Anthropic описывает кейс Government of Alberta как пример масштабной AI-assisted проверки и исправления кода. Для AI-Ready главный вывод не в копировании масштаба, а в необходимости governance-рамки вокруг AI code/security work.

Что произошло

6 июля 2026 года Anthropic опубликовала официальный кейс Government of Alberta uses Claude to find and fix cybersecurity vulnerabilities across government systems. В нём компания пишет, что Government of Alberta использовал Claude Code с Opus и Sonnet для проверки государственных систем, поиска уязвимостей, исправлений и создания дополнительных инструментов безопасности.

Источник сообщает, что команда Alberta проверила 466 миллионов строк кода за 20 часов. Для AI-Ready это не повод копировать цифру как универсальный benchmark, а повод зафиксировать более важный pattern: AI-проверка кода должна быть встроена в управляемый процесс.

Кратко о новости

Anthropic описывает работу Alberta как кейс для государственных систем с большим техническим долгом и чувствительными данными.

  • У Alberta есть множество приложений и репозиториев, часть которых требует системной проверки безопасности.
  • В 2025 году Ministry of Technology and Innovation создало внутреннюю команду для повышения безопасности и сопровождаемости систем.
  • Claude Code использовался для анализа кода, поиска уязвимостей, инфраструктурных слабых мест и пробелов в документации.
  • Источник отдельно подчёркивает не только поиск проблем, но и исправления, инструменты и технические материалы, которыми другие государственные команды могут пользоваться как ориентиром.

Сигнал

AI для безопасности кода становится не просто помощником для ревью, а частью remediation workflow. Смысл такого процесса не в том, что модель сама получает полный доступ и всё исправляет. Смысл в цепочке: инвентарь систем, ограниченный доступ, проверяемые находки, доказательства, исправления, утверждение человеком и журнал решений.

Почему это важно

Старые системы часто плохо документированы, а у команд не хватает времени на полноценную проверку всего наследия. AI может резко увеличить скорость первичного анализа, но именно поэтому governance становится важнее, а не слабее.

Если организация не фиксирует, что было просканировано, какие находки подтверждены, кто владелец исправления и где принято решение, AI-проверка превращается в шум. В чувствительных системах такой шум опасен: он может скрыть реальные риски, создать ложную уверенность или привести к неподтверждённым изменениям.

Практический вывод

Перед запуском AI по code security стоит подготовить не промпт, а рабочий контур:

  1. список систем и репозиториев;
  2. правила доступа и запретные зоны;
  3. формат evidence packet для каждой находки;
  4. очередь исправлений с владельцем;
  5. approval gate для чувствительных изменений;
  6. повторную проверку после исправления;
  7. decision log для принятых, отклонённых и отложенных решений.

Так AI помогает ускорять безопасность, но не размывает ответственность.

Границы сигнала

  • Нельзя говорить, что AI-Ready независимо проверил результаты Alberta.
  • Нельзя говорить, что Claude Code можно автономно запускать на любых чувствительных системах.
  • Нельзя говорить, что такой кейс отменяет security team, ревью человеком или approval gates.
  • Нельзя превращать vendor case study в прямую рекомендацию внедрения без локального risk assessment.

Куда читать дальше

Этот сигнал ведёт к страницам про Harness, Source Evidence Policy, Approval Gates, Decision Log и Eval Scenario. Они помогают превратить AI-проверку кода из разового эксперимента в процесс, где каждая находка имеет источник, доказательство, владельца и решение.