Anthropic 用于人工智能驱动的漏洞发现的开源框架
一句话看懂:Anthropic 开源了一套基于 Claude 的自主漏洞发现与修复参考框架(Defending Code Reference Harness),旨在帮助安全团队利用 AI 自动化完成源代码的威胁建模、扫描、分类、报告和补丁生成全流程,并附带商用托管产品 Claude Security。
事件核心:发生了什么
Anthropic 在 GitHub 上发布了一个开源项目,名为“Defending Code Reference Harness”,这是一个基于 Claude 大模型实现自主漏洞发现与修复的参考实现。该框架整合了此前与多家企业安全团队合作的经验(自 Claude Mythos Preview 发布以来),提供了从侦察、发现、验证、分类到打补丁的完整自动化流水线,特别针对 C/C++ 内存漏洞使用 Docker 和 ASAN 进行了配置。Anthropic 同时推出了商业托管产品 Claude Security,用于在源代码仓库中自动发现和修复漏洞,并附带多级验证管道以减少误报。该项目未计划维护,也不接受社区贡献。
为什么重要
这是大模型厂商首次将自主漏洞发现与修复能力以开源参考框架的形式公开,意味着 AI 辅助安全审计正在从“单点工具”向“闭环自动化流程”演进。相比于以往安全团队需要自行集成多个模型和工具,该框架提供了一个可直接运行的端到端模板,降低了利用 AI 进行代码安全审查的门槛。同时,Anthropic 推出商业版本 Claude Security 表明,AI 驱动的安全自动化已具备商业化潜力,可能吸引更多企业从传统静态分析工具转向大模型方案。这对竞品(如 OpenAI、Google)在代码安全领域的布局形成压力。
对用户/开发者/创作者的影响
- 安全团队和开发者: 可以利用该参考框架快速搭建自己的漏洞发现管道,根据自身技术栈(语言、检测器、漏洞类型)进行定制,节省从零开发的时间。但框架不提供开箱即用体验,需要适配才能用于生产环境。
- 企业采购决策者: 可评估 Anthropic 的 Claude Security 托管产品是否适合自身代码审计需求,特别是在需要多项目跨仓管理和低误报率场景下。
- AI 应用开发者: 该框架展示了如何将大语言模型嵌入复杂工作流(多阶段验证、子代理协作、沙箱隔离),可作为构建自主 Agent 系统的参考设计。
值得关注的后续
- 该开源项目直接挑战了传统 SAST/DAST 工具厂商,市场是否会跟进或推出 AI 原生漏洞扫描产品。
- Claude Security 目前是托管服务,其定价、支持的编程语言范围和企业合规认证会成为采购关键考量。
- 由于框架使用 gVisor 沙箱执行目标代码,实际部署时对基础设施和性能的影响需要进一步验证。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
来源:Hacker News
