Ф'ючерси
Сотні безстрокових контрактів
CFD
Золото
Одна платформа для світових активів
Опціони
Hot
Торгівля ванільними опціонами європейського зразка
Єдиний рахунок
Максимізуйте ефективність вашого капіталу
Демо торгівля
Вступ до ф'ючерсної торгівлі
Підготуйтеся до ф’ючерсної торгівлі
Ф'ючерсні події
Заробляйте, беручи участь в подіях
Демо торгівля
Використовуйте віртуальні кошти для безризикової торгівлі
Запуск
CandyDrop
Збирайте цукерки, щоб заробити аірдропи
Launchpool
Швидкий стейкінг, заробляйте нові токени
HODLer Airdrop
Утримуйте GT і отримуйте масові аірдропи безкоштовно
Pre-IPOs
Отримайте повний доступ до глобальних IPO акцій.
Alpha Поінти
Ончейн-торгівля та аірдропи
Ф'ючерсні бали
Заробляйте фʼючерсні бали та отримуйте аірдроп-винагороди
Інвестиції
Simple Earn
Заробляйте відсотки за допомогою неактивних токенів
Автоінвестування
Автоматичне інвестування на регулярній основі
Подвійні інвестиції
Прибуток від волатильності ринку
Soft Staking
Earn rewards with flexible staking
Криптопозика
0 Fees
Заставте одну криптовалюту, щоб позичити іншу
Центр кредитування
Єдиний центр кредитування
Акції
Центр діяльності
Беріть учать та отримуйте винагороди
Реферал
20 USDT
Запрошуйте друзів та отримуйте бонуси
Партнерська програма
Ексклюзивні комісійні винагороди
Gate Booster
Зростайте та отримуйте аірдропи
Оголошення
Оновлення платформи в реальному часі
Блог Gate
Статті про криптоіндустрію
VIP послуги
Величезні знижки на комісії
Управління активами
Універсальне рішення для управління активами
Інституційний
Рішення цифрових активів для бізнесу
Розробники (API)
Підключається до екосистеми додатків Gate
Позабіржовий банківський переказ
Поповнюйте та виводьте фіат
Брокерська програма
Щедрі механізми знижок API
AI
Gate AI
Ваш універсальний AI-помічник для спілкування
Gate AI Bot
Використовуйте Gate AI безпосередньо у своєму соціальному додатку
GateClaw
Gate Блакитний Лобстер — готовий до використання
Gate for AI Agent
AI-інфраструктура, Gate MCP, Skills і CLI
Gate Skills Hub
Понад 10 000 навичок
Від офісу до трейдингу: універсальна база навичок для ефективнішої роботи з AI
GateRouter
Розумний вибір із понад 40 моделей ШІ, без додаткових витрат (0%)
Відкритий код Anthropic AI для безпеки: сім етапів автоматичного виявлення вразливостей, їх перевірки та створення патчів
Anthropic відкрила набір автоматизованих ліній безпеки, керованих Claude, вся система від пошуку вразливостей, багатоступеневої перевірки до генерації патчів — повністю здійснюється за допомогою штучного інтелекту, і будь-яка команда з безпеки може її самостійно налаштувати та використовувати.
(Передісторія: Anthropic: модель «Mythos Preview» перевершує людських експертів у прийнятті рішень, з показником успіху до 64%)
(Додатковий фон: Bloomberg повідомляє, що Claude Mythos був отриманий без дозволу! Найслабше місце Anthropic — це завжди «людина»)
Зміст статті
Перемикач
Claude Opus від Anthropic за останній час виявив сотні вразливостей у великих відкритих репозиторіях, які «хоч і пройшли багато років експертної перевірки, залишилися непоміченими», що підкреслює обмеження людського огляду.
Нещодавно Anthropic відкрила весь цей автоматизований процес пошуку вразливостей, багатоступеневої перевірки та генерації патчів на GitHub, і будь-яка команда з безпеки може самостійно його розгорнути, налаштувати та застосувати до свого коду.
Сім етапів, одна самоперевіряючася лінія
Вся система називається Defending Code Reference Harness, її ядро — це сіметапна автоматизована лінія:
Build (компіляція), Recon (розвідка), Find (знаходження вразливостей), Verify (перевірка), Dedupe (усунення дублікатів), Report (звіт), Patch (патчування). Кожен етап має окремого AI-агента, і між етапами передаються мінімальні дані, щоб уникнути впливу суб’єктивних висновків попередніх етапів.
