Nowości
Alberta przeskanowała 466 milionów linii kodu z Claude Code w 20 godzin
Posłuchaj tego artykułu

Kanadyjska prowincja Alberta wykorzystała agentów Claude Code do znalezienia i naprawienia luk bezpieczeństwa w systemach 27 ministerstw - zadanie, które tradycyjnymi metodami zajęłoby ponad sześć lat, wykonano w niecałą dobę.
Ministerstwo Technologii i Innowacji prowincji Alberta ogłosiło, że za pomocą agentów Claude Code przeskanowało 466 milionów linii kodu w 1280 aplikacjach i 3400 repozytoriach, obejmujących systemy wszystkich 27 ministerstw prowincji. Według Anthropic, które opisało projekt 6 lipca, tradycyjnymi metodami audyt tej skali zająłby zespołowi programistów około 6,5 roku. Agenci AI zrobili to w 20 godzin.
Projekt ruszył w 2025 roku, gdy zespół ds. cyberbezpieczeństwa w albertańskim ministerstwie zaczął testować modele Claude Opus i Sonnet do przeglądu kodu rządowych systemów. Z czasem powstała architektura złożona z wyspecjalizowanych agentów pełniących różne role w cyklu rozwoju oprogramowania.
Jak działa system
Agent "red team" testuje aplikację z zewnątrz, symulując działania atakującego, i mapuje potencjalne ścieżki wykorzystania luk. Agent "blue team" ocenia zabezpieczenia aplikacji względem międzynarodowego standardu bezpieczeństwa i pisze plan naprawczy wskazujący konkretne pliki do poprawki. Całość działa jako ciągły proces towarzyszący programistom, a nie jednorazowy audyt.
Systemy objęte skanowaniem przechowują dane wrażliwe - ewidencje podatkowe, informacje o zamówieniach publicznych i akta z pomocy społecznej. To właśnie skala i wrażliwość tych danych sprawiły, że władze Alberty zdecydowały się na pełne, systematyczne pokrycie zamiast wyrywkowych kontroli, które wcześniej były normą w sektorze publicznym.
Wykorzystując AI do znajdowania i naprawiania luk w naszych systemach, osiągnęliśmy w godziny to, co tradycyjnym podejściem zajęłoby lata - minister technologii i innowacji Alberty
Modernizacja przy okazji
Poza samym łataniem luk, agenci Claude Code posłużyły też do przepisywania przestarzałych systemów na nowoczesne języki programowania i generowania automatycznych testów. Przykład z Javy - portal, którego zbudowanie zajęło pierwotnie pięć miesięcy pracy zespołu, odtworzono od zera w cztery do pięciu dni. Jedno z ministerstw wykorzystało wyniki audytu do zaplanowania konsolidacji 185 aplikacji produkcyjnych w 16 nowoczesnych systemów, co ma ograniczyć powierzchnię ataku i koszty utrzymania.
Alberta opublikowała też białe księgi techniczne opisujące metodologię, by inne rządy mogły powtórzyć podobny proces. To wpisuje się w szerszy trend, w którym administracje publiczne - wcześniej ostrożne wobec generatywnej AI ze względu na dane wrażliwe - zaczynają traktować agentów kodujących jako narzędzie do systematycznego domykania długu technicznego, a nie tylko do pisania nowych funkcji.
Znaczenie dla Polski
Dla polskich urzędów i spółek Skarbu Państwa przykład Alberty pokazuje skalę, jaka jest już praktycznie dostępna - nie chodzi o pojedynczy pilotaż, lecz o pełne pokrycie systemów całej administracji w ciągu jednej doby roboczej. To kontrastuje z sytuacją opisywaną wcześniej w Polsce, gdzie wiele urzędów wciąż nie ma pewności, czy używane przez nie systemy w ogóle podlegają unijnemu AI Act, nie mówiąc już o systematycznym audycie bezpieczeństwa kodu z użyciem agentów AI. Case Alberty może stać się punktem odniesienia w dyskusji o tym, jak Ministerstwo Cyfryzacji i nowo tworzona Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji powinny podchodzić do modernizacji systemów publicznych.
Ryzyko takiego podejścia to oczywiście zaufanie do automatycznie generowanych poprawek w systemach krytycznych - stąd rola agenta blue team, który każdą zmianę zestawia z formalnym standardem bezpieczeństwa, zanim trafi ona do wdrożenia. Anthropic podkreśla, że każdy agent działa w ramach zdefiniowanych uprawnień i pozostawia ślad decyzji, co ma ułatwić późniejszy audyt przez ludzi.
Źródła: Government of Alberta uses Claude to find and fix cybersecurity vulnerabilities (anthropic.com), Alberta Gov Taps Claude for Cyber Defense (startuphub.ai)
