Futures
Accédez à des centaines de contrats perpétuels
CFD
Or
Une plateforme pour les actifs mondiaux
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Introduction au trading futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez aux événements et gagnez
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Pre-IPOs
Accédez à l'intégralité des introductions en bourse mondiales
Points Alpha
Tradez on-chain et gagnez des airdrops
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Simple Earn
Gagner des intérêts avec des jetons inutilisés
Investissement automatique
Auto-invest régulier
Double investissement
Profitez de la volatilité du marché
Staking souple
Gagnez des récompenses grâce au staking flexible
Prêt Crypto
0 Fees
Mettre en gage un crypto pour en emprunter une autre
Centre de prêts
Centre de prêts intégré
Promotions
Centre d'activités
Participez et gagnez des récompenses
Parrainage
20 USDT
Invitez des amis et gagnez des récompenses
Programme d'affiliation
Obtenez des commissions exclusives
Gate Booster
Développez votre influence et gagnez des airdrops
Annoncement
Mises à jour en temps réel
Blog Gate
Articles sur le secteur de la crypto
AI
Gate AI
Votre assistant IA polyvalent pour toutes vos conversations
Gate AI Bot
Utilisez Gate AI directement dans votre application sociale
GateClaw
Gate Blue Lobster, prêt à l’emploi
Gate for AI Agent
Infrastructure IA, Gate MCP, Skills et CLI
Gate Skills Hub
+10K compétences
De la bureautique au trading, une bibliothèque de compétences tout-en-un pour exploiter pleinement l’IA
GateRouter
Choisissez intelligemment parmi plus de 40 modèles d’IA, avec 0 % de frais supplémentaires
Flux de travail de sécurité AI open source d'Anthropic : sept étapes pour détecter automatiquement les vulnérabilités, les vérifier et générer des correctifs
Anthropic a open-sourcé une suite d'automatisation de la sécurité informatique alimentée par Claude, où tout le processus, de la recherche de vulnérabilités, à la vérification multiple, jusqu'à la génération de correctifs, est réalisé par une collaboration d'IA. Toute équipe de sécurité peut désormais déployer cette solution en interne.
(Précédemment : Anthropic : « Mythos Preview » dépasse la capacité de décision des experts humains, avec un taux de réussite de 64%)
(Complément d'information : Bloomberg révèle que Claude Mythos a été accédé sans autorisation ! La faille la plus difficile à défendre pour Anthropic reste « l’humain »)
Table des matières
Toggle
Claude Opus d’Anthropic a récemment découvert des centaines de vulnérabilités dans de nombreux dépôts open source, malgré des années d’examen par des experts, ce qui met en évidence la limite structurelle de la revue humaine.
Récemment, Anthropic a open-sourcé cette pipeline complète d’automatisation : détection de vulnérabilités, vérification multiple, et génération finale de correctifs, permettant à toute équipe de sécurité de l’installer, la personnaliser et la transférer à leur propre code cible.
Sept phases, une ligne de production auto-validante
L’ensemble du système s’appelle Defending Code Reference Harness, et repose sur une ligne de production automatisée en sept étapes :
Build (Compilation), Recon (Reconnaissance), Find (Découverte), Verify (Vérification), Dedupe (Déduplication), Report (Rapport), Patch (Correctif).
Chaque étape est gérée par une IA indépendante, ne transmettant que le minimum d’informations entre chaque étape, pour éviter que la logique ou le jugement subjectif d’une étape n’influence la suivante.
La phase Build compile le logiciel cible en une image avec un détecteur ASAN. ASAN, ou AddressSanitizer, est un « détecteur de mines » pour vulnérabilités mémoire : lors de l’exécution, toute tentative d’accès mémoire illégale déclenche immédiatement une alerte.
Cette image est partagée tout au long du processus, garantissant que chaque IA voit le même environnement logiciel.
La phase Find constitue le moteur de la pipeline. N IA en parallèle, isolées dans des conteneurs, lisent le code source et génèrent des entrées malveillantes.
Ce processus, en langage courant, correspond au fuzzing : alimenter le programme avec des données étranges, déformées ou hors limites, pour voir s’il plante.
