Claude Security est une capacité intégrée à Claude qui analyse les bases de code pour détecter les vulnérabilités de sécurité et suggère des correctifs ciblés pour examen humain. Elle aide les équipes à trouver et corriger les problèmes que les méthodes traditionnelles manquent souvent.
Claude Security est maintenant en aperçu de recherche.
Claude Security vous permet de :
Analyser votre code en parallèle — Claude Security comprend le contexte, trace les flux de données entre fichiers et identifie les modèles de vulnérabilité complexes et multi-composants que les scanners traditionnels pourraient ne pas détecter.
Valider les résultats — Chaque résultat passe par une vérification multi-étapes, Claude remettant en question ses propres résultats avant de les présenter. Le résultat : plus de vrais problèmes signalés et moins de faux positifs.
Examiner et corriger — Passez directement d'un résultat à une session Claude Code pour examiner le correctif proposé. Résolvez les vulnérabilités rapidement au lieu de constituer un arriéré.
Pour commencer, consultez le guide de démarrage.
Types de résultats
Chaque résultat appartient à l'une des catégories ci-dessous.
Catégories
Domaine | Catégorie | Qu'est-ce que c'est |
Injection | Injection SQL | L'entrée non fiable modifie la structure de la requête, pas seulement les valeurs liées |
Injection | Injection de commande | L'entrée non fiable atteint un appel shell ou exec |
Injection | Injection de code | L'entrée de l'attaquant est analysée ou exécutée en tant que code |
Injection | Cross-site scripting (XSS) | L'entrée est rendue en HTML/JS sans échappement approprié au contexte |
Injection | XXE | L'analyseur XML résout les entités externes à partir d'une entrée non fiable |
Injection | ReDoS / complexité algorithmique | Expression régulière super-linéaire ou algorithme sur une entrée contrôlée par l'attaquant |
Chemin et réseau | Traversée de répertoires | L'entrée utilisateur échappe à une limite de système de fichiers prévue |
Chemin et réseau | SSRF | L'entrée utilisateur contrôle l'hôte ou le protocole de la requête |
Chemin et réseau | Redirection ouverte | L'URL contrôlée par l'utilisateur atteint une redirection sans liste d'autorisation |
Authentification et accès | Contournement d'authentification | Le chemin de code accessible ignore une vérification d'authentification |
Authentification et accès | Escalade de privilèges | Un utilisateur normal obtient une capacité réservée à l'administrateur |
Authentification et accès | IDOR / BOLA | Référence d'objet approuvée du client sans vérification de propriété |
Authentification et accès | CSRF | La demande de modification d'état accepte les déclencheurs multi-origines sans protection |
Authentification et accès | Condition de concurrence | TOCTOU ou accès concurrent rompt un invariant de sécurité |
Sécurité mémoire | Débordement de tampon | Données de taille d'entrée écrites dans un conteneur de taille indépendante |
Sécurité mémoire | Utilisation après libération | Mémoire libérée accessible via un pointeur actif |
Sécurité mémoire | Débordement d'entier | L'arithmétique sur une entrée non fiable dépasse une vérification de sécurité |
Sécurité mémoire | Solidité dangereuse |
|
Cryptographie | Canal auxiliaire de synchronisation | Comparaison ou branche dépendante du secret observable par l'attaquant |
Cryptographie | Confusion d'algorithme | Mauvaise utilisation entre primitives (par ex. JWT |
Cryptographie | Primitives faibles | MD5, SHA-1, DES, ECB, etc. utilisés dans un contexte de sécurité |
Désérialisation | Instanciation de type arbitraire | Les données contrôlées par l'attaquant pilotent la construction d'objets |
Protocole et codage | Sécurité du cache | Cache indexé sans toutes les entrées déterminantes d'autorité |
Protocole et codage | Confusion d'encodage | Les analyseurs divergent entre les couches (Unicode, URL, HTML) |
Protocole et codage | Confiance en préfixe de longueur | Longueur déclarée approuvée sans vérification des limites |
Niveaux de gravité
La gravité est attribuée par constatation en fonction de l'exploitabilité dans votre base de code, non de la catégorie elle-même. Ainsi, la même catégorie peut avoir des niveaux de gravité différents dans différents dépôts.
Gravité | Critères | Exemple typique |
Élevée | Exploitable par un attaquant distant non authentifié contre un déploiement par défaut, sans conditions préalables significatives | Injection de commande non authentifiée dans un point de terminaison API public |
Moyen | Exploitable derrière une authentification, ou nécessite 1-2 conditions préalables réalistes (rôle spécifique, identifiant connu, interaction utilisateur) | Injection SQL derrière authentification nécessitant la connaissance du schéma de table |
Faible | Nécessite 3+ conditions préalables, accès local uniquement, ou manque d'un chemin d'attaque démontré concret | Canal auxiliaire de synchronisation nécessitant la proximité réseau et des milliers de requêtes |
Structure de recherche
Chaque résultat de scan inclut les champs suivants :
Champ | Type | Description |
| chaîne | Décrit le problème |
| chaîne | Capacité de l'attaquant |
| chaîne | Chemin relatif au dépôt vers le fichier source vulnérable principal |
| int | Ligne principale où le problème prend origine |
| chaîne | Description technique complète de la vulnérabilité, flux de données et raison pour laquelle elle est exploitable |
| chaîne | Exploitation de bout en bout concrète mappant une entrée spécifique à un impact spécifique |
| chaîne[] | Chaque condition qui doit être remplie pour que l'exploitation réussisse. Une liste vide signifie que le problème est exploitable contre tout déploiement par défaut. |
| chaîne | Catégorie d'attaque, par ex. |
| enum |
|
| float | 0.0-1.0, reflète la confiance de la recherche |
| chaîne | Correctif basé sur les résultats |
Questions fréquemment posées
Sélection du modèle — L'accès à Mythos est limité à un petit ensemble de clients approuvés.
Durée du scan — Le temps de scan varie en fonction du dépôt et des actions de l'agent.
Configuration de la gravité — La gravité n'est pas configurable aujourd'hui.
Dépôts non-GitHub — Seuls les dépôts hébergés sur GitHub peuvent être scannés aujourd'hui.
Déterminisme du scan — Les scans ne sont pas déterministes, donc un problème réel peut ne pas apparaître dans chaque scan. Les nouvelles recherches sont marquées « new » dans la console.
Portée d'utilisation
Vous ne pouvez utiliser Claude Security que pour scanner du code que votre entreprise possède et pour lequel votre entreprise détient tous les droits nécessaires pour scanner. Vous ne pouvez pas utiliser Claude Security pour scanner du code appartenant à des tiers ou concédé sous licence par des tiers, y compris mais sans s'y limiter les projets open source ou les dépôts autres que ceux inclus dans votre ou vos base(s) de code d'entreprise.