Government of Alberta uses Claude to find and fix cybersecurity vulnerabilities across government systems
TL;DR · AI 摘要
阿尔伯塔省政府使用Claude模型20小时扫描4.66亿行代码,修复安全漏洞,传统方法需6.5年。
核心要点
- Claude扫描4.66亿行代码仅用20小时,传统方法需6.5年
- 使用Claude Code的Opus和Sonnet模型识别传统工具遗漏的漏洞
- 发布技术白皮书为其他政府提供AI安全审查参考
结构提纲
按章节快速跳转。
思维导图
用一张图看清主题之间的关系。
查看大纲文本(无障碍 / 无 JS 友好)
- 阿尔伯塔省使用Claude进行网络安全
- 核心机制
- Claude Code模型应用
- 两阶段扫描流程
- 实施成果
- 466M行代码扫描
- 6.5年工作量节省
- 知识输出
- 技术白皮书发布
金句 / Highlights
值得收藏与分享的关键句。
50个代理并行扫描,20小时完成传统需6.5年的任务
Claude识别出传统自动化工具遗漏的漏洞
技术白皮书为其他政府提供可复用的AI安全审查框架
阿尔伯塔省政府使用 Claude 识别并修复网络安全漏洞 \ Anthropic
案例研究
阿尔伯塔省政府使用 Claude 在政府系统中识别并修复网络安全漏洞
2026年7月6日
自2025年以来,阿尔伯塔省政府一直在使用 Claude Code(包含 Opus 和 Sonnet 模型)审查其系统,发现漏洞并进行修复。阿尔伯塔省科技与创新部的一支团队在20小时内扫描了4.66亿行代码,修复了系统中的安全漏洞,并开发了新工具以提升系统安全性。
我们分享他们的经验,作为政府机构如何使用 Claude 和 Claude Code 在大规模系统中实现安全加固的范例。这是一个关键挑战,因为政府依赖这些系统来提供福利并维持服务运行——但代码往往陈旧、不安全且文档不完整。阿尔伯塔省还发布了一系列技术白皮书,记录其工作成果供其他政府参考;您可在此处阅读这些白皮书。
“阿尔伯塔省居民将其生活中最敏感的信息托付给政府,保护这些信息是我们的责任,”阿尔伯塔省科技与创新部长 Nate Glubish 表示。“通过使用人工智能在我们的系统中发现并修复漏洞,我们仅用数小时就完成了传统方法需要数年才能完成的工作。这正是人工智能时代负责任的政府应有的表现,而最好的成果还在后头。”
阿尔伯塔省的实施方法
阿尔伯塔省科技与创新部负责维护全省27个部委的系统,涵盖社会服务、公共安全到野火应对等多个领域。这包括约1280个应用程序和3400个代码仓库。其中大部分从未接受过系统的安全审查,累积的技术债务(不安全代码、未解决的漏洞、过时软件)已高达数十亿美元。
该部的系统存储着高度敏感的信息,包括税务记录、政府采购数据和社会服务案件文件。因此,2025年该部组建了内部团队,旨在通过与 Claude 合作,使这些系统更加安全且更易于维护。
截至目前,该部已使用 Claude 实现以下成果:
在20小时内评估了4.66亿行政府代码。团队将 Claude 应用于其维护的代码库,使用 Claude Code 结合 Opus 和 Sonnet 模型。约50个代理程序自主并行运行,扫描系统中的安全漏洞、基础设施和部署流程的薄弱环节以及技术文档的缺失。Claude Code 执行了两阶段流程:首先使用规则引擎扫描每个仓库以标记已知模式,然后审查这些标记并为每个发现指出确切的文件和行号,以便开发人员验证。扫描覆盖了阿尔伯塔省拥有的所有仓库,识别了传统自动化扫描工具遗漏的问题。阿尔伯塔省的实施耗时约20小时,团队估计此类审查若采用传统方法可能需要约6.5年。
修复扫描发现的漏洞。当扫描识别出漏洞时,Claude Code通常能够生成修复方案、进行测试并完成构建。在系统缺乏必要自动化测试以验证补丁安全性的情况下,Claude会优先编写测试用例。当代码过于陈旧或复杂,难以以现有形式高效修补时,Claude会将其重构为更现代且易于维护的语言。在某些场景中,系统可在四到五天内完成重建,包括一个最初由人工用Java编写、约25年前开发、首次构建耗时五个月的补贴计划门户。所有工作均与省厅工程师团队合作完成:在任何补丁发布前,均需经过团队审核和批准。
实施持续安全审查。阿尔伯塔省网络安全团队还构建了一套专用的Claude审查代理,贯穿整个开发流程。一个“红队”代理会像攻击者一样从外部探测应用,并绘制漏洞可能被利用的路径。随后,“蓝队”代理会根据国际安全标准评估应用的防御能力,并编写明确指向需修复文件的整改方案。其他代理会检查代码质量和公众可见内容的表述清晰度。每次审查中,每个应用都会接受约95项安全控制措施的检查。这些代理基于Claude Agent SDK构建,为每个应用执行全面的检查和分析。
除扫描、加固和现代化自身系统外,阿尔伯塔省还通过阿尔伯塔AI学院对政府工作人员和公众进行AI使用培训。数千名政府员工和超过10,000名公众已通过该平台学习有效使用AI的核心知识,从提示工程到企业级应用交付。通过学院,科技与创新部旨在将这一方法从单一团队或项目扩展到所有有需求的部门。
未来展望
目前,Claude帮助省厅编写、审查和部署代码,助力其现代化进程。下一步计划扩展工作范围,利用能够与工程师协作构建全新软件和工具的AI代理。
阿尔伯塔省政府还计划持续推进现代化工作。例如,某部门目前有185个遗留应用在生产环境中运行,维护成本高昂且难以更新。政府计划使用Claude Code分析这些系统,理解其功能,并将其整合为基于现代编程语言和规范构建的16个可复用应用。目标是降低复杂度、减少维护成本,并加速原本需要数年才能完成的现代化进程。
政府的实践案例
阿尔伯塔省政府正在解决的技术债务和安全漏洞问题在世界各地的许多省、州和联邦机构中普遍存在。阿尔伯塔省发布的技术白皮书为其他政府提供了应对这些问题的蓝图。
除了白皮书,艾伯塔省还计划于7月在埃德蒙顿举办行业日活动,分享其经验成果。今年秋季,该省将启动一项计划,将其方法在全省政府范围内推广。随着艾伯塔省扩大这些举措,我们将继续与其合作,并希望其记录的方法能帮助其他政府加强自身系统的安全性。
相关内容
关于Fable 5的网络防护措施和越狱框架的更多细节
阅读更多
介绍Claude Sonnet 5
Sonnet 5在编码、智能体和大规模专业工作中实现了前沿性能。
重新部署Fable 5
Fable 5将于7月1日全球重新上线。我们还与亚马逊、微软、谷歌及其他Glasswing合作伙伴共同提出了一项行业级框架,用于评估越狱严重程度。