---
title: "为网络防御者打造 AI"
title_en: "Building AI for cyber defenders"
source: "Anthropic"
source_url: "https://www.anthropic.com/research/building-ai-cyber-defenders"
published_at: "2026-07-08T22:00:39.000Z"
language: "zh-CN"
topics: ["claude"]
tags: ["Anthropic","Claude"]
review_status: "unreviewed"
---

# 为网络防御者打造 AI

> Anthropic 通过提升 Claude 的网络安全能力，帮助防御者发现、分析和修复漏洞，并宣布 Claude Sonnet 4.5 在代码漏洞发现等任务上达到或超越此前的前沿模型 Opus 4.1。

## 内容摘要

Anthropic 认为 AI 对网络安全的影响已到转折点，攻击者正利用 AI 扩大活动，因此加速将 AI 用于防御。Claude Sonnet 4.5 在 Cybench 和 CyberGym 等评估中表现显著提升，能发现和修补漏洞，且成本更低、速度更快。与 HackerOne、CrowdStrike 等合作伙伴的实践也验证了其潜力。Anthropic 呼吁更多组织尝试 AI 改善安全态势，并继

## 为什么值得关注

AI 正同时被攻击者和防御者使用。如果防御者不积极采用 AI，可能将网络优势拱手让给攻击者。Claude Sonnet 4.5 的进步表明 AI 能帮助安全团队更快发现和修复漏洞，降低风险，这对保护数字基础设施至关重要。

## 核心要点

- Claude Sonnet 4.5 在漏洞发现和修补能力上达到或超越 Opus 4.1，且成本更低、速度更快。
- 在 Cybench 评估中，Sonnet 4.5 10 次尝试成功率达 76.5%，较半年前翻倍。
- 在 CyberGym 评估中，Sonnet 4.5 发现新漏洞的比例从 2% 提升至 5%，30 次尝试时超过 33%。
- Anthropic 发现并阻止了利用 Claude 进行数据勒索和情报行动的攻击者。
- 与 HackerOne、CrowdStrike 等合作表明 Claude 能加速安全流程并提高准确率。
- Anthropic 呼吁更多组织尝试 AI 改善安全态势，并继续改进模型防御能力。

AI 模型现在不仅能用于理论，在实际的网络安全任务中也很有用了。随着研究和经验证明前沿 AI 能成为网络攻击者的工具，我们投入了精力来提升 Claude 的能力，帮助防御者发现、分析和修复代码以及已部署系统中的漏洞。这项工作让 Claude Sonnet 4.5 在发现代码漏洞和其他网络安全技能方面，能够达到甚至超越 Opus 4.1——这是我们仅两个月前发布的前沿模型。采用并尝试 AI 将是防御者跟上节奏的关键。

我们相信，现在正处于 AI 对网络安全产生影响的转折点。

几年来，我们的团队一直在仔细追踪 AI 模型与网络安全相关的能力。最初，我们发现模型在高级且有意义的任务上并不特别强大。然而，在过去一年左右的时间里，我们注意到一个转变。例如：

- 我们展示了模型能够[在模拟中重现历史上代价最高的网络攻击之一](https://red.anthropic.com/2025/cyber-toolkits/)——2017 年的 Equifax 数据泄露事件。
- 我们让 Claude 参加网络安全比赛，它在某些情况下[表现优于人类团队](https://red.anthropic.com/2025/cyber-competitions/)。
- Claude 帮助我们[发现了自己代码中的漏洞](https://www.anthropic.com/news/automate-security-reviews-with-claude-code)，并在发布前修复了它们。

在今年夏天的 DARPA [AI 网络挑战赛](https://aicyberchallenge.com/)中，团队使用大语言模型（包括 Claude）构建了“网络推理系统”，检查数百万行代码以发现需要修补的漏洞。除了插入的漏洞外，团队还发现了（有时也修补了）[之前未发现的、非合成的漏洞](https://aicyberchallenge.com/Finals-winners-announcement/)。在比赛之外，其他前沿实验室现在也应用模型来[发现并报告新漏洞](https://blog.google/technology/safety-security/cybersecurity-updates-summer-2025/)。

