Anthropic ha abierto la beta pública de Claude Security, una herramienta orientada a empresas que permite analizar repositorios de código, detectar posibles vulnerabilidades y generar propuestas de corrección con Claude Opus 4.7. El servicio está disponible inicialmente para clientes de Claude Enterprise y llega en un momento en el que la seguridad del software empieza a cambiar por la misma razón que el desarrollo: los modelos de Inteligencia Artificial ya no se limitan a sugerir texto, sino que pueden razonar sobre bases de código completas.
La compañía presenta Claude Security como una forma de reducir el tiempo que transcurre entre encontrar un fallo y aplicar un parche. No se trata solo de producir un informe con posibles riesgos. La herramienta analiza el repositorio, valida los hallazgos, estima su gravedad, explica el impacto probable y genera instrucciones para corregir el problema en contexto. Para los equipos de seguridad, el objetivo es evitar que los resultados acaben en una cola de tickets que nadie resuelve durante semanas.
De escáner de código a analista de seguridad asistido por IA
Claude Security, antes conocido como Claude Code Security, ha sido probado en una vista previa limitada por cientos de organizaciones, según Anthropic. La beta pública mantiene el foco en empresas que ya trabajan con Claude y quieren llevar sus capacidades al análisis de seguridad del software sin crear una integración propia con API ni desarrollar agentes personalizados.
El funcionamiento parte de un flujo sencillo. El usuario accede desde Claude.ai o desde claude.ai/security, selecciona un repositorio, una rama o un directorio concreto y lanza el análisis. A partir de ahí, Claude examina el código con una lógica más cercana a una revisión de seguridad que a un escáner clásico de patrones. La compañía asegura que el sistema intenta entender cómo interactúan los componentes, cómo se mueven los datos entre archivos y módulos, y dónde pueden aparecer vulnerabilidades dependientes del contexto.
Esta diferencia es importante. Muchas herramientas SAST tradicionales son eficaces para detectar errores conocidos, usos inseguros de librerías o patrones peligrosos. Pero suelen tener dificultades con fallos de lógica de negocio, combinaciones sutiles entre componentes o vulnerabilidades que solo aparecen al seguir el flujo completo de datos. Claude Security intenta ocupar ese espacio, aunque seguirá siendo necesario validar sus resultados con criterio humano.
Anthropic insiste en que la calidad de detección ha sido una de las prioridades durante la fase de pruebas. Cada hallazgo pasa por una canalización de validación en varias etapas, diseñada para reducir falsos positivos antes de que el resultado llegue al analista. Además, cada vulnerabilidad aparece con una valoración de confianza, una estimación de severidad, impacto probable y pasos para reproducirla.
El tiempo hasta el parche se convierte en la métrica clave
Uno de los mensajes más relevantes del lanzamiento es que el valor ya no está solo en encontrar fallos. En muchas empresas, las herramientas de seguridad descubren más problemas de los que los equipos pueden corregir. El cuello de botella está en priorizar, explicar el riesgo a ingeniería, preparar una corrección segura, revisarla y llevarla a producción sin romper otras partes del sistema.
Claude Security intenta reducir esa distancia. Los hallazgos incluyen instrucciones de parche que pueden abrirse en Claude Code on the Web para trabajar la corrección dentro del contexto del repositorio. Anthropic afirma que varios usuarios de la vista previa pasaron de análisis a parche aplicado en una misma sesión, frente a los ciclos más largos de ida y vuelta entre seguridad e ingeniería.
La beta pública añade funciones pensadas para entornos empresariales: análisis programados, análisis dirigidos a directorios concretos, exportación de resultados en CSV o Markdown, integración con sistemas de auditoría y envío de resultados a Slack, Jira u otras herramientas mediante webhooks. También permite descartar hallazgos con motivos documentados, algo útil para que futuras revisiones puedan entender por qué una alerta se consideró aceptable o no aplicable.
| Función | Qué aporta a los equipos |
|---|---|
| Escaneo de repositorios | Revisión de código completo, ramas o directorios concretos |
| Validación de hallazgos | Menos falsos positivos antes de llegar al analista |
| Valoración de confianza | Ayuda a priorizar qué revisar primero |
| Propuestas de parche | Reduce el salto entre detectar y corregir |
| Análisis programados | Cobertura continua, no solo auditorías puntuales |
| Exportación CSV/Markdown | Integración con procesos de auditoría y seguimiento |
| Webhooks | Envío de resultados a Slack, Jira u otras herramientas |
La herramienta encaja con una tendencia clara: la seguridad del software empieza a integrarse más cerca del desarrollo. En lugar de descubrir vulnerabilidades al final del ciclo, las empresas buscan introducir revisiones durante el trabajo diario, con menos distancia entre quien detecta el fallo y quien puede corregirlo.
