Anthropic ha rilasciato un plugin gratuito di security per Claude Code, che analizza in modo continuativo il codice generato dall’AI durante la sessione di sviluppo e corregge le vulnerabilità individuate prima che raggiungano una pull request o la pipeline CI. È un segnale interessante in un contesto sotto forte pressione, dovuta anche e soprattutto all’introduzione dei modelli AI. La documentazione ufficiale è disponibile su code.claude.com.

Il problema che il plugin affronta non è nuovo, ma negli ultimi mesi ha acquisito una dimensione quantitativa difficile da ignorare. Il recente 2026 State of Software Security Report di Veracode certifica che il ritmo di creazione delle falle ha superato la velocità con cui le aziende riescono a correggerle. Le vulnerabilità ad alto rischio sono cresciute del 36% anno su anno e ora che l'AI ha portato questa velocità a un livello senza precedenti, le imprese devono fare delle scelte per arginare il flusso di bug.

L'AI generativa è al centro di questa dinamica. Da un’altra ricerca Veracode emerge che il codice generato da AI produce vulnerabilità con una frequenza quasi tre volte superiore rispetto al codice scritto da sviluppatori umani. C’è però anche del buono: questi stessi strumenti eliminano categorie intere di errori di routine: una ricerca ha rilevato che il codice AI-generato produceva oltre 10.000 nuove segnalazioni di sicurezza al mese, dieci volte più rispetto ai sei mesi precedenti. La morale è che l'AI è brava a scrivere codice corretto, ma lo fa a una velocità che sposta il problema dalla scrittura alla revisione sicura, perché ogni punto di controllo a valle (code review umana, analisi statica, test dinamici in CI, scansione delle dipendenze) deve gestire un volume insostenibile.

È in questo contesto che dovrebbe essere letto il DevSecOps, ossia l'approccio che integra la sicurezza direttamente nel ciclo di sviluppo. Non è una novità: il principio dello "shift left" esiste da almeno un decennio; il problema sta nella sua adozione, anzi, nella mancanza di adozione. Una ricerca Dynatrace del 2023 su un campione di CISO italiani rilevava che solo il 14% delle organizzazioni aveva raggiunto una maturità DevSecOps effettiva; il 54% degli avvisi classificati come critici dagli scanner si rivelava irrilevante in produzione, causando sprechi di tempo. A marzo 2026 GitHub si era mosso nella stessa direzione, affiancando un motore AI all'analisi statica di CodeQL per coprire linguaggi e framework esclusi dal suo perimetro tradizionale. È chiaro che il settore sta cercando di spostare i controlli sempre più vicino al punto di scrittura del codice, e preferibilmente dentro la sessione di sviluppo stessa.

Che cosa cambia il plugin di Anthropic

Qui veniamo al plugin di Anthropic, che si inserisce in questo filone con la peculiarità di monitorare il codice generato da Claude Code e interviene nella stessa sessione in cui viene prodotto. Il funzionamento è articolato su tre livelli con profondità di analisi crescente, ciascuno attivato in un momento differente del ciclo di lavoro. Il primo livello è un controllo deterministico che opera a ogni modifica di file e che non richiede chiamate al modello (quindi non ha costi aggiuntivi): scansiona il codice appena scritto alla ricerca di costrutti noti come rischiosi. Rientrano in questa categoria le chiamate a funzioni che eseguono codice dinamicamente, le primitive di deserializzazione non sicura, i punti in cui un contenuto esterno non validato può essere iniettato nell'interfaccia, e le modifiche a percorsi di configurazione sensibili che possono concedere permessi elevati al repository. Quando viene rilevato uno di questi schemi, viene aggiunta una segnalazione al contesto di Claude per il turno successivo. Ogni schema si attiva una sola volta per file per sessione, così da non inondare la conversazione con segnalazioni ripetute sullo stesso problema.

Il secondo livello entra in azione dopo che Claude ha completato il proprio ciclo di lavoro in risposta a un messaggio. In questo passaggio il plugin calcola la differenza tra lo stato iniziale del progetto e quello finale, e invia il tutto a una revisione separata di security che gira in background. Se individua problemi, Claude viene informato e li gestisce come follow-up immediato. In questo passaggio vengono rilevate logiche di autorizzazione aggirabili, riferimenti diretti a oggetti non protetti, attacchi di tipo injection meno evidenti, uso di primitive crittografiche deboli. La revisione copre fino a trenta file modificati per turno e si attiva al massimo tre volte consecutive prima di restituire il controllo all'utente.

