AI不写代码时在干嘛?阿尔伯塔政府用它查出了4.66亿行代码里的安全漏洞
阿尔伯塔政府用50个Claude Agent在20小时内扫描了4.66亿行政务代码,自动发现并修复安全漏洞,将原本需数年的审计工作压缩至一天。
- 50个AI代理并行,20小时扫描了3400个代码仓库共4.66亿行代码,远超人类速度
- 两阶段扫描:规则引擎初筛+Claude精审,直接定位漏洞文件和行号,方便验证
- 政府系统积压数十亿美元技术债,AI提供了规模化审计的可行方案
- 阿尔伯塔已公开技术白皮书,其他政府和大型企业可借鉴其工作流与编排模式
起因:当技术债遇上AI
当人们还在争论AI生成的代码能否直接上线,加拿大阿尔伯塔省政府已经用Claude干了一件更“务实”的事——审查4.66亿行老代码,找出潜藏的安全漏洞。这并非作秀,而是被现实逼出来的选择:该省技术与创新部要维护27个部门的1280个应用、3400个代码仓库,其中大部分从未做过系统安全审查。敏感数据(税务、采购、社会服务档案)在这些老旧系统中流转,技术债务累积高达数十亿美元。传统审计方法要花数年,根本等不起。2025年,他们组建了一支内部团队,决定让AI来啃这块硬骨头。
拆解:50个AI代理如何并行“扫雷”
团队没有简单地把代码丢给大模型闲聊,而是设计了一套精密的Agent工作流。他们启动了约50个Claude Code代理(基于Opus和Sonnet模型),并行扫描各个代码仓库。整个流程分两步:先由规则引擎快速标记出已知的漏洞模式(如硬编码密钥、SQL注入点),再由Claude对标记结果进行深度审查,不仅确认漏洞,还给出具体文件路径、行号和修复建议。这种 “规则过滤器+AI验证器”的组合,兼顾了速度与精度,也方便开发人员快速核实。最终,4.66亿行代码的扫描仅用了20小时,如果由人类完成,可能需要数百人工作近两年。
更值得关注的是,他们不仅“找到”问题,还让Claude参与修复并构建了新的安全工具。这意味着AI的角色从审计师延伸到了工程师,形成闭环。
趋势洞察:AI正在成为数字治理的基础设施
这个案例揭示了三个重要趋势:
- 从“写新代码”到“读旧代码”。AI的价值不再局限于生成,更在于理解。遗留系统的现代化一直是IT界的难题,而AI提供了一种规模化的代码理解能力,可以像考古学家一样挖掘出被遗忘的漏洞和设计缺陷。
- Agent集群化成为工程范式。50个代理协同并行,代表AI应用从单兵作战走向了分布式协作,类似从单体应用演进到微服务。未来,这种Agent编排能力可能像今天的Kubernetes一样成为基础设施。
- 公共部门开始将AI纳入核心流程。政府IT系统直接关系公民利益,过去因保守而落后。阿尔伯塔的实践若能扩散,可能引发一波公共部门通过AI加速安全合规、改善技术债的浪潮。
实用价值:你的组织如何复制?
对于背负技术债的政府或大型企业,阿尔伯塔提供了可复制的蓝图。关键点有三:一是建立两阶段审查机制,用规则引擎降低AI的幻觉风险;二是采用并行Agent架构,横向扩展扫描速度;三是确保人在闭环中,AI只提供建议,最终决策仍需开发者验证。此外,阿尔伯塔公开了技术白皮书(见原文链接),其他组织可以直接研究其架构设计。但需注意隐私合规:代码常含敏感配置,AI扫描必须在隔离环境中进行。
反常识:AI不是安全的威胁,而是安全的“考古队”
很多人担心AI生成代码会引入漏洞,但阿尔伯塔的实践恰恰相反——AI成了发现漏洞的利器。它不写新代码,而是精读旧代码,找出人类多年疏忽的缺陷。这好比用AI来“考古”自己的技术遗产,快速标记出被遗忘的风险。另一个反直觉的点是时间压缩:数年的工作量被压缩到一天之内,这种量级的效率提升绝非渐进式改善,而是范式转移。
总结
阿尔伯塔政府的这次尝试,更像是一个里程碑:它证明了在恰当的工程框架下,AI可以解决真实世界的大规模复杂问题,而不仅是聊天和生成内容。对于所有被技术债压得喘不过气的组织,这或许是一条新的求生之路——让AI先读懂你的“屎山”,然后帮你一步步重构。
分析由 BitByAI 生成 · 阅读原文