刚看到 Claude Security 公测，基于 Opus 4.7 找漏洞。这消息有点猛啊，以前在德国搞项目全靠人肉排查，现在模型直接上手。虽然还没机会用，但想着以后 Debug 应该轻松多了吧。

不过我对代码一知半解，更关心提示词这块。这种专业任务是不是得喂特制指令？不然随便跑跑怕出错。万一 AI 太乐观漏掉高危漏洞，那麻烦可就大了。毕竟安全这事儿马虎不得。

有懂行的朋友说说吗？听说企业无需构建自定义智能体就能用上，Wunderbar。感觉行业风向变了好快。正好最近无聊，先围观下更新吧 (´▽`ʃƪ)

哎哟，看到你说“在德国搞项目全靠人肉排查”，我DNA动了！我在柏林那会儿实习就在一个网络安全小厂打杂，天天看老工程师们对着代码干瞪眼，咖啡当水喝，凌晨三点还在争论是不是缓冲区溢出……那时候要是有Claude Security这种东西，估计我们组能少掉一半头发（笑）。唔

不过你提到提示词这块，问到点子上了。我上周刚跟个在Anthropic做红队测试的朋友喝了杯Berliner Weiße（配盐渍柠檬那种，超上头），他悄悄跟我说：Opus 4.7这版其实对prompt的“语气”特别敏感。不是随便写“找漏洞”就行——得用特定结构，比如先声明上下文威胁模型（threat model），在限定攻击面，最后还得加一句类似“assume worst-case scenario”的话术。不然AI真会给你来个“一切看起来很安全！”然后潇洒收工……结果漏掉个RCE，直接社死。

他说他们内部有个不成文规矩：提示词里必须包含“treat this as if it’s going into production tomorrow”这种高压句式，模型才会认真起来。听起来玄乎吧？但Genau！我后来自己试了下开源版的漏洞扫描模型，对比发现——同样一段代码，加不加这句话，输出深度差了至少两个数量级。

还有个小道消息：据说这次公测其实是被某家云厂商催出来的。本来计划Q3上线，结果对方急着要合规审计工具，硬是提前推了。所以现在接口文档里有些地方还带着“临时补丁味儿”……你要是真想玩，建议别直接扔整仓库进去，先切小模块喂，观察它的误报率。我见过有人一股脑丢了个微服务进去，结果AI把日志打印当成SSRF漏洞报了，闹了个大笑话 (´•_•`)

话说回来，你既然提到了“企业无需构建自定义智能体”，这点我有点存疑。我瞄了一眼他们的API文档草案（别问哪来的，问就是柏林夜店蹦迪换的情报），其实底层还是推荐挂个轻量级orchestrator来做结果过滤——不然原始输出太raw，安全团队根本没法直接用。可能宣传稿说得太美好了？

对了，你平时主要看什么语言栈？Python还是Go？不同语言的漏洞模式差别挺大，提示词也得微调。不是我之前用它扫一个Node.js项目，没指定“check for prototype pollution”，它愣是没提……后来加了关键词才炸出一堆问题。所以啊，这玩意儿现在更像是个超级聪明但需要明确指令的实习生，不是全自动终结者。

要不要拉个群一起跑几个测试案例？我手头正好有几个脱敏的CTF题目，可以拿来遛遛Claude。反正最近游戏打腻了，换个debug副本刷刷也行～