Anthropic описывает кейс Government of Alberta как пример масштабной AI-assisted проверки и исправления кода. Для AI-Ready главный вывод не в копировании масштаба, а в необходимости governance-рамки вокруг AI code/security work.
Что произошло
6 июля 2026 года Anthropic опубликовала официальный кейс Government of Alberta uses Claude to find and fix cybersecurity vulnerabilities across government systems. В нём компания пишет, что Government of Alberta использовал Claude Code с Opus и Sonnet для проверки государственных систем, поиска уязвимостей, исправлений и создания дополнительных инструментов безопасности.
Источник сообщает, что команда Alberta проверила 466 миллионов строк кода за 20 часов. Для AI-Ready это не повод копировать цифру как универсальный benchmark, а повод зафиксировать более важный pattern: AI-проверка кода должна быть встроена в управляемый процесс.
Кратко о новости
Anthropic описывает работу Alberta как кейс для государственных систем с большим техническим долгом и чувствительными данными.
- У Alberta есть множество приложений и репозиториев, часть которых требует системной проверки безопасности.
- В 2025 году Ministry of Technology and Innovation создало внутреннюю команду для повышения безопасности и сопровождаемости систем.
- Claude Code использовался для анализа кода, поиска уязвимостей, инфраструктурных слабых мест и пробелов в документации.
- Источник отдельно подчёркивает не только поиск проблем, но и исправления, инструменты и технические материалы, которыми другие государственные команды могут пользоваться как ориентиром.
Сигнал
AI для безопасности кода становится не просто помощником для ревью, а частью remediation workflow. Смысл такого процесса не в том, что модель сама получает полный доступ и всё исправляет. Смысл в цепочке: инвентарь систем, ограниченный доступ, проверяемые находки, доказательства, исправления, утверждение человеком и журнал решений.
Почему это важно
Старые системы часто плохо документированы, а у команд не хватает времени на полноценную проверку всего наследия. AI может резко увеличить скорость первичного анализа, но именно поэтому governance становится важнее, а не слабее.
Если организация не фиксирует, что было просканировано, какие находки подтверждены, кто владелец исправления и где принято решение, AI-проверка превращается в шум. В чувствительных системах такой шум опасен: он может скрыть реальные риски, создать ложную уверенность или привести к неподтверждённым изменениям.
Практический вывод
Перед запуском AI по code security стоит подготовить не промпт, а рабочий контур:
- список систем и репозиториев;
- правила доступа и запретные зоны;
- формат evidence packet для каждой находки;
- очередь исправлений с владельцем;
- approval gate для чувствительных изменений;
- повторную проверку после исправления;
- decision log для принятых, отклонённых и отложенных решений.
Так AI помогает ускорять безопасность, но не размывает ответственность.
Границы сигнала
- Нельзя говорить, что AI-Ready независимо проверил результаты Alberta.
- Нельзя говорить, что Claude Code можно автономно запускать на любых чувствительных системах.
- Нельзя говорить, что такой кейс отменяет security team, ревью человеком или approval gates.
- Нельзя превращать vendor case study в прямую рекомендацию внедрения без локального risk assessment.
Куда читать дальше
Этот сигнал ведёт к страницам про Harness, Source Evidence Policy, Approval Gates, Decision Log и Eval Scenario. Они помогают превратить AI-проверку кода из разового эксперимента в процесс, где каждая находка имеет источник, доказательство, владельца и решение.