Anthropic 把自动挖漏洞的整套 harness 开源了
Anthropic 直接把一个自主安全研究员的配方丢到了 GitHub 上。仓库叫 defending-code-reference-harness,是 Project Glasswing 和 Mythos 模型背后那套挖漏洞工作的参考实现。
里面装的是整条流水线,不是个演示。有一条自主管线,走的是侦察、发现、验证、报告、打补丁这一整套,开箱配置好了用 Docker 加 ASAN 去找 C 和 C++ 的内存漏洞。有一个 harness 负责给代码库画地图、拉起扫描子智能体、对发现的问题做分诊、再把报告写出来。还有一个威胁建模器,会看一遍代码库、判断哪些地方最可能被攻击、然后告诉模型先把时间花在哪。他们连那套 skills,也就是可复用的指令包,都一起放出来了。
大家在意它,是因为规模背景。Mythos 已经扫了超过 1000 个开源项目,翻出 23019 个问题,其中 6202 个是高危或严重级别。现在产出这些数字的脚手架,公开了。
有一点得说清楚。这明确是个参考实现,不是个会维护的产品。仓库不接受贡献,Anthropic 也不承诺持续更新。但这恰恰是重点。有意思的不是代码本身,而是把一个 agent 指向一个代码库、让它自主找出并修复真实漏洞的这张蓝图,现在任何人都能读、能抄。https://github.com/anthropics/defending-code-reference-harness
← 返回所有文章
里面装的是整条流水线,不是个演示。有一条自主管线,走的是侦察、发现、验证、报告、打补丁这一整套,开箱配置好了用 Docker 加 ASAN 去找 C 和 C++ 的内存漏洞。有一个 harness 负责给代码库画地图、拉起扫描子智能体、对发现的问题做分诊、再把报告写出来。还有一个威胁建模器,会看一遍代码库、判断哪些地方最可能被攻击、然后告诉模型先把时间花在哪。他们连那套 skills,也就是可复用的指令包,都一起放出来了。
大家在意它,是因为规模背景。Mythos 已经扫了超过 1000 个开源项目,翻出 23019 个问题,其中 6202 个是高危或严重级别。现在产出这些数字的脚手架,公开了。
有一点得说清楚。这明确是个参考实现,不是个会维护的产品。仓库不接受贡献,Anthropic 也不承诺持续更新。但这恰恰是重点。有意思的不是代码本身,而是把一个 agent 指向一个代码库、让它自主找出并修复真实漏洞的这张蓝图,现在任何人都能读、能抄。https://github.com/anthropics/defending-code-reference-harness
评论