BOLLETTINO OPERATIVO · VEN 12 GIU 2026 · 04:32 CET EN / IT / RSS / NEWSLETTER

Claude Security beta: scansione vulnerabilità con Opus 4.7

Anthropic apre Claude Security in beta pubblica agli Enterprise: scansione codice con Opus 4.7, patch automatiche, partner CrowdStrike, Wiz, Palo Alto.

1 MAGGIO 2026 ANTHROPIC DI FAUSTO PITZALIS 6 MIN LETTURA
Claude Security beta: scansione vulnerabilità con Opus 4.7

Il primo maggio 2026 Anthropic ha annunciato l’apertura di Claude Security in beta pubblica per tutti i clienti Enterprise. Il prodotto, fino a ieri in research preview con il nome di Claude Code Security, esce dalla fase chiusa e diventa disponibile alle aziende sottoscritte al piano Enterprise di Claude.

L’idea di base è diretta: dare ai team di sicurezza uno strumento di scansione del codice in grado di trovare vulnerabilità e generare contestualmente la patch. Il motore è Claude Opus 4.7, lo stesso modello rilasciato in general availability il 16 aprile.

Cosa fa Claude Security

La scansione lavora sul codice sorgente, non sul binario. Claude Security esamina il codebase pensando come un ricercatore di sicurezza: traccia il flusso dei dati, legge le funzioni, ricostruisce le interazioni tra file e componenti, e prova a sintetizzare gli effetti di rete. In pratica risale dalle sorgenti agli usi e individua i punti dove un input non controllato può arrivare a un sink critico.

Per ogni finding il prodotto restituisce tre informazioni:

  • la classe del problema (injection, deserializzazione insicura, secret hardcoded, race condition, eccetera) con riferimento OWASP o CWE quando applicabile
  • il punto preciso del codice coinvolto, con file e riga
  • una proposta di patch contestuale, già pronta da revisionare e applicare

La parte sulla patch è la novità di prodotto rispetto agli SAST tradizionali. Gli scanner classici fanno detect e basta, lasciando alla persona il compito di scrivere il fix. Qui il fix arriva insieme al finding, anche se Anthropic è chiara: la review umana resta obbligatoria, non si tratta di applicare automaticamente.

Come è nato il prodotto

Claude Security non è uscito dal nulla. A febbraio 2026 era stato lanciato in research preview come Claude Code Security: una versione interna pensata per il flusso di sviluppo, capace di girare insieme a Claude Code mentre si scrive codice. Negli ultimi due mesi centinaia di organizzazioni lo hanno testato in scenari reali. Il feedback raccolto in questa fase ha guidato la versione che oggi entra in beta pubblica.

La differenza principale rispetto alla preview di febbraio è lo scope: Claude Security non è più un’estensione del flow del singolo sviluppatore, è un prodotto pensato per il SOC e per il responsabile della sicurezza applicativa. Cambia il punto di ingresso (codebase intero invece che pull request), cambia il consumatore tipico (analista di security invece che sviluppatore), cambia il modo in cui i risultati sono presentati.

L’ecosistema dei partner

Anthropic ha annunciato l’integrazione con due grandi famiglie di partner.

Partner tecnologici: CrowdStrike, Microsoft Security, Palo Alto Networks, SentinelOne, TrendAI di Trend Micro e Wiz. Sono tutti vendor di piattaforme di cybersecurity che integrano Opus 4.7 dentro i propri prodotti, in modo che la capacità di Claude diventi disponibile dentro le console che le aziende già usano. Per chi ha investito su uno di questi stack, l’arrivo di Claude Security significa nuove funzioni dentro la dashboard esistente, senza dover cambiare strumenti.

Partner di servizio: Accenture, BCG, Deloitte, Infosys, PwC. Sono i grandi system integrator che si occupano di portare Claude dentro i clienti enterprise. Significa che Anthropic punta a una distribuzione gestita, dove il cliente non installa il prodotto da solo ma riceve un’integrazione fatta da chi già conosce la sua infrastruttura.

