Anthropic lanza escaneo de seguridad integrado para Claude

**Introducción contextual**

En el contexto actual de la ciberseguridad, donde las amenazas informáticas se multiplican y la complejidad de las aplicaciones crece exponencialmente, la necesidad de contar con herramientas que identifiquen vulnerabilidades en el software se vuelve crucial. Anthropic, una empresa emergente en el campo de la inteligencia artificial, ha presentado una nueva característica de seguridad para su herramienta de desarrollo de código, Claude Code. Esta característica no solo busca acelerar el proceso de desarrollo de software, sino también mitigar los riesgos asociados a la creación de aplicaciones y sitios web, que a menudo son blanco de ataques maliciosos. La importancia de esta innovación radica en su potencial para transformar la forma en que los desarrolladores gestionan la seguridad, afectando tanto a pequeñas empresas como a grandes corporaciones que dependen de software seguro y eficiente.

**Detalles técnicos**

Claude Code Security está diseñado para escanear bases de código en busca de vulnerabilidades, sugiriendo soluciones de parcheo adecuadas. La herramienta, que inicialmente estará disponible para un número limitado de clientes empresariales y de equipos, ha pasado por más de un año de pruebas exhaustivas por parte de un equipo interno de seguridad, participando en competiciones de Capture the Flag en ciberseguridad y colaborando con el Laboratorio Nacional del Noroeste del Pacífico para mejorar la precisión de sus características de escaneo.

La funcionalidad de esta herramienta se basa en modelos de lenguaje de gran tamaño, que han mostrado un progreso significativo en tareas de generación de código y ciberseguridad en los últimos dos años. Estos modelos no solo reducen la barrera técnica para la creación de nuevas aplicaciones, sino que también aceleran el proceso de desarrollo. Anthropic estima que un porcentaje considerable del código que se genera a nivel mundial será escaneado por inteligencia artificial en un futuro cercano, dado su creciente efectividad para detectar errores y problemas de seguridad que han permanecido ocultos durante mucho tiempo.

Sin embargo, es importante señalar que estas mismas capacidades pueden ser aprovechadas por actores maliciosos para escanear rápidamente el entorno informático de una víctima y localizar debilidades que puedan ser explotadas. Anthropic confía en que, a medida que el “vibe coding” – un término que hace referencia a la codificación impulsada por la intuición y la creatividad en lugar de seguir estrictamente las reglas tradicionales – se vuelva más común, la demanda de escaneo automatizado de vulnerabilidades superará la necesidad de revisiones de seguridad manuales.

**Impacto y consecuencias**

La introducción de un escáner de vulnerabilidades integrado como Claude Code Security podría reducir significativamente la cantidad de vulnerabilidades que a menudo se introducen en el software. La intención es simplificar el proceso de revisión de seguridad a unos pocos clics, donde el usuario aprueba cualquier parche o cambio antes de que se implemente. Este enfoque no solo promete eficiencias en el tiempo de desarrollo, sino que también podría impactar en la seguridad general del software, permitiendo a los desarrolladores enfocarse en la creación de soluciones innovadoras sin comprometer la integridad de sus productos.

Anthropic afirma que su herramienta “lee y razona sobre tu código como lo haría un investigador humano”, lo que implica un entendimiento profundo de cómo interactúan los diferentes componentes del software, siguiendo el flujo de datos y detectando errores críticos que podrían pasarse por alto con análisis estáticos tradicionales. Cada hallazgo pasa por un proceso de verificación en múltiples etapas antes de llegar a un analista, lo que subraya un enfoque metódico y riguroso en la detección de vulnerabilidades.

A pesar de los avances en las capacidades de ciberseguridad, los investigadores de amenazas han señalado que estas herramientas tienden a ser más efectivas en la identificación de errores de bajo impacto. Esto resalta la necesidad de contar con operadores humanos experimentados en muchas organizaciones para gestionar el modelo y abordar amenazas y vulnerabilidades más complejas.

