注册
登录
| 关键词:Claude, Anthropic, GitHub, Code, C/C++, quickstart, patch, pipeline, Claude Code, 个项目 |
 前几天刷 HackerNews,看到 Anthropic 开源了一个叫 "Defending Code Reference Harness" 的项目,昨天冲到了 234 分,GitHub 上已经 973 星了。 这个项目说白了一句话:用 Claude 来自动挖代码漏洞,从威胁建模到扫描、分类、打补丁,一条龙。 我自己的项目一直在做安全审计方面的工作,看到这个就忍不住想试试。这篇文章说说我试完的感受。 这个项目到底是干什么的Anthropic 之前跟几家安全团队合作,积累了用 Claude 做漏洞发现的经验,然后把这些经验打包成了一个开源框架。 项目地址:https://github.com/anthropics/defending-code-reference-harness 它提供了几种使用方式:
默认的自动流水线跑在 gVisor 沙箱里,确保扫描目标代码的时候不会真的搞坏你的环境。 第一件事:搭环境先 clone 下来试一下: git clone https://github.com/anthropics/defending-code-reference-harness cd defending-code-reference-harness然后跑 我本地的 Claude Code 环境已经配好 API key 了,直接试了 扫描结果第一次跑在我的一个 Python 项目上,它扫出了几个问题: 1. SQL 注入风险:有个查询语句直接拼接了用户输入,没有参数化。这个我自己也知道,但 Claude 给出了具体的修复建议。 2. 路径遍历:文件读取接口里没做路径校验,攻击者可以读到意料之外的文件。 3. 不安全的反序列化:用了 每条漏洞都给了严重等级、受影响代码行号、以及修复方案的代码示例。说实话,比我之前用的一些 SAST 工具(像 Bandit、Semgrep)要详细,因为它在解释漏洞原理的时候会结合代码上下文,不是抛一个 CVE 编号就完事。 第二件:试自动 patching这个框架有一个 我试了一下让它修复 SQL 注入的问题。它把查询改成了参数化查询,然后在同一个 PR 里加了一个单元测试来验证修复有效。 当然,自动生成的补丁不是 100% 完美。我仔细看了一遍,发现它在处理一个边缘 case 的时候逻辑有点问题——如果输入是空字符串,它没做特殊处理。但是大框架是对的,我改了两行就上线了。 几个值得注意的点这个项目不开源了吗? 是的,MIT 协议。不过 README 里明确写了 "This repo is not maintained and is not accepting contributions"——是参考实现,不是长期维护的产品。如果想用托管服务,Anthropic 有 Claude Security 这个产品。 只支持 C/C++ 内存漏洞? 默认的自动 pipeline 配的是 C/C++ + ASAN,但你可以通过 它能替代人工审计吗? 我觉得不能。它更像是给你的安全团队加了一个能 24 小时自动扫代码的实习生。一些明显的漏洞它能很快找出来,但需要业务理解和上下文关联的复杂漏洞,还是得人来判断。 为什么这件事值得关注Anthropic 今年在安全方向上动作不小。之前公布过 Project Glasswing,专门做关键软件的 AI 安全防护。这次开源这个框架,等于把他们的方法论直接放出来让大家用。 更值得玩味的是,同一天 Anthropic 还在呼吁全球暂停 AI 发展,理由是 AI 可能很快就能自我改进。一边说 AI 有风险要慢下来,一边开源 AI 安全工具帮大家防御——这两件事放在一起看,其实不矛盾。安全工具越开放,整个生态就越安全。 对于做开发的同学来说,我建议你把项目的 觉得有用点个👍 有问题留言聊 |
| 本文出处: https://mp.weixin.qq.com/s/4WgVvpBR36Dx3SD247UIiA |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