Il terzo livello si attiva a ogni operazione di commit o push che Claude esegue autonomamente. È una revisione più approfondita che riguarda le funzioni che richiamano il codice modificato, le routine di validazione correlate, i file collegati alla logica in esame. L'obiettivo è avere una visione d’insieme per distinguere i problemi reali dai falsi positivi che emergono guardando un frammento isolato di codice. Se i risultati di questa revisione duplicano quanto già segnalato dal livello precedente, Claude non viene nuovamente interpellato.

Un punto rilevante è che le revisioni ai livelli due e tre non coinvolgono la stessa istanza di Claude che ha scritto il codice: il revisore parte dalle modifiche apportate al codice in quella sessione, non ha memoria delle scelte fatte per produrlo e non ha ragioni per giustificarle. Questa separazione riduce il rischio che il modello razionalizzi i propri output anziché valutarli con approccio critico. Nessuno dei tre livelli blocca scritture o commit: il plugin opera come assistente che segnala e propone correzioni, lasciando la decisione finale allo sviluppatore.

La personalizzazione è disponibile su due piani. Il primo permette ai team di sicurezza di descrivere in linguaggio naturale il threat model specifico del repository. Il secondo consente di aggiungere regole di riconoscimento personalizzate al layer deterministico del primo livello, utili per intercettare schemi specifici del codebase che gli scanner generici non conoscono. I controlli integrati non possono essere disabilitati tramite questi file; i singoli livelli possono invece essere disattivati separatamente, e l'intero plugin può essere sospeso senza rimuoverlo.

Dal punto di vista dei costi, solo i livelli di revisione basati su modello consumano crediti di utilizzo, con circa una chiamata aggiuntiva per turno e una revisione più profonda per commit, entro limiti orari definiti. Il layer deterministico al primo livello non ha alcun costo.

Anthropic posiziona il plugin come il primo livello di una catena di difesa che include revisioni on-demand del ramo corrente, code review multi-agente sulle pull request disponibile sui piani Team ed Enterprise, e gli strumenti CI già in uso.

L'ago della bilancia

C'è un'altra dimensione del problema che rende il lancio del plugin di Anthropic particolarmente significativo: riguarda la capacità da parte di alcuni modelli di AI di collegare errori di configurazione e vulnerabilità separate in una catena di attacco coerente. Costruire un percorso di compromissione che concatena tre o quattro vulnerabilità distinte era fino a poco tempo fa una delle competenze più rare e costose nell'ambito del penetration testing. Automatizzarla, anche solo a livello di PoC, rimuove una barriera che proteggeva indirettamente molte organizzazioni.

Fonte: Anthropic

Oltre a un problema di merito c’è quello di scala: Anthropic pubblica i dati in tempo reale su una dashboard pubblica da cui risulta che fino al 22 maggio 2026, Mythos aveva rilevato 23.019 vulnerabilità potenziali su software open source. Di queste, 1.900 sono state sottoposte a triage indipendente da parte di società esterne di ricerca sulla sicurezza e 1.726 sono risultate essere vulnerabilità reali, con un tasso di veri positivi del 90,8%. Le vulnerabilità notificate ai maintainer dei progetti coinvolti sono state 1.596, quelle effettivamente corrette con una patch sono state 97.

I numeri inquadrano la proporzione del problema: la capacità di risposta dell'ecosistema è fortemente sottodimensionata rispetto alla velocità di scoperta. L’incapacità di gestire un ritmo di patching che i modelli di frontiera stanno rendendo insufficiente è proprio il motivo che ha spinto la BCE a convocare una riunione straordinaria con i principali istituti bancari europei. Anthropic ha già comunicato al Financial Stability Board l'impegno ad aggiornarlo periodicamente sulle vulnerabilità individuate da Mythos.

In questo quadro, il plugin rappresenta la faccia difensiva della stessa medaglia, con la sua capacità di trovare vulnerabilità in modo autonomo e su scala, applicata direttamente al codice che uno sviluppatore sta scrivendo in quel momento. Non è certo una risposta esaustiva, ma è un passo in una direzione che si auspica da anni.