Defending Code Reference Harness – Claude 기반 자율 취약점 탐지·패치 파이프라인

7단계 파이프라인
보안 격리
Claude Code 통합
Claude Security와의 관계
어떤 케이스에 유용한가
관련 문서
참고 자료

Defending Code Reference Harness는 Anthropic이 공개한 자율 취약점 탐지·수정 레퍼런스 구현체다. 여러 보안팀과의 파트너십에서 얻은 노하우를 바탕으로, Claude를 이용해 소스코드의 취약점을 찾고 패치 후보를 생성하는 전 과정을 자동화한다. GitHub에 오픈소스로 공개됐으며, 이를 기반으로 한 상용 제품인 Claude Security도 별도로 제공된다.

7단계 파이프라인

파이프라인은 순서대로 자동 실행된다:

Build: 타깃을 ASAN(메모리 오류 탐지기)이 포함된 Docker 이미지로 컴파일
Recon: 경량 에이전트가 소스를 읽고 병렬 탐색을 위한 파티션(입력 파싱 서브시스템별 공격 영역) 제안
Find: N개 에이전트가 각자 격리된 컨테이너에서 병렬로 악성 입력을 생성·실행해 크래시를 유발
Verify: 별도 채점 에이전트가 새로운 컨테이너에서 크래시를 재현 (오탐 필터링)
Dedupe: 판정 에이전트가 이미 보고된 버그와 비교해 신규/중복/더 나은 예제 여부 판단
Report: 검증된 크래시에 대한 익스플로잇 가능성 리포트 생성
Patch: 각 발견에 대한 패치 후보 생성

# 한 번에 실행
bin/vp-sandboxed run drlibs --model <model-id> --runs 3 --parallel --stream --auto-focus
# 패치 생성
bin/vp-sandboxed patch results/drlibs/<timestamp>/ --model <model-id>

보안 격리

에이전트는 모두 gVisor 컨테이너 안에서 실행된다. 아웃바운드 트래픽은 Claude API로만 제한되어, 에이전트가 외부 시스템에 접근하거나 부작용을 일으킬 수 없다.

Claude Code 통합

Claude Code와 바로 연결해 사용할 수 있다:

git clone https://github.com/anthropics/defending-code-reference-harness
cd defending-code-reference-harness
claude
> /quickstart

/quickstart 명령으로 30초 안에 카나리 타깃에 대한 첫 실행을 안내받을 수 있다. Skills 형태로 위협 모델링, 스캐닝, 트리아지, 패칭 기능도 포함한다.

Claude Security와의 관계

이 레퍼런스 구현체는 Anthropic의 Claude Security 상용 제품의 오픈소스 기반이다. Claude Security는 여러 프로젝트에 걸쳐 취약점을 탐지하고, 다단계 검증 파이프라인으로 오탐을 줄이며, 발견→트리아지→패치 검증→빠른 수정 생성까지 관리하는 호스팅 서비스다.

레퍼런스 구현체는 현재 유지보수가 이루어지지 않으므로, 프로덕션 사용에는 Claude Security를 권장한다.

어떤 케이스에 유용한가

C/C++ 오픈소스 라이브러리의 메모리 취약점을 자동으로 탐지하고 싶은 보안팀
AI 기반 취약점 탐지 파이프라인을 자체 스택에 맞게 커스터마이징하려는 경우
Claude API(Bedrock, Vertex, Azure 포함)를 활용한 자율 보안 자동화를 연구하는 팀

참고 자료

anthropics/defending-code-reference-harness — GitHub 공식 저장소
Using LLMs to secure source code — Anthropic 블로그 (동반 포스트)

Like?

AI Sparkup