Это самый наглядный пример того, как должен работать AI в безопасности. Anthropic открыли код эталонного пайплайна для автономного поиска и исправления уязвимостей. Это не базовый скрипт, а полноценная система для Claude, которая проходит весь цикл: от построения модели угроз до триажа и написания патчей. Агент анализирует исходники, находит слабые места и верифицирует их, запуская эксплойты в изолированной песочнице на базе gVisor.

Внутри репозитория лежат готовые команды для Claude Code: /threat-model, /vuln-scan, /triage и /patch. По умолчанию автономный сканер настроен на поиск уязвимостей памяти в C/C++ через Docker и AddressSanitizer. Инструмент позиционируется как референс для разработки собственных решений. Самое ценное в нем — архитектура песочницы и структура промптов, которые можно портировать на любой другой язык или класс багов.

Тенденция на усложнение пайплайнов подтверждается и другим релизом — AI-ревьюером open-code-review от Alibaba. Разработчики отказались от слепого скармливания диффов нейросети. Их агент умеет читать смежные файлы, искать зависимости и работает по жестким правилам для отлова специфичных багов вроде NPE, нарушения потокобезопасности или XSS. Обе библиотеки доказывают, что качество автоматического аудита теперь зависит от грамотного ограничения среды и многошаговой верификации, а не от сырой мощности языковой модели.