文章总结： Anthropic推出基于Claude的自动化漏洞挖掘与修复流水线defending-code-reference-harness，在281个开源项目中验证出1726个真实漏洞（真阳性率90.8%），但修复效果有限——1596个披露漏洞中仅97个成功打补丁（修补率6.1%）。该流水线采用多阶段隔离验证机制，通过沙箱代码级约束防止提示注入，但目前仅支持C/C++内存漏洞，逻辑漏洞自动化处理能力不足。 综合评分： 82 文章分类： 漏洞分析,AI安全,安全工具,安全开发,红队

Anthropic 用 Claude 找漏洞，修漏洞，1596 个只修好 97 个

原创

白夜行 白夜行

船山信安

2026年6月15日 12:20 广东

在小说阅读器读本章

去阅读

Anthropic在GitHub推出defending-code-reference-harness 的仓库，5.8k 星，它是一套让Claude自动挖漏洞、验证、出补丁的完整流水线。 与其他不同在于，这套东西是 Anthropic 拉着多家企业安全团队实打实跑出来的经验。

主要成果

其中281个开源项目扫下来，23,019个候选发现，经过外部安全公司验证后确认 1,726个真漏洞，真阳性率 90.8%。其中跟Mozilla合作用两周就在 Firefox 里挖出22个漏洞，14个高危，大约相当于Firefox 2025 全年高危漏洞的五分之一。nginx任意文件写入、Temporal跨命名空间操控、Ghost SQL注入，都出自这条管线。

这些1596个已披露漏洞，只有97个打上了补丁，修补率只有6.1%。四层验证漏斗一路衰减，补丁能编译的大概80%，原始PoC不再崩溃的60%，测试套件还过的50%，而扛住新一轮独立攻击的呢，不到15%，从60%到15%这说明什么？

从数据上就能体现出该模型修的大多是固定方案，堵了这一个问题，其他旁边还漏着好几个问题等着处理。

流水线过程

分别是Build编译带ASAN的Docker镜像；

Recon把攻击面拆成互不相交的子区域；

Find阶段多个Agent各自隔离容器并行挖洞且要PoC三次稳定复现才上报；

Grade用全新容器独立验证；

Judge去重分类；

Report输出六轴可利用性分析；

Patch出补丁再跑四层验证。

其中Find和Grade之间只传PoC字节码Find Agent的推理过程全部丢弃。主要是两个原因，一是为了防确认偏误，其验证过程不该被发现的分析牵着走；二是为了防提示注入传播，例如目标代码的函数名或文件路径里藏了恶意指令。

突出点

有的团队在Prompt里写你无法联网，结果模型自己发现还能从GitHub拉文件。为了避免这种情况，所以Anthropic的约束全写在代码里而非Prompt里，gVisor内核级隔离，出站白名单只放行Claude API，启动前自动校验沙箱状态，没沙箱直接拒绝运行。

短板

目前只支持C和C++的内存漏洞，因为ASAN崩溃签名是最干净的自动物理信号。逻辑漏洞缺少同等质量的自动化判据，真阳性率会大幅下降。其官方仓库自己也声明不再维护，本质上是一份参考实现。Anthropic坦承自动分类和补丁仍是开放问题。

运行步骤

git clone https://github.com/anthropics/defending-code-reference-harness
cd defending-code-reference-harness
claude

# 30-sec intro + guided first run on the canary target
> /quickstart

> /quickstart how do I port the pipeline to Java?
> /quickstart how do I triage all these bugs?

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：船山信安 白夜行 白夜行《Anthropic 用 Claude 找漏洞，修漏洞，1596 个只修好 97 个》