Hacker News 中文摘要

RSS订阅

Anthropic开源框架助力AI驱动漏洞发现 -- Anthropic's open-source framework for AI-powered vulnerability discovery

原文链接 | HN讨论 | 2026-06-05 05:54:53

文章摘要

该项目提供了一个基于Claude AI的自动化漏洞发现与修复参考实现,整合了威胁建模、扫描、分类和补丁等安全技能。虽然代码库不再维护,但开发者可通过配套博客和教程了解技术细节。Anthropic还提供商业托管服务Claude Security,支持多项目代码漏洞扫描、误报过滤和全生命周期管理。

文章总结

项目概述:基于Claude的自动化漏洞发现与修复参考实现

项目简介

这是一个基于Claude AI的自动化漏洞发现与修复参考实现,源自Anthropic公司与多个安全团队合作的经验总结。该项目提供以下核心功能:

  1. 交互式技能:包括威胁建模、漏洞扫描、问题分类和补丁生成
  2. 自动化参考管道:完整的漏洞发现流程(侦察→发现→验证→报告→修复)
  3. 定制化能力:可适配不同编程语言和漏洞类型

注意:此仓库为开源参考实现,不再维护且不接受贡献。Anthropic提供商业产品Claude Security作为托管解决方案。

核心组件

Claude代码技能

  • /quickstart:快速入门指南
  • /threat-model:威胁建模
  • /vuln-scan:漏洞扫描
  • /triage:问题分类
  • /patch:补丁生成
  • /customize:管道定制

自动化管道(harness/)

针对C/C++内存漏洞设计的参考实现,包含完整工作流: 1. 侦察 → 2. 发现 → 3. 验证 → 4. 报告 → 5. 修复

安全提示:自动化管道会执行目标代码,必须在gVisor沙箱中运行

快速上手指南

四步实施计划

  1. 第1天:建立威胁模型并运行首次静态扫描

    • 使用/threat-model建立威胁模型
    • 运行/vuln-scan进行静态扫描
    • 使用/triage分类结果
    • /patch生成候选补丁

  2. 第2天:在C/C++库上运行参考管道

    • 设置gVisor沙箱环境
    • 运行完整自动化管道
    • 生成可复现的崩溃报告和补丁

  3. 第3-5天:为您的目标定制管道

    • 调整管道适配您的技术栈
    • 创建定制化的目标配置
    • 运行验证测试

  4. 第2周:开始自动化扫描和修复

    • 运行多轮并行扫描
    • 跨轮次分类结果
    • 按优先级生成修复补丁

技术细节

管道工作流程

  1. 构建:使用ASAN编译目标代码
  2. 侦察:识别关键攻击面
  3. 发现:并行寻找漏洞
  4. 验证:独立复现崩溃
  5. 去重:判断漏洞新颖性
  6. 报告:生成可利用性分析
  7. 修复:验证补丁有效性

安全措施

  • 每个代理在隔离的gVisor容器中运行
  • 网络出口限制仅允许访问Claude API
  • 详细的沙箱配置文档

扩展阅读

项目提供完整文档,包括: - 管道工作原理 - 安全沙箱配置 - 定制化指南 - 补丁生成流程 - 故障排除方法

后续发展方向

成功团队通常会: 1. 建立内部代码库的扫描优先级 2. 构建专用扫描基础设施 3. 将扫描集成到SDLC流程中 4. 持续测试和优化模型表现

提示:建议从小规模开始,快速迭代,而非追求完美设计

评论总结

以下是评论内容的总结:

  1. 项目维护问题
  • 指出项目不再维护:"This repo is not maintained and is not accepting contributions."(评论1)
  • 负面评价:"Open source crap to connect to an LLM blob."(评论9)
  1. 安全性与实用性
  • 安全警告:"Be aware: the .py/s will not pass the antivirus but basically they do the job."(评论2)
  • 认为安全是AI的重要应用场景:"security is an amazing AI/LLM use case"(评论5)
  1. 成本考量
  • 关注运行成本:"I wonder how much this thing costs to run...My guess would be hundreds of dollars with Opus and thousands of dollars with Mythos."(评论4)
  • 期待实际测试:"Looking forward to trying this tomorrow...Curious about setup friction, cost, and signal/noise."(评论10)
  1. 技术实现方式
  • 对Python实现的惊讶:"Interesting it's in python!"(评论8)
  • 建议自定义开发:"your best bet is to look at something like this for ideas, and then just ask for your own"(评论6)
  1. 商业模式讨论
  • 质疑AI公司的商业模式:"AI companies will prefer to sell the technique as a service rather than its raw output"(评论5)
  • 对比其他产品:"I wonder how this sort of product is going over at Coverity and others like it"(评论3)
  1. 代码产出问题
  • 质疑代码量指标:"Are they making 8x more features or the same amount just with more code?"(评论7)
  1. 用户名问题
  • 指出用户名异常:"I still find it so weird that they haven't bought out whoever controls the anthropic github username."(评论11)