Anthropic ha recentemente lanciato nuove funzionalità di revisione automatica della sicurezza per la sua piattaforma Claude Code, rispondendo così alla crescente preoccupazione riguardo alle vulnerabilità nel codice generate dall’intelligenza artificiale. Queste nuove caratteristiche mirano a integrare l’analisi della sicurezza direttamente nel flusso di lavoro degli sviluppatori, utilizzando strumenti che possono esaminare il codice alla ricerca di vulnerabilità e suggerire correzioni.
Con l’aumento dell’uso dell’AI nella scrittura del codice, le aziende stanno producendo software a un ritmo senza precedenti. Tuttavia, questo rapido sviluppo solleva interrogativi sulla capacità delle pratiche di sicurezza tradizionali di tenere il passo. I metodi convenzionali di revisione del codice, che si basano su ingegneri umani che esaminano manualmente il codice per individuare vulnerabilità, non sono sufficienti per affrontare l’enorme volume di codice generato dall’AI.
Per affrontare questa sfida, Anthropic ha sviluppato due strumenti complementari che sfruttano le capacità di Claude per identificare automaticamente vulnerabilità comuni, tra cui rischi di iniezione SQL, vulnerabilità di cross-site scripting, difetti di autenticazione e gestione insicura dei dati:
- Comando /security-review: Gli sviluppatori possono eseguire questo comando direttamente dal terminale per scansionare il codice prima di impegnarlo. Il sistema analizza il codice e restituisce valutazioni ad alta confidenza delle vulnerabilità con suggerimenti per le correzioni.
- Azione GitHub: Questa funzionalità attiva automaticamente revisioni di sicurezza quando gli sviluppatori inviano richieste di pull. Il sistema inserisce commenti in linea nel codice con preoccupazioni di sicurezza e raccomandazioni, garantendo che ogni modifica del codice riceva una revisione di sicurezza di base prima di raggiungere la produzione.
Anthropic ha testato questi strumenti internamente sul proprio codice, inclusa la stessa piattaforma Claude Code, fornendo una convalida pratica della loro efficacia. In un caso, gli ingegneri hanno sviluppato una funzionalità per uno strumento interno che avviava un server HTTP locale destinato solo a connessioni locali. L’Azione GitHub ha identificato una vulnerabilità di esecuzione di codice remoto sfruttabile tramite attacchi di DNS rebinding, che è stata corretta prima che il codice fosse unito.
Oltre ad affrontare le sfide su larga scala delle grandi imprese, gli strumenti potrebbero democratizzare le pratiche di sicurezza sofisticate per i team di sviluppo più piccoli che non dispongono di personale di sicurezza dedicato. Secondo Logan Graham, membro del team di sicurezza di Anthropic, questo significa che anche i team più piccoli possono spingere una quantità significativa di codice con maggiore fiducia nella sua sicurezza.
Il sistema di revisione della sicurezza funziona invocando Claude attraverso un “loop agentico” che analizza sistematicamente il codice. Claude Code utilizza chiamate a strumenti per esplorare ampie basi di codice, iniziando comprendendo le modifiche apportate in una richiesta di pull e poi esplorando proattivamente l’intera base di codice per comprendere il contesto, gli invarianti di sicurezza e i rischi potenziali.
I clienti aziendali possono personalizzare le regole di sicurezza per adattarle alle proprie politiche specifiche. Il sistema è costruito sull’architettura estensibile di Claude Code, consentendo ai team di modificare i prompt di sicurezza esistenti o creare comandi di scansione completamente nuovi attraverso semplici documenti markdown.