Anthropic 发布开源参考实现,利用 Claude 自动化执行代码侦察、漏洞发现、验证、报告与修复的全流程,HN 获 520+ 赞。支持自定义语言、检测器和漏洞类型,可搭配 Bedrock/Vertex/Azure 使用。
Anthropic 于近日开源了 Defending Code Reference Harness,这是一个基于 Claude 的自主漏洞发现与修复参考实现。该项目基于 Anthropic 与多个安全团队在 Claude Mythos Preview 发布以来的合作经验构建,提供了一套完整的自动化管线:从代码侦察(recon)、漏洞发现(find)、验证(verify)、报告(report)到自动生成补丁(patch)。仓库包含 Claude Code 技能(/quickstart、/vuln-scan、/triage、/patch)以及一个独立的 Harness 管线(默认针对 C/C++ 内存漏洞,使用 Docker + ASAN 沙箱)。
该项目值得关注的原因在于:Anthropic 将其与安全团队的实际合作经验抽象成可复用的开源工具,降低了 AI 驱动安全测试的入门门槛。用户可基于该参考实现构建自己的漏洞发现管道,并调整语言、检测器或漏洞类型。同时 Anthropic 提供了配套 博客文章 与 SDK 轻量级 cookbook 作为指引。仓库本身声明不维护、不接受贡献,但 Anthropic 也提供托管版产品 Claude Security 作为企业选项。HN 社区对此反响热烈,当前获 520+ 点赞,反映了对 AI 辅助代码安全自动化的强烈兴趣。
原文链接: https://github.com/anthropics/defending-code-reference-harness