Il mondo della sicurezza informatica è stato scosso da due importanti annunci che mettono in discussione l'efficacia degli strumenti di Static Application Security Testing (SAST) tradizionali. Anthropic e OpenAI, due colossi nel campo dell'intelligenza artificiale, hanno rilasciato strumenti gratuiti capaci di individuare vulnerabilità che sfuggono ai sistemi SAST basati su pattern matching.

Anthropic ha iniziato le danze con il lancio di Claude Code Security, seguito a ruota, appena due settimane dopo, da OpenAI con Codex Security. Entrambi gli strumenti sfruttano le capacità di ragionamento dei modelli linguistici di grandi dimensioni (LLM) per analizzare il codice sorgente in modo più approfondito e identificare falle di sicurezza complesse. Questa nuova generazione di scanner rappresenta un cambio di paradigma nel settore della sicurezza delle applicazioni.

La principale differenza risiede nell'approccio. Gli strumenti SAST tradizionali si basano su un database di pattern di vulnerabilità conosciute. Analizzano il codice alla ricerca di corrispondenze con questi pattern, segnalando potenziali problemi. Questo approccio è efficace per individuare vulnerabilità comuni e facilmente identificabili, ma risulta limitato quando si tratta di vulnerabilità più sofisticate o che non rientrano nei pattern predefiniti.

Gli strumenti basati su LLM, al contrario, utilizzano l'intelligenza artificiale per comprendere il codice sorgente a un livello più profondo. Sono in grado di ragionare sul comportamento del codice, identificare potenziali punti deboli e rilevare vulnerabilità che sfuggirebbero a un'analisi basata esclusivamente su pattern. In pratica, riescono a simulare il ragionamento di un esperto di sicurezza, individuando falle logiche e vulnerabilità contestuali.

Questa nuova ondata di strumenti non è pensata per sostituire completamente gli strumenti SAST esistenti, ma per integrarsi con essi e colmare le loro lacune. Rappresenta un'aggiunta preziosa all'arsenale di sicurezza di un'azienda, offrendo una protezione più completa e accurata contro le minacce informatiche. Il fatto che siano offerti gratuitamente, almeno per ora, ai clienti enterprise, rende la loro adozione ancora più interessante. Questo mette pressione sui fornitori di soluzioni SAST tradizionali, costringendoli a innovare e a integrare l'intelligenza artificiale nei loro prodotti per rimanere competitivi. La competizione tra Anthropic e OpenAI, con una valutazione di mercato combinata superiore a 1.1 trilioni di dollari, promette di accelerare l'innovazione nel campo della sicurezza delle applicazioni, portando a strumenti di rilevamento delle vulnerabilità sempre più efficaci e sofisticati. In definitiva, questa evoluzione rappresenta un passo avanti significativo nella lotta contro la criminalità informatica e offre alle aziende una maggiore protezione contro le minacce sempre più complesse e sofisticate.