Una respuesta al riesgo de la IA ofensiva
Anthropic sitúa el lanzamiento en un contexto más amplio. La compañía advierte de que la Inteligencia Artificial está acortando el tiempo entre el descubrimiento de una vulnerabilidad y su explotación. Modelos más capaces pueden ayudar a defensores a revisar código, pero también pueden facilitar que atacantes encuentren fallos y construyan exploits con mayor rapidez.
Ese mensaje conecta con Project Glasswing y con Claude Mythos Preview, el modelo especializado en ciberseguridad que Anthropic ha puesto a disposición de un grupo limitado de socios. Según la compañía, Mythos puede igualar o superar a expertos humanos de alto nivel en la búsqueda y explotación de vulnerabilidades. Claude Security no se presenta como el mismo producto ni con el mismo alcance, pero sí como una forma más accesible de llevar capacidades avanzadas de análisis a organizaciones que ya usan Claude Enterprise.
El movimiento también muestra una estrategia de distribución por varias vías. Claude Security puede usarse directamente desde Claude, pero Anthropic también está llevando las capacidades de Opus 4.7 a socios tecnológicos como CrowdStrike, Microsoft Security, Palo Alto Networks, SentinelOne, TrendAI y Wiz. Además, consultoras como Accenture, BCG, Deloitte, Infosys y PwC participan en despliegues de soluciones de seguridad integradas con Claude.
Para las empresas, esto ofrece varias rutas de adopción: usar Claude Security como herramienta directa, recibir esas capacidades integradas en una plataforma de seguridad ya implantada o apoyarse en un socio de servicios para incorporarlas a programas de gestión de vulnerabilidades, revisión segura de código o respuesta a incidentes.
El papel del analista no desaparece
El lanzamiento de Claude Security no convierte la revisión de seguridad en un proceso completamente automático. De hecho, su utilidad dependerá de cómo se integre en los equipos. Una vulnerabilidad detectada por un modelo necesita contexto: exposición real, criticidad del servicio, controles compensatorios, facilidad de explotación, impacto en clientes y prioridad frente a otros riesgos.
También hay que gestionar el riesgo contrario: confiar demasiado en una herramienta que razona con apariencia de seguridad, pero que puede equivocarse. Anthropic afirma que ha incorporado una fase de verificación adversarial de los hallazgos, pero ninguna herramienta de este tipo debería sustituir auditorías manuales, threat modeling, pruebas de penetración o revisión de arquitectura en sistemas críticos.
La clave estará en usarla como acelerador. Puede ayudar a revisar más código, encontrar fallos que pasan desapercibidos, redactar explicaciones útiles, preparar parches iniciales y reducir el trabajo repetitivo de triage. Pero la decisión final sobre qué se corrige, cómo se despliega y qué riesgo se acepta seguirá correspondiendo a humanos responsables del sistema.
Anthropic también menciona salvaguardas específicas en Claude Opus 4.7 para detectar y bloquear solicitudes asociadas a usos prohibidos o de alto riesgo en ciberseguridad. Las organizaciones que realizan trabajos legítimos que puedan activar esos controles pueden participar en el Cyber Verification Program, una vía pensada para facilitar capacidades avanzadas a defensores verificados sin abrirlas de forma indiscriminada.
Claude Security llega en una fase en la que el mercado de seguridad se está llenando de promesas de automatización. Su éxito no dependerá solo de encontrar vulnerabilidades llamativas en una demo, sino de integrarse bien en el día a día: repositorios reales, deuda técnica, equipos saturados, herramientas de ticketing, auditoría, prioridades de negocio y procesos de revisión. Si consigue reducir el tiempo entre fallo y parche sin multiplicar ruido, puede convertirse en una pieza útil para equipos que ya no pueden revisar manualmente todo lo que producen.
La beta pública marca un paso más en la entrada de la Inteligencia Artificial en la seguridad ofensiva y defensiva. La diferencia es que esta vez la promesa no se queda en escribir código más rápido. Anthropic quiere que Claude ayude a que ese código sea más seguro antes de llegar a producción. En un mundo donde los atacantes también tendrán mejores herramientas, esa carrera ya ha empezado.
Preguntas frecuentes
¿Qué es Claude Security?
Claude Security es una herramienta de Anthropic para clientes de Claude Enterprise que analiza repositorios de código, detecta vulnerabilidades y genera propuestas de corrección usando Claude Opus 4.7.
¿Está disponible para todos los usuarios de Claude?
No. La beta pública está disponible inicialmente para clientes de Claude Enterprise. Anthropic indica que el acceso para clientes de Claude Team y Max llegará más adelante.
¿Sustituye a los analistas de seguridad?
No. Puede acelerar la detección, validación y preparación de parches, pero los equipos humanos deben revisar los hallazgos, priorizar riesgos y aprobar cambios.
¿Con qué herramientas puede integrarse?
Claude Security permite exportar resultados y enviarlos a herramientas como Slack, Jira u otros sistemas mediante webhooks. Además, socios como CrowdStrike, Microsoft Security, Palo Alto Networks, SentinelOne, TrendAI y Wiz están integrando capacidades de Opus 4.7 en sus plataformas.
