Chính quyền tỉnh Alberta (Canada) đã sử dụng Claude Code, công cụ AI của Anthropic, để rà soát 466 triệu dòng code trong 20 giờ, phát hiện và khắc phục các lỗ hổng bảo mật trên toàn bộ hệ thống công nghệ thông tin của 27 sở ban ngành. Theo ước tính, công việc này nếu thực hiện theo cách truyền thống sẽ mất khoảng 6,5 năm.
Chiến dịch quét mã nguồn quy mô lớn
Kể từ năm 2025, Bộ Công nghệ và Đổi mới Alberta đã triển khai một nhóm nội bộ sử dụng Claude Code với cả hai mô hình Opus và Sonnet để rà soát hệ thống. Nhóm này đã quét toàn bộ khoảng 1.280 ứng dụng và 3.400 kho mã nguồn (repository) thuộc 27 sở ban ngành, từ dịch vụ xã hội, an toàn công cộng đến ứng phó cháy rừng. Hầu hết số code này chưa từng được kiểm tra bảo mật một cách có hệ thống, và khoản nợ kỹ thuật tích lũy (code không an toàn, lỗi chưa xử lý, phần mềm lỗi thời) lên tới hàng tỷ USD.
Quá trình quét được thực hiện bởi khoảng 50 tác nhân AI (agent) hoạt động tự động và song song. Claude Code chạy quy trình hai giai đoạn: đầu tiên, quét từng kho mã bằng công cụ luật (rules engine) để đánh dấu các mẫu lỗi đã biết; sau đó, xem xét các đánh dấu và trích dẫn chính xác tệp tin và dòng code cho từng phát hiện để các nhà phát triển có thể xác minh. Kết quả, Claude đã phát hiện được những vấn đề mà các công cụ quét tự động truyền thống bỏ sót.
Khắc phục lỗ hổng và hiện đại hóa hệ thống
Khi phát hiện lỗ hổng, Claude Code có thể tự động tạo bản sửa lỗi, kiểm thử và triển khai. Trong trường hợp hệ thống thiếu các bài kiểm thử tự động để xác nhận bản vá an toàn, Claude sẽ viết bài kiểm thử trước. Nếu code quá cũ hoặc phức tạp để vá hiệu quả, Claude sẽ viết lại bằng ngôn ngữ hiện đại và dễ bảo trì hơn. Một số hệ thống có thể được xây dựng lại chỉ trong 4-5 ngày, bao gồm cổng thông tin chương trình trợ cấp vốn được viết tay bằng Java khoảng 25 năm trước (mất 5 tháng để xây dựng lần đầu). Tất cả các bản vá đều được các kỹ sư của Bộ xem xét và phê duyệt trước khi triển khai.
Triển khai giám sát bảo mật liên tục
Nhóm an ninh mạng Alberta cũng xây dựng một bộ tác nhân Claude chuyên biệt chạy trong suốt quá trình phát triển. Một tác nhân 'red team' mô phỏng tấn công từ bên ngoài, lập bản đồ cách khai thác lỗ hổng. Tác nhân 'blue team' đánh giá khả năng phòng thủ của ứng dụng theo tiêu chuẩn an ninh quốc tế và viết kế hoạch khắc phục chỉ dẫn chính xác tệp tin cần sửa. Các tác nhân bổ sung kiểm tra chất lượng code và độ rõ ràng của văn bản công khai. Mỗi ứng dụng được kiểm tra với khoảng 95 biện pháp kiểm soát bảo mật mỗi lần. Các tác nhân này được xây dựng trên Claude Agent SDK.
Đào tạo AI và kế hoạch mở rộng
Ngoài bảo mật, Alberta còn thành lập Học viện AI Alberta (Alberta AI Academy) để đào tạo nhân viên chính phủ và công chúng về sử dụng AI. Hàng nghìn nhân viên chính phủ và hơn 10.000 người dân đã tham gia nền tảng này để học các kiến thức cơ bản về AI, từ cách đặt câu hỏi (prompting) đến triển khai ứng dụng doanh nghiệp. Bộ Công nghệ và Đổi mới đặt mục tiêu mở rộng cách tiếp cận này ra tất cả các sở ban ngành.
Trong tương lai, Alberta có kế hoạch sử dụng Claude Code để phân tích 185 ứng dụng kế thừa (legacy) đang chạy trong một sở, hợp nhất chúng thành 16 ứng dụng có thể tái sử dụng, xây dựng trên ngôn ngữ và quy ước hiện đại, nhằm giảm độ phức tạp, chi phí bảo trì và đẩy nhanh quá trình hiện đại hóa. Alberta cũng đã công bố một bộ sách trắng kỹ thuật (technical white papers) để các chính phủ khác học hỏi, và sẽ tổ chức một ngày hội ngành (industry day) tại Edmonton vào tháng 7 để chia sẻ kinh nghiệm.
Theo Anthropic
Ảnh: Tumisu / Pixabay
