Home Fondamenti Token Modelli AI Deep Learning Tecniche RAG RAG Avanzato MCP Orchestrazione Prompt Engineering Usare l'AI ChipsBot News
HomeNews › Claude Security in beta pubblica con Opus 4.7

Claude Security in beta pubblica con Opus 4.7

AI Italia Blog 4 maggio 2026

Il modello è disponibile per i clienti Enterprise, con scan automatico delle codebase, validazione adversarial dei finding e patch suggerite per la review umana. Tutto alimentato da Opus 4.7. Il prodotto si distribuisce anche attraverso le piattaforme di CrowdStrike, Microsoft Security, Palo Alto Networks, Wiz e i grandi system integrator.

La finestra che separa la scoperta di una vulnerabilità dal suo sfruttamento si sta chiudendo, e a chiuderla è la stessa tecnologia che dovrebbe aiutarci a difenderci. Anthropic apre al pubblico la beta di Claude Security, lo strumento che mette Opus 4.7 dentro le pipeline di sicurezza dei clienti Enterprise per scansionare codice, validare i ritrovamenti e proporre patch già pronte per la review umana.

Il prodotto, prima noto come Claude Code Security, esce dal research preview che lo ha visto testato su centinaia di organizzazioni e si presenta in un mercato dove la competizione non è più con i tool di SAST tradizionali a pattern matching, ma con i sistemi di prossima generazione che CrowdStrike, Microsoft Security, Palo Alto Networks, SentinelOne, Trend.ai e Wiz stanno costruendo embeddando lo stesso modello Opus 4.7 nelle loro piattaforme.

La distribuzione passa anche per i grandi system integrator: Accenture, BCG, Deloitte, Infosys, PwC. Il framing che Anthropic propone è esplicito e va letto bene, perché spiega perché questo annuncio non è marginale: i modelli di prossima generazione saranno particolarmente efficaci nello sfruttare autonomamente i bug, non solo nel trovarli.

La risposta di Anthropic

La risposta che la casa di San Francisco propone, in coerenza con il proprio posizionamento, è dare ai difensori capacità di frontiera prima che le stesse capacità diventino mainstream lato attaccante. Il riferimento parallelo è Claude Mythos Preview, già distribuito ad alcuni partner all’interno di Project Glasswing, modello capace di pareggiare o superare esperti umani d’élite nello scoprire e sfruttare vulnerabilità software.

L’esperienza utente è quella di un audit semi-automatico ma non autonomo. “Si entra dalla sidebar di Claude.ai, si seleziona una repository, si può restringere la scansione a una directory specifica o a un branch, si lancia. Mentre lavora, il modello traccia i flussi di dati attraverso file e moduli, legge la storia git, ragiona sulla logica di business, e quando produce un finding lo accompagna con un livello di confidenza, una valutazione di severità, una ipotesi di impatto, le istruzioni per riprodurre il bug e una patch puntuale che si può aprire dentro Claude Code on the Web per chiuderla nel contesto.

La pipeline di validazione adversarial

Il punto interessante è la pipeline di validazione adversarial che precede la consegna del finding all’analista. Ogni segnalazione passa per un esame indipendente che mette in discussione il risultato prima che arrivi al security engineer, e questo serve a fare quello che gli scanner classici non riescono a fare: abbattere i falsi positivi senza perdere il segnale forte.

Le metriche che Anthropic dichiara dopo due mesi di research preview vanno in questa direzione: le aziende parlano di scan-to-patch in una singola sessione laddove prima servivano giorni di rimbalzo tra security team e team di sviluppo.

I feedback degli utenti

Le testimonianze pubblicate sono ancorate a nomi precisi. Suha Can, vice president e Chief Security Officer di DoorDash, racconta che lo strumento fa emergere vulnerabilità profonde con accuratezza e instrada i ritrovamenti direttamente nei workflow degli ingegneri.

Krzysztof Katowicz-Kowalewski di Snowflake parla di ritrovamenti novel e di alta qualità identificati prima che potessero impattare l’ambiente o i clienti.

Matt Aromatorio di Hebbia, in un commento che misura il delta operativo, osserva che le patch costruite con Claude Security hanno chiuso vulnerabilità reali in minuti, non giorni.

La beta pubblica

La beta pubblica non è semplicemente un switch on. Le funzionalità che la redazione di prodotto ha aggiunto sulla base del feedback delle aziende che hanno usato lo strumento in preview disegnano un pacchetto enterprise-ready: scan schedulati a cadenza regolare, scan targettizzati su specifiche directory, dismissal documentato dei finding (così che le decisioni di triage rimangano tracciabili nel tempo), export dei risultati in CSV o Markdown per i sistemi di audit interno, push verso Slack, Jira o altri ticketing system via webhook.

La filosofia è quella del defender che non vuole un altro tool da imparare, vuole un nuovo segnale dentro i tool che già usa.

Le lezioni emerse dalla preview

Le lezioni emerse dalla preview meritano attenzione. Chiara La Valle, head of security di Yuno, sintetizza la traiettoria con una frase che il mercato dovrebbe leggere bene: la qualità dello scan è la ragione per cui stanno lavorando per integrare Claude Security direttamente nel programma di vulnerability management aziendale.

È un’affermazione che rivela cosa accade quando uno strumento di sicurezza smette di essere considerato un acceleratore del triage e diventa un nodo del flusso di gestione delle vulnerabilità aziendali.

La lettura strategica

La lettura strategica è chiara. Anthropic non sta provando a sostituire l’ecosistema della cybersecurity enterprise, sta provando a essere il modello sotto l’ecosistema. È una mossa che riduce la frizione di adozione (il CISO non deve scegliere tra il proprio EDR e Claude, riceve Claude dentro l’EDR) e amplifica la diffusione del modello in un mercato dove le decisioni di acquisto sono lente, conservatrici, e legate a contratti pluriennali con i vendor incumbent.

Nella fine pagina, in nota a piè di documento, Anthropic specifica che Opus 4.7 monta nuovi cyber safeguard che intercettano e bloccano automaticamente le richieste sospette di uso prohibited o high-risk. Le organizzazioni che fanno lavoro legittimo che potrebbe scattare questi safeguard possono entrare nel Cyber Verification Program, dichiarato come parte dello sforzo per rendere disponibili capacità di frontiera ai difensori tenendole fuori dalle mani sbagliate.

Il punto critico della dual use

Vale la pena di soffermarsi su questo passaggio metodologico, seppur citato in modo defilato. Il punto critico di qualunque modello capace di scoprire bug è la dual use: la stessa capacità che protegge un difensore può armare un attaccante. La risposta tecnica, real-time safeguard più verifica esplicita degli use case legittimi, è il tentativo di tenere insieme la promessa di portare capacità di frontiera ai security team e l’obbligo di non distribuire indiscriminatamente uno strumento che potrebbe fare comodo a chi sta dall’altra parte.

Per l’azienda enterprise che valuta l’adozione, questo dettaglio è il discriminante reale: lo strumento è disegnato dentro un quadro di responsabilità documentato, non offerto

Leggi l'articolo originale →
← Torna alle news