Anthropic ha publicado en GitHub un repositorio de referencia para la detección y corrección autónoma de vulnerabilidades en código fuente mediante Claude. El proyecto, llamado defending-code-reference-harness, recoge las prácticas que la empresa ha desarrollado junto a equipos de seguridad de varias organizaciones desde el lanzamiento de Claude Mythos Preview.
La herramienta se articula en dos componentes. Por un lado, un conjunto de habilidades para Claude Code (/quickstart, /threat-model, /vuln-scan, /triage, /patch y /customize) que guían al usuario de forma interactiva por las fases de modelado de amenazas, escaneo estático, triaje y generación de parches. Por otro, un pipeline autónomo de referencia (recon → find → verify → report → patch) configurado por defecto para detectar vulnerabilidades de memoria en C/C++ mediante Docker y AddressSanitizer (ASAN).
El repositorio propone una curva de aprendizaje estructurada en cuatro etapas. En el día 1 se completa el ciclo con las habilidades interactivas sobre un objetivo "canary" de prueba. En el día 2 se ejecuta el pipeline autónomo sobre una biblioteca de código abierto con vulnerabilidades conocidas, produciendo caídas reproducibles, informes de explotabilidad y parches candidatos. Entre los días 3 y 5 el usuario personaliza el flujo para su propio lenguaje, detector o clase de vulnerabilidades. A partir de la segunda semana se pone en marcha el escaneo, triaje y parcheado autónomos de forma continua.
En materia de seguridad, las habilidades interactivas solo leen y escriben archivos del repositorio, por lo que pueden ejecutarse sin entorno aislado siempre que se revise cada acción de Claude Code. El pipeline autónomo, en cambio, ejecuta código del objetivo y rehúsa correr fuera de un sandbox gVisor salvo confirmación explícita. El repositorio incluye un script de instalación del sandbox, imágenes Docker para los agentes y listas de salida de red permitidas.
El proyecto no se mantiene activamente ni admite contribuciones, y se distribuye como punto de partida para que los equipos construyan su propio pipeline. Anthropic ofrece además Claude Security, un producto gestionado que escanea repositorios, aplica verificación en varias etapas para reducir falsos positivos y gestiona los hallazgos a lo largo de su ciclo de vida.