Les agents ne soumettent une vulnérabilité qu’après avoir reproduit le crash de façon stable trois fois, afin d’éliminer les faux positifs.
Les faux positifs, c’est-à-dire confondre un comportement normal avec une vulnérabilité, étant la critique principale des outils de sécurité.
Anthropic insiste sur le fait que le système utilise une vérification multiple pour que chaque vulnérabilité rapportée ait une confiance et une gravité évaluées.
Ensuite, la phase Verify.
Un nouvel agent exécute le proof-of-concept (PoC) dans un conteneur séparé, pour prouver la vulnérabilité.
Seuls les bits du PoC circulent entre les conteneurs, et l’agent ne connaît pas le processus de raisonnement précédent, garantissant l’indépendance des conclusions.
La phase Report génère une analyse complète de l’exploitabilité pour chaque vulnérabilité, avec un agent d’évaluation indépendant qui vérifie si les arguments du rapport correspondent aux lignes de code et aux résultats réels.
Avant de générer un correctif candidat, le système requiert une validation humaine.
L’ensemble de la pipeline tourne dans un sandbox gVisor.
gVisor est une technologie de virtualisation légère isolant au niveau du noyau, empêchant tout accès direct au système de fichiers ou au réseau de l’hôte.
Le seul accès réseau est via l’API Claude, garantissant la confidentialité des données.
Deux voies, un seul choix
Ce système offre deux modes d’utilisation, avec un écart de complexité important.
Anthropic recommande de commencer par la voie la plus simple.
Première voie : compétences interactives.
Il suffit de quatre commandes :
git clone https://github.com/anthropics/defending-code-reference-harness cd defending-code-reference-harness claude /quickstart
L’exécution de /quickstart vous guide à travers tout le processus interactif : modélisation des menaces → scan statique → déduplication manuelle → génération de correctifs.
Pas besoin de conteneur, idéal pour comprendre la logique avant d’automatiser.
Deuxième voie : pipeline automatisé.
Il faut d’abord installer gVisor, configurer la clé API ANTHROPIC_API_KEY, puis lancer le processus complet en sept étapes sur une cible réelle, avec rapport de confiance et correctifs potentiels.
Le dépôt GitHub inclut un exemple de vulnérabilités dans la bibliothèque drlibs, à tester en premier, puis à adapter à ses propres cibles.
Anthropic recommande :
Jour 1, exécuter tout le processus interactif ;
Jour 2, passer au pipeline automatisé sur une cible C/C++ ;
Jours 3 à 5, utiliser /customize pour porter la solution à d’autres langages ou types de vulnérabilités.
Une phrase à retenir : « Les équipes qui réussissent refusent la tentation de concevoir une pipeline parfaite avant de commencer. Il faut commencer, puis itérer. »
La muraille est percée par le même outil
Ce déséquilibre dans la sécurité offensive et défensive est structurel depuis longtemps.
L’attaquant n’a besoin que d’un point d’entrée ; le défenseur doit combler chaque faille.
Les cibles comme GhostScript, OpenSC, CGIF, sont des projets open source matures, largement déployés, avec des vulnérabilités non détectées par la revue humaine, jusqu’à ce que Claude Opus lise l’historique des commits, infère un correctif incomplet, trace la logique dans un autre fichier, et assemble un PoC exécutable.
Ce processus ne repose pas sur la détection par règles, mais sur le raisonnement.
Anthropic propose deux options :
Une version open source, Defending Code Reference Harness, pour une maîtrise totale, déployable et personnalisable ;
Et Claude Security, une version commerciale entièrement hébergée, sans configuration gVisor ni infrastructure.
L’open source offre transparence et contrôle, la version hébergée une simplicité d’utilisation.
Les deux stratégies traduisent la volonté d’Anthropic de positionner ses outils de sécurité défensive comme une infrastructure fondamentale.
Jusqu’ici, la capacité à trouver des vulnérabilités était réservée aux grandes organisations disposant de ressources pour employer des red teams de haut niveau.
Maintenant, cette pipeline open-sourcée brise cette barrière, en utilisant le même outil pour percer la muraille asymétrique entre attaque et défense, des deux côtés simultanément.