Claude Code Security : scanner de vulnérabilités IA

Claude Code Security est la fonctionnalité d’Anthropic qui transforme Claude en auditeur de sécurité. Lancée le 20 février 2026, elle scanne vos bases de code pour détecter des vulnérabilités que les outils classiques manquent depuis des années, puis propose des correctifs ciblés soumis à votre validation.

J’ai testé la commande /security-review sur plusieurs de mes projets et le résultat m’a surpris : des failles que mes outils habituels n’avaient jamais signalées. Lors de tests internes, l’équipe d’Anthropic a identifié plus de 500 failles inconnues dans des projets open source en production, dont certaines restées invisibles pendant plus de deux décennies.

Comment fonctionne Claude Code Security

Claude Code Security ne repose pas sur des règles prédéfinies. Il utilise Claude Opus 4.6 pour raisonner sur votre code comme le ferait un chercheur en sécurité expérimenté : il lit l’historique Git, trace les flux de données à travers l’ensemble de l’application et comprend la logique métier pour identifier des vulnérabilités complexes.

Analyse statique vs raisonnement IA

Analyse statique vs raisonnement IA : deux approches complementaires de detection de vulnerabilites.

L’analyse statique traditionnelle (SAST) compare votre code à des patterns de vulnérabilités connus. Cette approche détecte les problèmes courants (mots de passe exposés, chiffrement obsolète, injections SQL basiques), mais passe à côté des failles plus subtiles.

Claude Code Security va plus loin. Il comprend comment les composants logiciels interagissent entre eux et détecte des catégories de bugs que les scanners à règles ignorent : failles de logique métier, contrôles d’accès défaillants, race conditions et vulnérabilités liées à la désérialisation.

Le processus de vérification multi-étapes

Processus de verification en 4 etapes - plus de 500 vulnerabilites decouvertes apres filtrage.

Chaque découverte passe par ce qu’Anthropic appelle un processus de vérification multi-étapes. Le scan initial identifie les vulnérabilités potentielles, puis le système réanalyse chaque résultat pour tenter de prouver ou d’infirmer ses propres conclusions. Les faux positifs sont filtrés, et chaque vulnérabilité confirmée reçoit un score de sévérité et un indice de confiance.

Cette approche réduit le bruit. Vous recevez des résultats exploitables, pas une liste de centaines d’alertes à trier manuellement.

Les 500+ vulnérabilités découvertes en open source

Le chiffre qui a marqué la communauté : l’équipe Frontier Red Team d’Anthropic a utilisé Claude Opus 4.6 pour scanner des projets open source en production et a découvert plus de 500 vulnérabilités de haute sévérité, dont certaines échappaient aux experts depuis des décennies.

Exemples concrets

Le bug du noyau Linux caché 23 ans. Nicholas Carlini, Research Scientist au sein de la Frontier Red Team d’Anthropic, a pointé Claude Code vers le code source du noyau Linux en lui demandant simplement de chercher des failles. L’IA a identifié un heap buffer overflow dans le driver NFS (NFSv4.0 LOCK replay cache) : lors du refus d’une requête de verrouillage, le serveur tentait d’écrire une réponse de 1 056 octets dans un buffer de 112 octets.

Cette faille, introduite en septembre 2003, permettait à un attaquant d’écraser la mémoire du noyau avec des données contrôlées.

La faille CGIF dans la compression LZW. Claude Code Security a découvert un heap buffer overflow dans la bibliothèque CGIF en raisonnant sur les algorithmes de compression LZW. C’est une faille que le fuzzing guidé par la couverture de code n’avait pas détectée, même avec 100 % de couverture.

22 vulnérabilités Firefox en deux semaines. En partenariat avec Mozilla, l’équipe d’Anthropic a scanné environ 6 000 fichiers C++ du navigateur Firefox avec Claude Opus 4.6. Résultat : 22 vulnérabilités identifiées en 14 jours, dont 14 de haute sévérité.

Mozilla a déployé les correctifs auprès de centaines de millions d’utilisateurs dans Firefox 148.0.

FreeBSD : un exploit root écrit en 4 heures. Claude a également produit un exploit complet pour une vulnérabilité du noyau FreeBSD (CVE-2026-4747), aboutissant à un shell root distant. L’exploit fonctionnait dès la première tentative.

Ces cas montrent la force du raisonnement IA : comprendre le contexte d’exécution au-delà de la simple correspondance de patterns.

Les types de vulnérabilités détectées

Claude Code Security couvre un spectre large de failles de sécurité. Les catégories principales sont les suivantes :

Injections et exécution de code

• Injections SQL, NoSQL, LDAP, XPath et XXE
• Injection de commandes et exécution de code à distance (RCE)
• Désérialisation non sécurisée et injection via eval/pickle

Authentification et autorisation

• Authentification défaillante et escalade de privilèges
• Références directes d’objets non sécurisées (IDOR)
• Failles dans la logique de session

Exposition de données

• Secrets codés en dur (clés API, tokens, mots de passe)
• Journalisation de données sensibles
• Violations de la gestion des données personnelles (PII)

Problèmes cryptographiques et configuration

• Algorithmes faibles, gestion de clés non sécurisée
• Headers de sécurité manquants, CORS permissif
• XSS réfléchi, stocké et basé sur le DOM

Chaîne d’approvisionnement

• Dépendances vulnérables et risques de typosquatting
• Race conditions et problèmes TOCTOU (time-of-check-time-of-use)

Comment utiliser Claude Code Security

Deux méthodes s’offrent à vous : la commande interactive dans le terminal et l’intégration CI/CD via GitHub Actions.

Méthode 1 : la commande /security-review

Si vous utilisez déjà Claude Code, la commande /security-review est le moyen le plus direct de lancer un audit de sécurité.

