返回列表
Anthropic发布开源AI漏洞发现框架:基于Claude的自动化修复参考实现
开源项目Anthropic网络安全Claude

Anthropic发布开源AI漏洞发现框架:基于Claude的自动化修复参考实现

Anthropic推出了名为“Defending Code Reference Harness”的开源框架,这是一个利用Claude模型进行自主漏洞发现与修复的参考实现。该框架基于Anthropic与多家安全团队合作的实战经验,涵盖了从侦察、发现、分类到报告和修复的完整闭环。虽然该开源库主要针对C/C++内存漏洞,但其逻辑具有高度可定制性。此外,Anthropic还提供了名为“Claude Security”的托管式商业产品,用于更复杂的企业级漏洞管理。

Hacker News

核心要点

  • 自主漏洞处理闭环:提供从侦察(Recon)、发现(Find)、分类(Triage)、报告(Report)到修复(Patch)的完整自动化流水线参考实现。
  • 基于Claude模型能力:利用Claude的推理能力进行代码扫描和漏洞验证,支持通过API(包括Bedrock、Vertex或Azure)进行集成。
  • 针对性与可扩展性:默认配置用于发现C/C++内存漏洞(结合Docker和ASAN),但支持通过自定义逻辑移植到其他语言或漏洞类型。
  • 开源与商业并行:开源版本作为技术参考架构,而商业版“Claude Security”则提供全托管的漏洞扫描、多阶段验证及生命周期管理服务。

详细分析

自动化漏洞发现的参考架构

Anthropic发布的“Defending Code Reference Harness”并非一个开箱即用的最终产品,而是一个旨在展示“自主漏洞发现与修复”可能性的参考实现。该框架的核心在于其“harness”目录,其中包含了一套完整的自动化流水线。该流水线模拟了安全专家的工作流:首先进行环境侦察,随后搜索潜在漏洞,接着通过多阶段验证进行分类以减少误报,最后生成并应用修复补丁。为了确保安全性,该框架在处理C/C++内存漏洞时采用了Docker容器和ASAN(AddressSanitizer)工具,展示了AI如何在受控的沙箱环境中执行动态验证。

Claude Code 技能与交互式操作

该框架深度集成了Claude Code的功能,通过一系列预定义的指令(Skills)简化了安全分析过程。用户可以使用 /quickstart 快速上手,使用 /threat-model 进行威胁建模,或通过 /vuln-scan/triage 进行漏洞扫描与分类。值得注意的是,这些操作在设计上考虑了安全性,例如扫描和分类功能仅限于文件的读取和写入。此外,框架还提供了 /customize 指令,允许开发者根据自身需求,将这套逻辑适配到不同的编程语言、检测工具或特定的漏洞类别中,充分体现了AI在安全领域的高灵活性。

托管服务与开源实现的差异化

在发布开源参考实现的同时,Anthropic也明确了其商业版产品“Claude Security”的定位。开源版本主要用于学习和构建自定义流水线,且目前处于“不维护”状态,不接受外部贡献。相比之下,托管产品“Claude Security”则是一个成熟的生产力工具。它不仅能跨多个项目扫描源代码,还引入了更复杂的多阶段验证流水线,旨在进一步降低AI在漏洞检测中常见的误报问题。商业版还提供了完整的漏洞生命周期管理功能,包括修复验证和快速补丁生成,为企业提供了更可靠的安全保障。

行业影响

Anthropic此举标志着AI在网络安全领域的应用正从简单的“代码辅助”向“自主安全代理”演进。通过开源这套参考架构,Anthropic实际上为行业提供了一套基于大语言模型(LLM)构建安全工具的标准模板。这不仅降低了企业开发AI驱动安全工具的门槛,也证明了LLM在处理复杂安全逻辑(如漏洞验证和补丁生成)方面的潜力。随着更多开发者基于此框架进行定制,AI驱动的DevSecOps可能会迎来更快速的普及,从而改变传统依赖人工审计的漏洞处理模式。

常见问题

该开源框架是否可以直接用于任何代码库?

官方明确表示,该框架是一个“参考实现”而非通用产品。虽然其提示词(Prompts)和沙箱逻辑可以复用,但它并不能在所有代码库上开箱即用。用户通常需要运行 /customize 指令来针对特定的语言或环境进行适配。

它主要针对哪些类型的漏洞?

该参考实现默认配置为寻找C/C++中的内存相关漏洞,并利用了ASAN等工具进行辅助验证。不过,其底层逻辑是通用的,可以扩展到其他类型的漏洞发现中。

使用该框架需要特定的Claude版本吗?

该框架可以与用户拥有的任何Claude API访问权限配合使用,包括通过Anthropic直接访问,或者通过AWS Bedrock、Google Vertex AI以及Azure等平台进行调用。

相关新闻

LongCat开源VitaBench 2.0:填补真实生活场景长期动态智能体评测空白
开源项目

LongCat开源VitaBench 2.0:填补真实生活场景长期动态智能体评测空白

美团技术团队正式发布VitaBench 2.0,这是业内首个专注于真实生活场景下长期动态用户建模的智能体评测基准。该基准旨在系统性地评估大语言模型在长期、真实且动态的互动过程中,所展现出的个性化服务能力与主动交互意识,为智能体技术的演进提供了关键的度量工具。

美团正式开源 LongCat-2.0:1.6T 参数 Agentic Coding 大模型,同步适配国产显卡推理
开源项目

美团正式开源 LongCat-2.0:1.6T 参数 Agentic Coding 大模型,同步适配国产显卡推理

美团技术团队宣布正式开源 LongCat-2.0 模型。该模型拥有 1.6T 总参数量,平均激活参数约 48B,专为 Agentic Coding 任务设计。通过引入 LongCat 稀疏注意力和 N-gram Embedding 等架构创新,LongCat-2.0 在长上下文处理和代码理解生成方面表现卓越。此外,美团同步开放了针对国产显卡的推理代码,进一步推动了国产算力生态的适配与应用。

美团开源海报生成AIGC技术体系:构建“生成-编辑-评判”全链路闭环
开源项目

美团开源海报生成AIGC技术体系:构建“生成-编辑-评判”全链路闭环

美团智能创作团队近日正式发布并开源了其海报生成AIGC技术体系。该体系通过构建“生成-编辑-评判”的技术闭环,实现了从创意产生到质量把控的全流程自动化。目前,该技术已在美团外卖、品牌IP等核心业务场景中得到广泛应用,显著提升了营销海报的生产效率。此次开源标志着美团在工业级AIGC应用领域的进一步深耕与技术共享。