Show HN: Anthropic 人工智能漏洞发现框架的 GitHub Copilot 移植版
一句话看懂:开发者 David Reis 将 Anthropic 开源的自适应漏洞发现框架从 Claude Code 移植到了 GitHub Copilot 上,使得拥有 Copilot 订阅的团队可以在 C/C++ 项目中实现自动化的内存安全漏洞扫描、验证、报告和修复。
事件核心:发生了什么
开发者 David Reis 在 GitHub 上发布了一个名为“Defending Code Reference Harness”的新项目。该项目本质上是 Anthropic 此前开源的defending-code-reference-harness的移植版本。原框架是专为 Anthropic 的 Claude Code 设计的,用于展示 AI 代理如何进行自主漏洞发现与修复。此次移植的核心变动在于将驱动引擎从 Anthropic API 替换为GitHub Copilot CLI(copilot -p),并将原有的交互技能(skills)重构为Copilot Agent Skills,授权、出口及工具链均转而适配 GitHub 生态。项目保留了原版中用于发现 C/C++ 内存安全问题的自动化流水线(包含侦察、发现、验证、报告、修补五个阶段),并使用了 Docker 和 ASAN(地址消毒器)等技术。
为什么重要
这一移植的意义在于打破了 AI 辅助安全开发的工具壁垒。此前,Anthropic 展示的流水线高度依赖其自家模型 API,生态相对封闭。此次在 Apache-2.0 协议下开源并移植到 GitHub Copilot,直接利用了 GitHub 已有的庞大开发者社区和 Copilot 订阅体系。对于安全团队而言,这意味着不需要额外采购 Anthropic 的 API 服务,只要能使用 Copilot CLI 并配置好 Docker 与 gVisor 沙箱,就能快速搭建一条自主运行的漏洞发现管道。这降低了采用 AI 驱动自动化安全测试的门槛,同时也印证了 Anthropic 开源框架的模块化设计——底层沙箱与技能树可以脱离原模型平台独立复用,这对于未来 AI 工具链的跨平台互操作性是一个积极信号。
对用户/开发者/创作者的影响
对于使用 C/C++ 代码库的安全工程师和 DevOps 团队来说,这个项目提供了一个立即可用的参考实现。开发者可以克隆仓库后,通过运行 /quickstart 技能在 30 秒内获得引导体验。项目提供的交互式技能(威胁建模、静态扫描、分类、打补丁、自动化流水线)设计目标是让团队“上手最快”,而非花数月设计完美管线。不过,该项目被明确标记为参考实现而非商业产品,不会在所有代码库上开箱即用,需要根据具体语言、检测器或漏洞类别通过 /customize 技能进行定制。尤其需要注意的是,自动化流水线中的 /patch 技能会执行目标代码,项目默认强制要求 gVisor 沙箱才能运行,安全机制设计较为严谨。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
值得关注的后续
首先,这一移植是否会被 GitHub 官方关注,或催生官方支持的 Copilot 安全技能商店。其次,项目提到的“跨技能禁用模型自动调用”设计,能否有效解决 AI 工具在自动化流程中的幻觉与误触发问题,有待社区实践验证。最后,随着其他大模型平台(如 Google Gemini、OpenAI API)也可能出现类似的代理框架移植,AI 安全工具链的跨平台复用性将是值得追踪的行业趋势。
来源:github.com
