Anthropic 开源漏洞发现与修复项目,为安全团队提供可定制参考方案 【导语Anthropic 在 GitHub 上开源了“Defending Code Reference Harness”项目提供基于 Claude 的自主化漏洞发现与修复参考实现供安全研究者和开发者参考定制。】自主扫描管线七阶段闭环挖掘漏洞项目核心是自主扫描管线将漏洞挖掘拆解为 Recon、Find、Verify、Dedupe、Report、Patch 七个阶段形成完整闭环。Recon 阶段由轻量级 Agent 提划分建议Find 阶段 N 个 Agent 并行构造畸形输入Verify 阶段 grader Agent 复现崩溃Dedupe 阶段 judge Agent 去重最后输出漏洞分析和修复建议。ASAN 与 Docker保障测试环境安全管线以 Docker 和 ASAN 为基础环境主要针对 C/C 内存漏洞。ASAN 能在运行时检测内存安全问题项目将其集成到 Docker 构建流程确保测试在隔离可复现环境中进行。对于 C/C 语言编译时添加 -fsanitizeaddress 标志插入安全检测逻辑。Claude Code Skills交互式操作指令项目内置多个 Claude Code Skills如 /quickstart 用于快速入门/vuln-scan 用于漏洞扫描等。这些 Skills 以交互式方式工作仅读写文件不执行目标代码。自主扫描需通过 vp-sandboxed 命令在 gVisor 沙箱中执行保障安全。文档结构助力二次开发项目文档丰富docs/blog-post.md 记录经验docs/pipeline.md 描述架构docs/customizing.md 说明移植方法docs/patching.md 阐述修复流程。其中 customing.md 的移植指南关键是将参考实现变为生产工具的必经之路。编辑观点Anthropic 开源项目虽不再维护但为安全团队提供了有价值的设计思路有助于理解 AI Agent 漏洞发现架构和评估方式值得有研究背景团队投入定制。