Anthropic發布原始碼漏洞掃描參考實作，示範以Claude驗證與修補漏洞

defending-code-reference-harness參考實作提供多個Claude Code技能，包括/quickstart、/threat-model、/vuln-scan、/triage、/patch與/customize，可支援快速啟動（Quickstart）、威脅建模、漏洞掃描、驗證分級、修補與客製化。其自主掃描管線預設鎖定C/C++記憶體漏洞，會將目標程式編譯成啟用記憶體錯誤偵測工具AddressSanitizer（ASAN）的Docker映像檔，並在以gVisor隔離的容器中執行AI代理程式與目標程式，且只允許對外連至模型API，以降低AI代理程式執行未受信任程式碼時的風險。

在流程設計上，Anthropic建議團隊先建立威脅模型，界定系統資產、攻擊入口與信任邊界，再執行漏洞的發現、驗證、合併重複漏洞回報、分級處理與修補。負責驗證的AI代理程式應與發現漏洞的代理程式分開運作，並在乾淨容器中獨立執行；必要時可建立概念驗證（Proof of Concept，PoC）程式，確認漏洞是否真的可被觸發或利用，再依可達性（Reachability）、攻擊者控制程度、前提條件、身分驗證要求與影響範圍等漏洞發現的結果，安排修補優先順序。

Anthropic也提醒，AI可協助產生修補程式碼，但產出的修補方案可能僅處理表面問題，甚至誤擋合法輸入，或對既有相依服務造成影響，因此修補內容仍需經測試、驗證與人工審查。