Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Quando si parla di sicurezza del software, c’è sempre quella sensazione che qualcosa possa sfuggire. I repository crescono, il codice cambia, e certe vulnerabilità restano nascoste più a lungo di quanto si vorrebbe ammettere.
Negli ultimi mesi si è iniziato a parlare di un nuovo approccio basato su intelligenza artificiale capace di analizzare grandi codebase e individuare problemi complessi. L’obiettivo, in fondo, è semplice: aiutare i team di sicurezza a trovare errori prima che lo facciano gli attaccanti.
Il progetto legato a Claude Code punta proprio su questo. Si tratta di uno strumento CLI (Command Line Interface) utilizzato dagli sviluppatori per lavorare direttamente sul codice, esplorare repository locali e comprendere come le varie parti di un’applicazione interagiscono tra loro. Questa caratteristica permette un’integrazione profonda con i repository e garantisce che le analisi avvengano “nel terminale” dello sviluppatore, senza passare da piattaforme web esterne.
In pratica il sistema scorre file, dipendenze e flussi di dati cercando situazioni che potrebbero trasformarsi in vulnerabilità. Non si limita a controlli superficiali, ma tenta di capire la logica del software, un po’ come farebbe un ricercatore che analizza un progetto complesso.
Questo cambia il tipo di problemi che possono emergere. Non solo configurazioni errate o errori evidenti, ma anche difetti legati alla progettazione o alla gestione degli accessi all’interno delle applicazioni.
Molti strumenti tradizionali di sicurezza funzionano seguendo regole precise o pattern già noti. È utile, certo, ma quando il problema nasce da combinazioni di codice o da logiche applicative particolari, le cose diventano più complicate.
L’approccio sperimentato con Claude Code prova invece a ragionare sul contesto. Analizza relazioni tra moduli e comportamenti del software, individuando anomalie che potrebbero passare inosservate in scansioni automatiche classiche.
In alcuni test condotti durante la ricerca interna, il sistema è stato usato anche in contesti di cybersecurity e attività sperimentali per verificare quanto fosse efficace nel trovare vulnerabilità reali.
Secondo quanto spiegato da Anthropic nella ricerca pubblicata, l’analisi automatizzata del codice ha portato all’individuazione di oltre 500 vulnerabilità 0day segnalate in progetti open source utilizzati in produzione.
Il lavoro nasce da un periodo di ricerca dedicato a capire come i modelli possano supportare attività difensive nella sicurezza informatica. In diversi casi, i problemi individuati riguardavano errori complessi che gli strumenti tradizionali non avevano evidenziato.
Naturalmente il processo non è completamente automatico. Le segnalazioni vengono verificate e valutate prima di essere considerate vulnerabilità reali o corrette tramite patch. Se questa direzione continuerà a evolvere, è probabile che sempre più codice verrà esaminato con l’aiuto di sistemi AI capaci di assistere gli analisti umani.
Per la community di Red Hot Cyber vale la pena sottolineare un punto che molti professionisti conoscono bene. Fino a oggi, con gli strumenti di analisi statica tradizionali, era possibile individuare soprattutto una parte delle vulnerabilità tipicamente presenti nella OWASP Top 10. Parliamo di pattern abbastanza riconoscibili nel codice, quelli che i tool riescono a intercettare grazie a regole e firme consolidate.
Il problema vero, però, è sempre stato un altro. Le vulnerabilità legate alla logica applicativa, come ad esempio i casi di broken access control o flussi di autorizzazione implementati in modo errato, spesso restavano fuori dal radar degli scanner automatici. In pratica rimanevano terreno quasi esclusivo delle attività di penetration test manuale, dove l’analista ragiona sul comportamento dell’applicazione più che sul singolo frammento di codice.
Oggi qualcosa sta cambiando. I sistemi basati su AI possono dare un supporto concreto già nella fase di sviluppo sicuro del software: aiutano a ridurre i falsi positivi, analizzano meglio il contesto del codice e provano a individuare anche problemi che nascono dalla logica dell’applicazione, non solo da errori tecnici evidenti.
Detto questo, è giusto mantenere uno sguardo realistico. L’impatto reale di queste tecnologie lo capiremo solo con il tempo, osservando come si comporteranno nei progetti complessi e nei cicli di sviluppo reali. Probabilmente tra qualche anno avremo dati molto più chiari su quanto queste AI abbiano davvero cambiato il modo di fare sicurezza nel codice.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