**Contexto histórico**

La evolución de las herramientas de ciberseguridad ha sido notable en las últimas décadas. Hace solo unos años, la detección de vulnerabilidades dependía en gran medida de análisis manuales y auditorías exhaustivas, lo que a menudo resultaba en procesos largos y costosos. Con la introducción de modelos como Claude Opus y XBO, se ha demostrado que la automatización puede desenterrar cientos de vulnerabilidades de software, acelerando el proceso de descubrimiento y parcheo de manera exponencial en comparación con un equipo humano. Anthropic ha indicado que su modelo Claude Opus 4.6 es “notablemente mejor” en la identificación de vulnerabilidades de alta severidad, encontrando defectos que habían permanecido sin ser detectados durante décadas.

**Recomendaciones**

Para las empresas interesadas en implementar Claude Code Security, Anthropic aclara que los usuarios deben solicitar acceso al programa y que los testers deben comprometerse a utilizar la herramienta únicamente en código propiedad de su empresa. Esto implica que no deben escanear código de terceros ni proyectos de código abierto. Además, es recomendable que las organizaciones revisen sus políticas de seguridad y formación a empleados sobre el uso de herramientas de inteligencia artificial en el desarrollo de software, asegurando que las mejores prácticas se sigan en la gestión de vulnerabilidades.

En resumen, la llegada de herramientas como Claude Code Security representa una evolución significativa en la forma en que se abordará la ciberseguridad en el desarrollo de software, ofreciendo tanto oportunidades como desafíos en un entorno digital cada vez más complejo.

Anthropic is rolling out a new security feature for Claude Code that can scan a user’s software codebases for vulnerabilities and suggest patching solutions. The company announced Friday thatClaude Code Securitywill initially be available to a limited number of enterprise and team customers for testing. That follows more than a year of stress-testing by the internal red teamers, competing in cybersecurity Capture the Flag contests and working with Pacific Northwest National Laboratory to refine the accuracy of the tool’s scanning features. Large language models have shown increasing promise at both code generation and cybersecurity tasks over the past two years, speeding up the software development process but also lowering the technical bar required to create new websites, apps and other digital tools. “We expect that a significant share of the world’s code will be scanned by AI in the near future, given how effective models have become at finding long-hidden bugs and security issues,” the company wrote in a blogpost. Those same capabilities also let bad actors scan a victim’s IT environment faster to find weaknesses they can exploit. Anthropic is betting that as “vibe coding” becomes more widespread, the demand for automated vulnerability scanning will pass the need for manual security reviews. As more people use AI to generate their software and applications, an embedded vulnerability scanner could potentially reduce the number of vulnerabilities that come with it. The goal is to reduce large chunks of the software security review process to a few clicks, with the user approving any patching or changes prior to deployment. Anthropic claims that Claude Code Security “reads and reasons about your code the way a human researcher would,” showing an understanding of how different software components interact, tracing the flow of data and catching major bugs that can be missed with traditional forms of static analysis. “Every finding goes through a multi-stage verification process before it reaches an analyst. Claude re-examines each result, attempting to prove or disprove its own findings and filter out false positives,” the company claimed. “Findings are also assigned severity ratings so teams can focus on the most important fixes first.” Threat researchers have told CyberScoop that while the cybersecurity capabilities have clearly improved in recent years, they tend to be most effective at finding lower impact bugs, while experienced human operators are still needed in many organizations to manage the model and deal with higher-level threats and vulnerabilities. But tools like Claude Opus andXBOWhave shown the ability to unearth hundreds of software vulnerabilities, in some cases making the discovery and patching process exponentially faster than it was under a team of humans. AnthropicsaidClaude Opus 4.6 is “notably better” at finding high-severity vulnerabilities than past models, in some cases identifying flaws that “had gone undetected for decades.” Interested users can apply for access to the program. Anthropic clarifies on itssign up pagethat testers must agree to only use Claude Code Security on code their company owns and “holds all necessary rights to scan,” not third-party owned or licensed code or open source projects. The postAnthropic rolls out embedded security scanning for Claudeappeared first onCyberScoop.