Il contesto: Mythos e Project Glasswing

L’annuncio si inserisce in un disegno più ampio. Anthropic sta esplorando da tempo il rapporto tra modelli avanzati e ricerca di vulnerabilità. Claude Mythos Preview, mostrato a un gruppo ristretto di partner, è descritto come un sistema in grado di pareggiare o superare gli esperti umani nel trovare e sfruttare vulnerabilità software. Il nome del programma di rilascio controllato è Project Glasswing.

Mythos sta a Claude Security come un Formula 1 a un’utilitaria: lo stesso filone di ricerca, ma una capacità diversa di applicazione. Mythos è un esperimento di frontiera per partner selezionati. Claude Security è il prodotto di mercato, ottimizzato per affidabilità e usabilità in azienda.

Cosa significa per chi scrive codice

L’audience primaria di Claude Security sono i team di security applicativa, ma il riflesso operativo arriva anche allo sviluppatore. Chi lavora dentro un Enterprise abilitato avrà una nuova fonte di feedback sul codice: la pull request potrà includere automaticamente i finding di Claude Security, esattamente come oggi include i risultati dei linter o dei test.

Tre cose da tenere a mente operativamente.

  1. I falsi positivi esistono. Anche con Opus 4.7, una scansione automatica produce finding che richiedono validazione umana. Il valore aggiunto sta nel riportare il problema con la patch suggerita già pronta, riducendo il tempo di triage.
  2. Non sostituisce la threat model. Trova vulnerabilità nel codice, non nel design. Una architettura insicura passerà la scansione anche se ogni singola riga è formalmente corretta.
  3. Si combina bene con i workflow di code review. La modalità di lavoro suggerita è integrarlo come gate aggiuntivo nella pipeline, non come unico controllo di sicurezza.

Disponibilità e prezzo

Claude Security è incluso nel piano Claude Enterprise, senza costi aggiuntivi annunciati per il momento di apertura della beta. Il consumo dei token segue le regole standard del piano. Anthropic non ha pubblicato prezzi a listino fuori dall’Enterprise, né una versione self-service per team più piccoli.

Per chi non ha Claude Enterprise, le strade restano due: passare al piano superiore se il caso d’uso giustifica l’investimento, oppure aspettare un eventuale rilascio più ampio. Anthropic non ha indicato una roadmap pubblica su questo.

Il segnale di mercato

L’annuncio di Claude Security è interessante anche letto dal lato del settore. La cybersecurity applicativa è uno dei segmenti dove l’AI ha avuto più resistenza all’adozione massiva, perché i falsi positivi pesano: ogni finding sbagliato consuma tempo del team di security, che è la risorsa scarsa per definizione.

Il fatto che Anthropic apra in beta pubblica con sei partner tecnologici di primo piano e cinque service partner globali dice una cosa precisa: la fase di sperimentazione è finita, c’è fiducia nel rapporto segnale-rumore del prodotto. I prossimi mesi diranno se il delta di qualità rispetto agli SAST tradizionali è percepito dai clienti.

Per chi guarda Claude come piattaforma, l’annuncio chiude un cerchio. Dopo Claude Code per gli sviluppatori, Claude Design per i designer, Claude Security per i team di sicurezza, l’idea di Anthropic è chiara: portare lo stesso modello sotto interfacce dedicate al singolo ruolo professionale.

Articoli correlati 4
EDITORIALE · AI DEV TOOLS

Prompt caching: ridurre i costi delle API Claude

Prompt caching sulle API Claude: come tagliare costi e latenza riusando system prompt, documenti e tool. Guida pratica con cache_control ed esempi.

31 MAG · 6 MIN FAUSTO PITZALIS
EDITORIALE · AI DEV TOOLS

Model Context Protocol: cos’è e a cosa serve

Cos'è il Model Context Protocol (MCP): lo standard aperto che collega i modelli AI a file, database e API. Guida pratica con esempi e…

31 MAG · 7 MIN FAUSTO PITZALIS