与此同时，作为我们安全防护工作的一部分，我们在自己的平台上发现并阻止了利用 AI 扩大其活动的威胁行为者。我们的[安全防护](https://www.anthropic.com/news/building-safeguards-for-claude)团队最近发现（并阻止）了一起“[氛围黑客](https://www.anthropic.com/news/detecting-countering-misuse-aug-2025)”事件，一名网络犯罪分子利用 Claude 构建了一个大规模的数据勒索计划，而以前这需要一整支团队才能完成。安全防护团队还检测并阻止了 Claude 被用于日益[复杂的情报行动](https://www-cdn.anthropic.com/b2a76c6f6992465c09a6f2fce282f6c0cea8c200.pdf)，包括针对关键电信基础设施的行动，该行为者表现出与中国 APT 行动一致的特征。

所有这些证据都让我们认为，我们正处于网络生态系统的一个重要转折点，从此刻开始，进展可能会变得非常快，或者使用量可能会迅速增长。

因此，现在是加速将 AI 用于防御、保护代码和基础设施的重要时刻。我们不应把 AI 带来的网络优势拱手让给攻击者和犯罪分子。虽然我们会继续投资于检测和阻止恶意攻击者，但我们认为最可扩展的解决方案是构建 AI 系统，赋能那些保护我们数字环境的人——比如保护企业和政府的安全团队、网络安全研究人员，以及关键开源软件的维护者。

在 Claude Sonnet 4.5 发布前夕，我们开始这样做了。

## Claude Sonnet 4.5：强调网络安全技能

随着大语言模型规模扩大，“涌现能力”——即较小模型中不明显、也不一定是模型训练明确目标的技能——会出现。事实上，Claude 执行网络安全任务的能力，比如在“夺旗”挑战中发现和利用软件漏洞，是开发通用 AI 助手的副产品。

但我们不想仅仅依赖通用模型的进步来更好地武装防御者。由于 AI 和网络安全演变中这一时刻的紧迫性，我们专门指派了研究人员，让 Claude 在代码漏洞发现和修补等关键技能上变得更好。

这项工作的成果体现在 Claude Sonnet 4.5 上。它在网络安全的许多方面与 Claude Opus 4.1 相当或更优，同时成本更低、速度更快。

## 来自评估的证据

在构建 Sonnet 4.5 时，我们有一个小型研究团队专注于增强 Claude 在代码库中发现漏洞、修补漏洞以及测试模拟部署安全基础设施弱点的能力。我们选择这些任务是因为它们反映了防御方的重要工作。我们刻意避免了明显有利于攻击工作的增强——比如高级利用或编写恶意软件。我们希望让模型能够在部署前发现不安全的代码，并在部署后找到并修复漏洞。当然，还有许多我们没有关注的关键安全任务；在本文末尾，我们会详细说明未来的方向。

为了测试我们研究的效果，我们对模型进行了行业标准的评估。这些评估可以清晰地比较不同模型，衡量 AI 进步的速度，并且——尤其是在使用新颖的、外部开发的评估时——提供了一个很好的指标，确保我们不是在针对自己的测试进行训练。

在运行这些评估时，一个突出的点是多次运行的重要性。即使对于一大组评估任务来说计算成本很高，但它能更好地捕捉一个动机强烈的攻击者或防御者在任何特定现实问题上的行为。这样做不仅揭示了 Claude Sonnet 4.5 令人印象深刻的表现，也揭示了比它早几代的模型的表现。

### Cybench

我们追踪了一年多的评估之一是 [Cybench](https://cybench.github.io/)，这是一个基于 CTF 比赛挑战的基准测试¹。在这个评估中，我们看到 Claude Sonnet 4.5 取得了显著进步，不仅超越了 Claude Sonnet 4，甚至超越了 Claude Opus 4 和 4.1 模型。也许最引人注目的是，Sonnet 4.5 在每个任务尝试一次的情况下，其成功率甚至高于 Opus 4.1 在每个任务尝试十次的情况。这个评估中的挑战反映了相对复杂、持续时间长的工作流程。例如，一个挑战涉及分析网络流量、从流量中提取恶意软件、以及反编译和解密该恶意软件。我们估计，一个熟练的人类至少需要一个小时，甚至可能更长；而 Claude 用了 38 分钟解决它。

