreti?
L’approccio di Anthropic non nasce dal nulla, ma si fonda su una serie di ricerche e test. Utilizzando una versione precedente del suo modello di intelligenza artificiale, l’azienda sostiene di aver scoperto oltre 500 vulnerabilità fino a quel momento sconosciute in basi di codice open-source ampiamente utilizzate, alcune delle quali erano sfuggite per decenni a revisioni da parte di esperti.
Questi risultati, attualmente in fase di divulgazione coordinata con i manutentori dei progetti, sono uno dei principali argomenti a sostegno dell’efficacia dello strumento. L’azienda ha inoltre affinato le capacità del modello facendolo partecipare a competizioni di sicurezza informatica e collaborando con istituti di ricerca come il Pacific Northwest National Laboratory.
La distribuzione di Claude Code Security sta avvenendo in modo graduale. L’accesso in anteprima è limitato, con una corsia preferenziale gratuita per i manutentori di progetti open-source. Questa strategia suggerisce la volontà di collaborare con le organizzazioni per perfezionare lo strumento e assicurarne un’implementazione responsabile, evitando una diffusione rapida e incontrollata.
La stessa Anthropic inquadra questa iniziativa all’interno di una più ampia dinamica competitiva: se gli aggressori utilizzano sempre più l’intelligenza artificiale per automatizzare la scoperta di vulnerabilità, i difensori devono disporre di capacità analoghe per mantenere un livello di sicurezza adeguato.
– Leggi anche: Anthropic lancia Claude Sonnet 4.6: il nuovo modello AI gratuito per tutti
È la narrazione di una “corsa agli armamenti” digitale in cui, secondo l’azienda, “i difensori che si muovono rapidamente possono trovare le stesse debolezze, correggerle e ridurre il rischio di un attacco”.
In questo contesto, Anthropic non è sola.
Anche altre grandi aziende del settore si stanno muovendo in una direzione simile. OpenAI, ad esempio, sta testando privatamente un sistema chiamato Aardvark, basato su GPT-5, con l’obiettivo di aiutare sviluppatori e team di sicurezza a trovare e risolvere vulnerabilità su larga scala, sebbene anche in questo caso sia richiesta l’approvazione umana per qualsiasi modifica.
L’ingresso di attori così importanti nel campo della sicurezza del codice segnala una tendenza chiara, ma la reazione della comunità di esperti non è stata uniformemente positiva.
Le reazioni del settore, tra convalida e preoccupazione
L’annuncio di Anthropic è stato interpretato in modi molto diversi. Da un lato, alcuni lo vedono come una convalida del fatto che i flussi di lavoro di sicurezza “nativi” per l’intelligenza artificiale, integrati direttamente negli strumenti di sviluppo, rappresentino la direzione futura del settore.
Il fatto che un’azienda con le risorse tecniche e finanziarie di Anthropic investa in questo campo è visto come un segnale di fiducia in questo approccio. Dall’altro lato, però, sono emerse preoccupazioni significative, che vanno al di là del semplice scetticismo verso una nuova tecnologia.
Zahra Timsah, amministratrice delegata di I-Genetic AI, ha sollevato un punto particolarmente interessante in un’analisi pubblicata da CSO Online. Il rischio, secondo Timsah, è che la postura di sicurezza di un’intera organizzazione finisca per dipendere non solo dal proprio codice, ma anche dal comportamento del modello di Anthropic in un dato momento.
Un’azienda come Anthropic può aggiornare i “pesi” del suo modello, modificare le sue euristiche di ragionamento o cambiare il modo in cui interpreta certi schemi di codice senza che questo attivi alcun processo di controllo interno all’azienda cliente.
“Una base di codice sicura oggi potrebbe essere valutata con un confine di vulnerabilità diverso domani, senza che tu abbia toccato una singola riga”, ha affermato Timsah.
Questo crea una dipendenza da un sistema esterno e opaco, le cui logiche interne possono cambiare in modi imprevedibili.
Altre figure del settore hanno espresso timori simili riguardo alla creazione di un unico punto di fiducia, che potrebbe trasformarsi in un unico punto di fallimento. L’idea di affidarsi a un unico fornitore per un compito così delicato come la valutazione della sicurezza introduce nuove forme di rischio operativo che i responsabili della sicurezza dovranno valutare con attenzione, soprattutto nelle organizzazioni complesse, dove la sicurezza del codice deve integrarsi con sistemi critici come un sistema ERP.
Justin Greis, CEO della società di consulenza Acceligence, ha offerto una prospettiva più moderata, sottolineando che la sicurezza del codice è solo uno dei tanti elementi di un programma di sicurezza informatica.
“Dobbiamo mantenere persone qualificate nel processo e assicurarci di usare l’IA come un acceleratore, non come un sostituto delle competenze”.
Il dibattito in corso evidenzia una transizione fondamentale. Si sta passando da un mondo in cui la sicurezza si basava su librerie di “firme” note e controllabili a uno in cui potrebbe prevalere un'”interpretazione adattiva” guidata da modelli di intelligenza artificiale.
Se da un lato questo promette un’analisi più profonda e potente, dall’altro introduce nuove incognite sulla trasparenza e il controllo.
Come ha dichiarato la stessa Anthropic, “una quota significativa del codice mondiale sarà analizzata dall’intelligenza artificiale nel prossimo futuro”. Il modo in cui il settore gestirà questa transizione, bilanciando le capacità analitiche dell’IA con le preoccupazioni sulla dipendenza e il rischio, definirà le pratiche di sicurezza informatica per gli anni a venire.
