Anthropic a publié une implémentation open source servant de modèle de référence pour la découverte et la correction autonomes de vulnérabilités logicielles grâce à son modèle d'IA Claude. Ce référentiel s'appuie sur les retours d'expérience recueillis lors de partenariats avec des équipes de sécurité depuis le lancement de la préversion Claude Mythos. L'objectif est de fournir aux développeurs et aux responsables de la sécurité une architecture modulaire destinée à automatiser le cycle complet de détection des failles. Le pipeline proposé suit un processus en cinq étapes : reconnaissance du code source, identification des vulnérabilités, validation des résultats, génération de rapports structurés et proposition de correctifs. Pour garantir la sécurité lors de l'exécution des agents autonomes, le système s'appuie sur un bac à sable technique restrictif en matière de réseau, à moins d'une autorisation explicite. Bien que le prototype soit initialement optimisé pour détecter les erreurs mémoire en C et C++, sa structure reste générique et peut être personnalisée pour d'autres langages ou types de failles. Anthropic recommande une adoption progressive. La première phase consiste à établir un modèle de menace et à effectuer une analyse statique interactive. La deuxième étape intègre le pipeline autonome sur une bibliothèque open source connue pour contenir des failles, permettant de valider la détection et la génération de correctifs. Les jours suivants sont consacrés à l'adaptation de l'outil aux infrastructures spécifiques, avant de passer à des cycles de scan et de correction automatisés en milieu de deuxième semaine. L'entreprise précise que ce référentiel n'est pas maintenu activement et n'accepte pas de contributions extérieures. Pour les organisations souhaitant une solution clé en main, Anthropic propose également Claude Security, un service hébergé intégrant une chaîne de vérification multi-étapes pour réduire les faux positifs et gérer le cycle de vie des correctifs. Les retours indiquent que si l'automatisation accélère considérablement la détection des failles, le triage et la validation des correctifs restent des points nécessitant une supervision humaine. Les équipes de sécurité sont encouragées à intégrer progressivement ces outils dans leurs pipelines de développement, en priorisant les dépôts critiques et en établissant des scans récurrents. Cette initiative démontre la viabilité opérationnelle de l'IA dans la gestion moderne de la sécurité logicielle, tout en rappelant que la complexité des corrections exige un contrôle ingénierie dédié pour rester efficace et sûr.