بقلم: ليلى | محررة أدوات المطورين · صوت تحريري بإشراف بشري
كشفت أنثروبيك عن إطار عمل مفتوح المصدر يحمل اسم Defending Code Reference Harness يمكن المطورين من اكتشاف الثغرات الأمنية وإصلاحها تلقائياً باستخدام نموذج Claude. هذا الإطار نتاج شراكة أنثروبيك مع فرق الأمان في عدة منظمات منذ إطلاق معاينة Claude Mythos، ويستهدف بناء خط أنابيب متقدم لأمان الأكواد البرمجية.
يعمل الإطار وفق دورة كاملة تشمل سبع مراحل متتابعة، بدءاً من الاستطلاع وصولاً لتوليد الإصلاحات المُتحقق منها. التصميم الأساسي يركز على ثغرات الذاكرة في لغتي C و C++ باستخدام تقنية ASAN، لكن البنية العامة للإطار قابلة للتكيف مع أي لغة برمجة أو نوع من الثغرات الأمنية.
- البناء (Build): يصرّف الكود المستهدف إلى صورة Docker مع دمج ASAN كأداة كشف أخطاء الذاكرة، والإطار يبني هذه الصورة تلقائياً في التشغيل الأول باستخدام Dockerfile الخاص بالهدف.
- الاستطلاع (Recon): عميل خفيف الوزن يقرأ الكود المصدري داخل حاوية معزولة الشبكة ويقترح تقسيماً للنظام، أي “هنا N أنظمة فرعية متمايزة لمعالجة المدخلات تستحق الهجوم منفصلة” لضمان استكشاف العملاء المتوازيين لمناطق مختلفة بدلاً من التجمع على نفس الثغرة.
- العثور (Find): N عملاء يعملون بالتوازي، كل في حاويته المعزولة. كل عميل يقرأ الكود المصدري ويصيغ مدخلات معطوبة ويشغل الكود المدمج مع ASAN حتى ينتج مدخل معين عطلاً 3 مرات من أصل 3 محاولات.
- التحقق (Verify): عميل منفصل للتقييم يعيد إنتاج كل عطل في حاوية جديدة لم يلمسها عميل العثور. الشيء الوحيد الذي ينتقل من عميل العثور للمُقيم هو دليل المفهوم الذي أنتجه.
- إزالة التكرار (Dedupe): عميل حكم يقارن الأعطال المُتحقق منها بالثغرات المُبلغ عنها مسبقاً ويقرر ما إذا كان كل عطل ثغرة جديدة أو مثال أفضل لثغرة معروفة أو تكرار يُتخطى.
- الإبلاغ (Report): عميل إعداد التقارير يكتب تحليل هيكلي لقابلية الاستغلال لكل ثغرة فريدة، يشمل تفاصيل حول فئة البدائية وإمكانية الوصول ومسار التصعيد والشدة.
- الترقيع (Patch): عميل ترقيع يكتب إصلاحاً مقترحاً، وعميل تقييم يؤكد أن الكود الجديد يُبنى بنجاح وأن مدخل دليل المفهوم الأصلي لم يعد يُسبب عطلاً وأن مجموعة اختبارات الهدف ما زالت تنجح وأن عميل عثور جديد لا يجد طريقة للالتفاف حول الإصلاح.
تقدم أنثروبيك خريطة طريق عملية لتطبيق الإطار خلال أسبوعين. اليوم الأول يركز على بناء نموذج تهديد وتشغيل أول فحص ثابت مع فرز النتائج وصياغة إصلاحات مرشحة. اليوم الثاني ينتقل للتشغيل الكامل لخط الأنابيب المرجعي على مكتبة C/C++ مفتوحة المصدر معروفة الثغرات. الأيام 3-5 تُخصص لتكييف الإطار مع الهدف المحدد. الأسبوع الثاني يبدأ الفحص والفرز والترقيع المستقل الكامل.
من ناحية الأمان، يطبق الإطار احتياطات صارمة حيث تعمل العملاء المستقلين داخل حاويات gVisor مع قيود شبكية تحصر الاتصال على Claude API فقط. العملاء المُولدين للأهداف يرفضون البدء خارج هذه البيئة المحمية ما لم يُلغَ ذلك صراحة.
للمنظمات التي تفضل حل مُدار، تقدم أنثروبيك Claude Security كمنتج مُستضاف يجد الثغرات ويصلحها عبر مشاريع متعددة مع خط أنابيب تحقق متعدد المراحل لتقليل الإيجابيات الكاذبة وإدارة النتائج عبر دورة حياتها الكاملة.
لكن الإطار المرجعي ليس منتج جاهز للاستخدام. البنية العامة والنصوص التوجيهية والعزل قابلة للإعادة الاستخدام، لكن الإطار لن يعمل على كل قاعدة أكواد مباشرة. كما أن النتائج من الفحص الثابت (خطوة واحدة فقط) ستحتوي على إيجابيات كاذبة أكثر مقارنة بالنتائج المُتحقق من تنفيذها عبر خط الأنابيب الكامل.
