Anthropic a mis Claude Security en beta publique pour les clients Enterprise — auparavant appelé Claude Code Security, maintenant généralisé. Le produit roule sur Opus 4.7 (le même modèle derrière Claude Code) et fait de l'analyse statique agentique sur les codebases clients : trace les flux de données, examine comment les composants interagissent entre fichiers et modules, lit la source directement, puis génère des instructions de patch pour révision humaine. Ça vit dans la sidebar de Claude.ai à claude.ai/security, activable via console admin; intégrations webhook avec Slack et Jira disponibles, plus export CSV/Markdown pour les pipelines d'audit. Les plans Team et Max devraient suivre.
Le choix architectural qui compte, c'est *analyse pilotée par le modèle* versus analyse pilotée par patterns. Snyk, Semgrep, GitHub Advanced Security, tous fonctionnent principalement en maintenant des bibliothèques de règles curées — patterns CWE, usages d'API connus comme problématiques, dépendances matchées à des CVE — et en matchant le code contre. Ils sont rapides, déterministes, et bien adaptés aux vulnérabilités qui se présentent sous forme de shapes de code reconnaissables. L'approche de Claude Security, c'est de lire le code avec un modèle de raisonnement frontière et de raisonner dessus, ce qui a le tradeoff inverse : probablement meilleur sur les bugs logiques, les défauts de logique métier, et les problèmes de flux de données multi-fichiers qui ne fittent pas une règle statique; probablement moins bon sur la complétude de couverture pour les patterns connus. C'est un vrai shift architectural, pas un wrapper autour d'un scanner existant.
Voici la pièce porteuse qui manque : il n'y a pas de données d'éval publiques. Pas de liste de langages supportés divulguée. Pas de taux de faux positifs. Pas de précision/rappel sur un benchmark standard. Pas de run de comparaison contre Snyk ou Semgrep sur le même codebase. Pas de prix. L'annonce se lit comme « on a bâti ça; faites-nous confiance, évaluez-le sur votre code » — ce qui est correct pour une beta publique, mais ça veut dire que les développeurs qui évaluent ça contre leur outillage existant doivent faire leur propre travail de mesure. Le vrai signal écosystémique, c'est que les produits verticaux des labos frontières arrivent en ligne (ceci; Codex d'OpenAI; Big Sleep de Google; divers plays enterprise Cursor/Anthropic/OpenAI). Le labo-comme-vendor-de-produit qui compétitionne directement avec la couche applicative qu'il alimentait juste avant, c'est un vrai mouvement écosystémique qui vaut la peine d'être suivi, peu importe quel produit spécifique gagne.
Si t'es sur Claude Enterprise, active-le, fais-le rouler contre un codebase que tu connais bien, et regarde ce qu'il trouve et manque contre ta stack de scanner existante. La discipline d'éval, c'est sur toi — les claims de « scanner IA de vulnérabilités » sont là depuis assez longtemps pour que tu sois sceptique tant que t'as pas mesuré. Porte attention au chevauchement avec les résultats Snyk/Semgrep : là où le modèle trouve quelque chose que les patterns manquent, c'est du signal; là où les patterns attrapent quelque chose que le modèle manque, c'est la limite de l'analyse pilotée par le modèle à cette génération. L'absence notable d'intégration GitHub PR ou CLI mérite d'être flaggée — la plupart de l'outillage sécurité en production vit dans la revue de PR, et ceci vit présentement dans claude.ai. C'est un choix produit intéressant, probablement temporaire.