Anthropic hat die Open-Source-Referenzimplementierung defending-code-reference-harness auf GitHub veröffentlicht. Das Projekt stellt ein Framework für die autonome Aufspürung und Beseitigung von Schwachstellen in Quellcode bereit, das auf Claude basiert. Es fasst die Erkenntnisse aus der Zusammenarbeit mit Sicherheitsteams mehrerer Unternehmen zusammen, die die Claude-Mythos-Preview getestet haben. Die Lösung bietet interaktive Fähigkeiten für Threat-Modeling, statische Scans, Triage und Patch-Erstellung. Im Kern umfasst sie einen autonomen Prüfharnes, der den Workflow von der Reconnaissance über die Fehlererkennung und Validierung bis zur Berichterstattung und Patch-Generierung abdeckt. Die Architektur ist sprachen- und detektorunabhängig konzipiert und lässt sich über die Claude-API sowie Drittplattformen wie AWS Bedrock, Google Vertex AI oder Azure nutzen. Ein Fokus liegt dabei auf der Reduzierung von False Positives durch mehrstufige Verifizierungsprozesse. Der autonome Pipeline-Modus erfordert zur Ausführung von Zielcode ein gVisor-Sandboxing, während die interaktiven Analyse-Skills rein dateibasiert arbeiten und ohne Sandboxing auskommen. Die Referenzpipeline ist ursprünglich für C- und C++-Speicherfehlersuche konzipiert, lässt sich jedoch durch Anpassung der Konfigurationsdateien und des customize-Kommandos auf andere Technologien übertragen. Der Bereitstellungsprozess ist in einem strukturierten zweiwöchigen Fahrplan dokumentiert, der vom ersten statischen Scan über die erste autonome Testlauf-Implementierung bis zur vollständigen Integration in den Entwicklungslebenszyklus führt. Das Repository wird nicht aktiv gewartet und nimmt keine externen Beiträge entgegen. Für Unternehmen, die eine vollständig gehostete Lösung bevorzugen, bietet Anthropic das kommerzielle Produkt Claude Security an. Dieses skaliert die Scan-Funktionen über mehrere Projekte hinweg, integriert eine mehrstufige Validierungs-Pipeline und bietet ein Lifecycle-Management für Schwachstellen. Die Veröffentlichung unterstreicht Anthropics Strategie, KI-gestützte Sicherheitsprozesse durch transparente Referenzarchitekturen zu etablieren. Langfristig zielt das Framework darauf ab, Security-Scans fest in CI/CD-Pipelines zu integrieren und kontinuierliche, automatisierte Code-Überprüfungen als Standard in der Softwareentwicklung zu verankern.