Anthropic 同日双响炮：AI 自我进化路线图 + 开源漏洞框架

核心结论

2026 年 6 月 6 日，Anthropic 在同一天发布了两篇重量级文章——一篇来自 Anthropic Institute 的研究报告《When AI Builds Itself》，首次公开了 AI 在自我进化道路上的内部数据；另一篇是开源项目《Defending Code Reference Harness》，一个基于 Claude 的全自动漏洞发现和修复框架。两篇文章虽方向不同，但指向同一个信号：AI 开发 AI 的时代已经到来，且在工程和安全两个维度同时推进。

正文

故事一：AI 自进化路线图——当 AI 开始写自己的代码

Anthropic Institute 最新发布的报告首次披露了公司内部的惊人数据：截至 2026 年 5 月，Anthropic 合并的代码中超过 80% 由 Claude 编写。而在 2025 年 2 月 Claude Code 研究预览版发布前，这个数字还是个位数。

报告的核心结论可以用几个数据概括：

• 工程效率：Anthropic 工程师每季度提交的代码量是 2021-2025 年平均水平的 8 倍
• 自主能力：Claude 在不指定方法的情况下解决开放式任务的成功率从 2025 年 11 月的 50% 提升到 2026 年 5 月的 76%，仅半年提升 26 个百分点
• 研究能力：在 CORE-Bench（复现研究成果的基准测试）上，AI 系统从 2024 年底的不到 5% 成功率提升到 2026 年 5 月的 57%
• AI 独立完成任务的时长：每约 4 个月翻倍，从 2024 年 3 月的约 1 分钟增长到 2026 年 5 月的约 30 分钟

报告中最引人注目的是"自主研究能力"的进步。2026 年 4 月，Anthropic 首次展示了 Claude 端到端运行开放式研究项目的演示——Claude 被赋予一个 AI 安全领域的开放问题后，自主设计实验、执行代码、分析结果并给出结论。

更有意思的是研究判断力的数据：在 129 个真实 Claude Code 会话中（2026 年 1-3 月），独立审查者认为 Claude 选择的下一步研究方向在 30% 的情况下比人类更好，只有 25% 的情况明显不如人类。这在一年前几乎不可想象。

但报告也坦诚指出了局限：Claude 编写的代码在可读性和可维护性上仍略逊于人类编写的代码，尽管差距正在快速缩小。Anthropic 内部也在用 Claude 做自动化代码审查——回顾性分析显示，Claude 审查者发现的 bug 中，约 70% 在人类审查时被忽略。

对 AI Agent 从业者来说，最直接的启示是：AI 开发 AI 不是理论推演，而是已经在发生的现实。如果你还在调试"让 AI 写一个完整函数"的能力，Anthropic 已经到"让 AI 自主探索研究问题"的阶段了。

故事二：开源漏洞框架——当 AI 开始找自己的 bug

同一天，Anthropic 开源了 Defending Code Reference Harness——基于 Claude 的自主漏洞发现和修复框架，在 GitHub 上获得 2,573 星。

这个框架的实际意义远大于一个普通开源项目。它是 Anthropic 从 Glasswing（Claude Mythos 系统的安全评估项目）中总结的最佳实践集合，包含：

1. Claude Code 技能集：/quickstart、/threat-model、/vuln-scan、/triage、/patch、/customize——从威胁建模到漏洞扫描再到自动补丁，全流程交互式操作
2. 自动化管线（harness/）：基于 Docker 和 ASAN 的 C/C++ 内存漏洞自动发现管线，支持自主扫描、验证、报告和修复
3. gVisor 沙箱安全：自动化管线运行被沙箱隔离，防止恶意代码对系统造成影响

框架的四天上手计划也很务实：

• Day 1：构建威胁模型 + 首轮静态扫描 + 分类
• Day 2：在 C/C++ 库上运行参考管线
• Days 3-5：根据目标自定义管线
• Week 2：启动自主扫描、分类和修复

这与 Anthropic 在产品层面的布局一致——除了开源框架，还提供托管产品 Claude Security（企业版，多项目源码漏洞发现和修复）。

两件事放在一起看

一方面，Anthropic 告诉世界"AI 正在自己写自己 80% 的代码，甚至开始有自己的研究判断力"；另一方面，Anthropic 也开源了"让 AI 自己找自己代码里 bug"的完整框架。

这是一个闭环：AI 写代码 → AI 审查代码 → AI 找漏洞 → AI 打补丁。而人类在这个循环中的角色，正在从"执行者"变成"方向制定者"——这正是 Anthropic Institute 报告的核心论点。

工具词条

这个组合新闻涉及多个关键工具和框架。Claude Code 是 Anthropic 推出的 AI 编码 Agent，也是驱动上述所有能力的核心引擎。Defending Code Reference Harness 开源框架使用 Python 编写，基于 Docker 沙箱运行。Claude Security 是企业级托管产品，适用于需要跨项目管理漏洞的团队。这些工具和技术栈对构建 AI Agent 自动化工作流的开发者具有直接参考价值。

社区反应

HN 上两篇文章合计获得 980+ 分和 160+ 条评论。最热门的评论对 Anthropic 的时机持怀疑态度——"考虑到公司正在准备 IPO，这份报告更像是路演材料"。但也有开发者指出，无论动机如何，80% 代码由 AI 编写这一事实本身就说明了一切。

下一步行动

如果你在搭建 AI Agent 工作流，可以立即做三件事：

1. 阅读 Anthropic Institute 报告原文，重点关注其"自主研究判断力"的数据——这决定了你的 Agent 架构是否应该扩权
2. 尝试 Defending Code Reference Harness 的 /quickstart 技能——30 秒即可在 Claude Code 中体验完整的安全扫描闭环
3. 思考你的项目在"AI 写代码→AI 审查→AI 安全"这条闭环中的位置——你很可能正在经历类似的过程，只是规模不同

相关阅读：

• [AI 编程 Agent 技术选型指南：语言、模型、成本三维决策框架]
• [Anthropic 发布 Mythos Preview：安全评估背后的 Glasswing 架构]