当我们给 Claude Sonnet 4.5 在 Cybench 评估中 10 次尝试机会时，它在 76.5% 的挑战中成功了。这一点尤其值得注意，因为在过去六个月里，我们将这个成功率翻了一番（2025 年 2 月发布的 Sonnet 3.7，在 10 次尝试时成功率仅为 35.9%）。

### CyberGym

在另一个外部评估中，我们在 [CyberGym](https://www.cybergym.io/) 上评估了 Claude Sonnet 4.5。CyberGym 是一个基准测试，用于评估智能体（1）在给定弱点的高级描述后，在真实开源软件项目中找到（先前已发现的）漏洞的能力，以及（2）发现新（先前未发现的）漏洞的能力²。CyberGym 团队之前发现，Claude Sonnet 4 是他们[公开排行榜](https://www.cybergym.io/)上最强的模型。

Claude Sonnet 4.5 的得分明显高于 Claude Sonnet 4 或 Claude Opus 4。当使用与 CyberGym 公开排行榜相同的成本限制（即每个漏洞的 LLM API 查询费用上限为 2 美元）时，我们发现 Sonnet 4.5 达到了 28.9% 的最新最优得分。但真正的攻击者很少受到这种限制：他们可以尝试多次攻击，远不止每次 2 美元。当我们移除这些限制，给 Claude 每个任务 30 次尝试机会时，我们发现 Sonnet 4.5 在 66.7% 的程序中重现了漏洞。虽然这种方法的相对价格更高，但绝对成本——尝试一个任务 30 次大约 45 美元——仍然相当低。

同样有趣的是 Claude Sonnet 4.5 发现新漏洞的比率。虽然 CyberGym 排行榜显示 Claude Sonnet 4 仅在大约 2% 的目标中发现漏洞，但 Sonnet 4.5 在 5% 的情况下发现了新漏洞。通过重复试验 30 次，它在超过 33% 的项目中发现了新漏洞。

### 关于修补的进一步研究

我们还在进行关于 Claude 生成和审查修复漏洞补丁能力的初步研究。修补漏洞比发现漏洞更难，因为模型必须进行精确的修改，在移除漏洞的同时不改变原始功能。在没有指导或规范的情况下，模型必须从代码库中推断出预期的功能。

在我们的实验中，我们让 Claude Sonnet 4.5 根据漏洞描述和程序崩溃时正在做什么的信息，修补 CyberGym 评估集中的漏洞。我们让 Claude 评判自己的工作，要求它通过将提交的补丁与人类编写的参考补丁进行比较来评分。15% 的 Claude 生成的补丁被认为与人类生成的补丁在语义上等价。然而，这种基于比较的方法有一个重要的局限性：因为漏洞通常可以通过多种有效方式修复，与参考不同的补丁可能仍然是正确的，这会导致我们评估中的假阴性。

我们手动分析了一组得分最高的补丁样本，发现它们与已合并到 CyberGym 评估所基于的开源软件中的参考补丁在功能上完全相同。这项工作揭示了一个与我们更广泛的发现一致的模式：Claude 在整体改进的同时，也会发展出与网络相关的技能。我们的初步结果表明，补丁生成——就像之前的漏洞发现一样——是一种涌现能力，可以通过有针对性的研究来增强。我们的下一步是系统地解决我们已经发现的挑战，使 Claude 成为一个可靠的补丁作者和审查者。