На етапі Build цільовий софтвер компілюється у образ з ASAN — AddressSanitizer, що є «детектором мінних полів» для вразливостей пам’яті: при виконанні програми, якщо вона звернеться до нелегальної пам’яті, спрацьовує миттєве попередження. Цей образ використовується на всіх наступних етапах, щоб забезпечити однакове оточення для всіх AI-агентів.
Етап Find — це рушій системи. N паралельних AI-агентів працюють у ізольованих контейнерах, читають вихідний код і створюють зловмисний ввід. Цей метод, простіше кажучи, — фуззінг (fuzzing): подають різноманітні дивні, викривлені, крайні дані, щоб побачити, чи програма зламається.
Агенти подають свою знахідку лише після стабільного повторення збою тричі, щоб уникнути хибних спрацьовувань. Хибні спрацьовування — це «прийняття нормальної поведінки за вразливість», і це найчастіша критика інструментів безпеки.
Anthropic підкреслює, що система використовує багатоступеневу перевірку, щоб кожна повідомлена вразливість мала довіру та рівень серйозності.
Далі йде Verify. Новий агент у ізольованому контейнері виконує цей proof-of-concept (PoC) — «мінімальний виконуваний код, що підтверджує існування вразливості». Лише оригінальні байти PoC циркулюють між контейнерами, і агент не знає логіки попереднього, щоб забезпечити незалежність висновків.
На етапі Report генерується повний аналіз експлуатаційної можливості кожної вразливості, а окремий агент перевіряє, чи відповідає аргументація у звіті номерам рядків у вихідному коді та фактичним результатам. Перед застосуванням патчу система вимагає людського підтвердження.
Вся лінія працює у sandbox-середовищі gVisor. Це легка віртуалізація на рівні ядра ОС, яка ізолює процеси, і AI-агенти у контейнерах не мають доступу до файлової системи хоста, а вихід у мережу відкритий лише до Claude API, щоб не витікала жодна інформація.
Два шляхи, один вибір
Ця система пропонує два способи використання, з великим розривом у складності, і Anthropic рекомендує починати з простішого.
Перший: інтерактивні навички (Interactive Skills). Потрібно лише чотири команди:
git clone https://github.com/anthropics/defending-code-reference-harness cd defending-code-reference-harness claude /quickstart
Запуск /quickstart проведе вас через весь демонстраційний процес: моделювання загроз → статичний аналіз вразливостей → ручне класифікування та усунення дублікатів → генерація патчів. Весь процес без контейнера, підходить для ознайомлення з логікою перед автоматизацією.
Другий: автоматизована лінія (Autonomous Pipeline). Потрібно встановити gVisor, налаштувати ANTHROPIC_API_KEY, і запустити повний сіметапний процес на реальному цільовому коді, щоб отримати звіти з довірою та кандидатські патчі. У репозиторії GitHub є приклад з вразливостями — drlibs, рекомендується спробувати спочатку з ним, а потім перейти до власних цілей.
Рекомендується такий режим: перший день — запуск інтерактивного процесу, другий — автоматичний запуск на C/C++ цільових програм, третій-п’ятий дні — адаптація /customize для інших мов або типів вразливостей.
У файлах є важливий вислів: «Успішні команди уникають спокуси створити ідеальну лінію перед початком; запускають ітеративно, поки не досягнуть результату.»
Стіна руйнується одним і тим самим інструментом
Ця асиметрія у кіберзахисті довгий час має структурний характер. Атака — лише знайти один вхід; захист — закрити кожен щілину.
Target’и, як GhostScript, OpenSC, CGIF — це вже зрілі, широко розгорнуті відкриті проекти, але вразливості, що ховаються там десятиліттями, залишалися непоміченими людським оглядом, доки Claude Opus не прочитав історію комітів, не зробив неповний патч, не прослідкував логіку до іншого файлу і не згенерував реальний PoC. Це не правила і не пошук за шаблонами — це дедукція.
Anthropic пропонує два шляхи: відкритий Defending Code Reference Harness для команд, що хочуть повний контроль, — самостійно розгортати і налаштовувати; і Claude Security — комерційний сервіс, що не вимагає налаштувань gVisor і інфраструктури.
Відкритий варіант — це прозорість і контроль, закритий — швидкість запуску без зайвих зусиль. За цим стоїть стратегія Anthropic — зробити захисні інструменти базовою інфраструктурою.
Раніше пошук вразливостей був привілеєм великих організацій із ресурсами для найму топових червоних команд. Тепер ця лінія відкрилася, і стіна асиметрії між захистом і атакою руйнується одночасно з обох боків одним і тим самим інструментом.