歸剛誒AI

歸剛欸,AI 又進步了——每天幫你盯 AI 圈的台灣人日報

← 回首頁 · 回第 28 期(2026-07-07)
資安・2026-07-07

20 小時掃完 4.66 億行公家程式碼:亞伯達省用 50 個 Claude agent 抓漏洞

20 小時掃完 4.66 億行公家程式碼:亞伯達省用 50 個 Claude agent 抓漏洞

Anthropic 週一發布的政府案例研究,數字相當驚人:加拿大亞伯達省科技創新廳的內部團隊,用 Claude Code 搭配 Opus 與 Sonnet 模型,以約 50 個平行 agent 在 20 小時內掃描了 4.66 億行政府系統程式碼。agent 的工作範圍涵蓋辨識漏洞、精確引用出問題的檔案與行號、生成修補程式、必要時撰寫測試,並支援老舊系統的現代化。

流程設計是重點。所有修補在部署前都由團隊審核放行,模式是「平行審查加人工批准」,並非讓 agent 自主上 patch。亞伯達的資安團隊還做了一組專門的 Claude 審查 agent,常駐在開發流程各個環節,把安全檢查從「上線前趕工」拉平成「全程隨行」。

敏感度也值得一提:該廳的系統存放稅務紀錄、政府採購資料與社福個案檔案,屬於一旦外洩就是頭版的等級。政府機關敢把這種代碼庫餵給商用 AI 工具掃描,合規與資料處理協議的談判想必先打了很久——案例裡沒細講的部分,往往才是其他政府最想抄的部分。

照例提醒閱讀濾鏡:案例出自 Anthropic 自家行銷管道,數字漂亮但缺乏第三方驗證,「掃過」與「掃得準」是兩回事,誤報率、漏報率都沒揭露。可信的部分是架構模式本身——平行 agent 掃描、人類守住放行關卡,這個骨架已在多個一線團隊被獨立驗證過。

歸剛點評|台灣政府機關的老舊系統盤點喊了很多年,這個案例給出一個可以直接抄的架構:agent 平行掃描加人工放行,把稀缺的資安人力放在「審核」而非「翻代碼」。要抄之前先解決同一道前置題:公部門代碼給商用模型看的資料治理規則,台灣還沒有答案。
來源:Anthropic

同期其他文章