## 与可信赖的合作伙伴交流

现实世界中的防御性安全比我们的评估所能捕捉到的要复杂得多。我们一直发现，实际问题更复杂，挑战更艰巨，实现细节非常重要。因此，我们认为与那些实际使用 AI 进行防御的组织合作，获取关于我们的研究如何加速他们工作的反馈，这一点很重要。在 Sonnet 4.5 发布前夕，我们与许多组织合作，他们将模型应用于自己在漏洞修复、测试网络安全和威胁分析等领域的实际挑战。

HackerOne 的首席产品官 Nidhi Aggarwal 说：“Claude Sonnet 4.5 将我们 Hai 安全代理的平均漏洞接收时间减少了 44%，同时将准确率提高了 25%，帮助我们自信地降低企业风险。”CrowdStrike 的数据科学高级副总裁兼首席科学家 Sven Krasser 说：“Claude 在红队测试方面显示出巨大的潜力——它能生成创造性的攻击场景，加速我们研究攻击者战术的过程。这些见解加强了我们在端点、身份、云、数据、SaaS 和 AI 工作负载方面的防御。”

这些评价让我们对 Claude 在应用性防御工作方面的潜力更有信心。

## 下一步是什么？

Claude Sonnet 4.5 代表了一个有意义的进步，但我们知道它的许多能力还处于初级阶段，尚未达到安全专业人员和既定流程的水平。我们将继续努力改进我们模型与防御相关的能力，并增强保护我们平台的威胁情报和缓解措施。事实上，我们已经利用调查和评估的结果，不断改进我们捕捉模型被滥用于有害网络行为的能力。这包括使用诸如组织级别的[摘要](https://alignment.anthropic.com/2025/summarization-for-monitoring/)等技术，来理解超越单个提示和完成的更大图景；这有助于将双重用途行为与恶意行为区分开来，特别是对于涉及大规模自动化活动的最具破坏性的用例。

但我们相信，现在是尽可能多的组织开始尝试 AI 如何改善其安全态势，并构建评估来衡量这些收益的时候了。Claude Code 中的[自动化安全审查](https://www.anthropic.com/news/automate-security-reviews-with-claude-code)展示了 AI 如何集成到 CI/CD 流水线中。我们特别希望让研究人员和团队能够在安全运营中心自动化、安全信息和事件管理分析、安全网络工程或主动防御等领域尝试应用模型。我们希望看到并使用更多针对防御能力的评估，作为不断增长的[第三方模型评估生态系统](https://www.anthropic.com/news/a-new-initiative-for-developing-third-party-model-evaluations)的一部分。

但即使构建和采用有利于防御者的方案也只是解决方案的一部分。我们还需要讨论如何使数字基础设施更具韧性，以及如何从一开始就设计安全的软件——包括借助前沿 AI 模型的帮助。我们期待与行业、政府和公民社会进行这些讨论，因为我们正在经历 AI 对网络安全的影响从未来的担忧转变为当今的当务之急的时刻。

1. Andy K Zhang 等人，“Cybench: A Framework for Evaluating Cybersecurity Capabilities and Risks of Language Models”，载于第十三届国际学习表征会议（2025），[https://openreview.net/forum?id=tc90LV0yRL](https://openreview.net/forum?id=tc90LV0yRL)。

2. Zhun Wang 等人，“CyberGym: Evaluating AI Agents' Cybersecurity Capabilities with Real-World Vulnerabilities at Scale”，arXiv 预印本 arXiv:2506.02548（2025），[https://arxiv.org/abs/2506.02548](https://arxiv.org/abs/2506.02548)。

## 相关内容

### AI 模型中双重用途知识的开关

### 语言模型中的全局工作空间

新的可解释性研究揭示了 Claude 中一个涌现的心理工作空间，它持有不显示在模型输出中的内部想法。

### Anthropic 经济指数报告：节奏

在我们最新的经济指数报告中，我们首次按小时采样，以询问：人们什么时候来找 Claude？他们用它做什么？他们如何看待 AI 对其工作的影响？

## 订阅前沿红队通讯

获取我们最新的红队研究和发现的更新。

---

英文原文：[Building AI for cyber defenders](https://www.anthropic.com/research/building-ai-cyber-defenders)