1. Ouvrez Claude Code dans votre projet
2. Tapez /security-review
3. Claude analyse le code, identifie les failles et propose des correctifs
4. Vous validez ou rejetez chaque suggestion

Pour personnaliser l’analyse, copiez le fichier security-review.md depuis le dépôt anthropics/claude-code-security-review dans le dossier .claude/commands/ de votre projet. Vous pouvez y ajuster les règles de scan et les instructions de filtrage des faux positifs.

Méthode 2 : GitHub Actions

L’intégration CI/CD automatise l’audit de sécurité sur chaque pull request. Voici la configuration minimale :

name: Security Review

permissions:
  pull-requests: write
  contents: read

on:
  pull_request:

jobs:
  security:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
        with:
          ref: ${{ github.event.pull_request.head.sha || github.sha }}
          fetch-depth: 2

      - uses: anthropics/claude-code-security-review@main
        with:
          comment-pr: true
          claude-api-key: ${{ secrets.CLAUDE_API_KEY }}

L’Action analyse les fichiers modifiés dans la PR, identifie les vulnérabilités et poste des commentaires en ligne avec les problèmes détectés et les corrections recommandées. Vous pouvez configurer le modèle utilisé, le timeout, les répertoires à exclure et les règles de filtrage personnalisées.

Accès et disponibilité

Claude Code Security est disponible à plusieurs niveaux selon votre plan.

Plans Pro, Max et API Console : la commande /security-review est accessible dans Claude Code pour les abonnés individuels (Pro ou Max) ainsi que pour les utilisateurs disposant d’un compte API Console en pay-as-you-go. Elle permet des audits à la demande sur vos projets locaux.

Plans Enterprise et Team : la version complète de Claude Code Security, avec le scan de codebase entière via Claude Code on the Web, est proposée en preview limitée. L’accès se demande via claude.com/contact-sales/security.

Mainteneurs open source : Anthropic offre un accès anticipé gratuit aux mainteneurs de projets open source via le programme Claude for Open Source. Les vulnérabilités découvertes sont communiquées aux mainteneurs avant toute publication, dans le cadre d’une démarche de disclosure responsable.

Limites et complémentarité avec les outils existants

Claude Code Security ne remplace pas votre stack de sécurité actuelle. Il la complète sur un angle précis : la découverte de vulnérabilités complexes par raisonnement.

Ce que Claude Code Security fait bien

Il excelle dans la détection de failles zero-day que les outils à règles manquent. Sa capacité à comprendre la logique métier et à tracer les flux de données entre composants en fait un outil de découverte efficace, comme le montrent les 500+ failles identifiées en open source.

Ce qui lui manque

Selon une analyse de Snyk, l’outil se concentre sur la détection, pas sur la remédiation complète à l’échelle. Les plateformes traditionnelles comme Snyk, SonarQube et Semgrep offrent des fonctionnalités essentielles que Claude Code Security ne couvre pas encore : gestion de la chaîne d’approvisionnement, analyse de conteneurs, tableaux de bord de gouvernance et agrégation des risques sur des centaines de dépôts.

Le paradoxe du code généré par IA

Un point soulevé par l’étude BaxBench (ETH Zurich, UC Berkeley, INSAIT) mérite attention : 62 % des solutions générées par les modèles IA contiennent des erreurs ou des vulnérabilités. Claude Opus 4.5 ne produisait du code sécurisé et correct que 56 % du temps sans prompting de sécurité spécifique.

Selon une analyse de CodeRabbit, le code généré par IA est 2,74 fois plus susceptible d’introduire des failles XSS que le code écrit par des humains. Utiliser Claude Code Security pour auditer du code généré par Claude lui-même crée une boucle de vérification intéressante, mais ne dispense pas d’une revue humaine.

L’approche recommandée

4 couches complementaires pour une couverture de securite complete.

La stratégie optimale combine plusieurs couches : le raisonnement IA de Claude Code Security pour la découverte, la validation déterministe des outils classiques, la remédiation assistée par IA, puis la re-validation. Si vous souhaitez approfondir le choix du modèle pour vos audits, notre comparatif Opus vs Sonnet détaille les forces de chaque modèle. Opus 4.6 est le moteur derrière Claude Code Security, et Anthropic explore déjà des capacités de sécurité encore plus avancées avec Claude Mythos.

Bonnes pratiques pour vos audits de sécurité

Pour tirer le maximum de Claude Code Security, j’ai identifié quelques habitudes qui font la différence.

Commencez par un scan complet. Lancez /security-review sur votre projet avant de configurer la CI/CD. C’est ce que j’ai fait sur mon propre stack, et cela m’a donné une vue d’ensemble des vulnérabilités existantes avant de calibrer les règles de filtrage.

Personnalisez les instructions de scan. Chaque projet a ses spécificités. Créez un fichier d’instructions personnalisées dans .claude/commands/ pour adapter l’analyse à votre stack technique et à vos politiques de sécurité internes.

Combinez avec vos outils existants. Gardez Snyk, SonarQube ou Semgrep en parallèle. Utilisez Claude Code Security pour la découverte de failles complexes et vos outils existants pour l’analyse déterministe et la gouvernance.

Révisez chaque correctif proposé. Claude Code Security suggère des patchs qui respectent la structure et le style de votre code, mais la validation reste votre responsabilité. J’ai vu des correctifs pertinents et d’autres qui cassaient des tests : vérifiez avant de merger.

Formez votre équipe. Les développeurs qui maîtrisent le prompt engineering obtiennent de meilleurs résultats. Formuler des requêtes de sécurité précises (spécifier le type de vulnérabilité recherché, le contexte métier, les contraintes) améliore la qualité des analyses.