Alberta Hükümeti Claude'u siber güvenlik açıklarını bulup kapatmak için kullanıyor
Alberta Hükümeti, 2025'ten bu yana Claude Code'u Opus ve Sonnet modelleriyle birlikte kullanarak sistemlerini incelemekte, açıkları bulmakta ve bunları kapatmaktadır.
2025'ten bu yana, Alberta Hükümeti Claude Code'u Opus ve Sonnet modelleriyle birlikte kullanarak sistemlerini incelemekte, açıkları bulmakta ve bunları kapatmaktadır. Alberta'nın Teknoloji ve İnovasyon Bakanlığı'nda görevli bir ekip, 20 saat içinde 466 milyon satırlık kodu taramış, sistemleri genelinde güvenlik açıklarını gidermiş ve bu sistemleri daha güvenli hale getirmek için yeni araçlar geliştirmiştir.
Hükümet kurumlarının Claude ve Claude Code'u geniş ölçekde sistemlerini güvenli hale getirmek için nasıl kullanabileceğine ilişkin bir örnek olarak onların deneyiminin detaylarını paylaşıyoruz. Bu, hükümetlerin bu sistemleri hizmet sunmak ve işleri çalışır durumda tutmak için güvendiği, ancak kodlar sıklıkla eski, güvensiz ve eksik belgelenen bir kritik zorluktur. Alberta, aynı zamanda diğer hükümetlerin öğrenmesi için çabaları belgelendiren bir teknik white paper koleksiyonu yayınlamıştır; bunları burada okuyabilirsiniz.
"Albertalılar hükümetine yaşamlarının en hassas bilgilerinden bazılarına sahip olmak için güvenirler ve bunu korumak bizim sorumluluğumuzdur" dedi Alberta'nın Teknoloji ve İnovasyon Bakanı Nate Glubish. "Yapay zekayı kullanarak sistemlerimiz genelinde açıkları bulup kapatarak, geleneksel bir yaklaşımın yıllar içinde tamamlayacağı işi saatlerde başardık. Bu, yapay zeka çağında sorumlu hükümetin neye benzediğidir ve en iyi olanlar hâlâ önümüzde."
Alberta'nın Teknoloji ve İnovasyon Bakanlığı, sosyal hizmetlerden kamu güvenliğine ve orman yangını tepkilerine kadar 27 il bakanlığının sistemlerini yönetmektedir. Bu, kabaca 1.280 uygulama ve 3.400 kod deposu içermektedir. Çoğu hiçbir zaman sistematik bir güvenlik incelemesine tabi tutulmamış ve birikmiş teknik borç—güvensiz kod, ele alınmamış hatalar, eski yazılım—milyarlarca dolar tutarındadır.
Bakanlığın sistemleri, vergi kayıtları, hükümet satın alma verileri ve sosyal hizmetler vaka dosyaları dahil oldukça hassas bilgileri içermektedir. Böylece 2025'te, Bakanlık bu sistemleri daha güvenli ve zaman içinde bakımı daha kolay hale getirme göreviyle bir iç ekip kurmuş ve bunu yapmak için Claude ile çalışmıştır.
Artık, Bakanlık Claude'u şu işleri yapmak için kullanmıştır:
466 milyon satırlık hükümet kodunu 20 saat içinde değerlendirmek. Ekip, Claude'u yönettiği kod tabanları üzerinde çalışmaya koymuş, Claude Code'u Claude Opus ve Sonnet modelleriyle kullanmıştır. Yaklaşık 50 ajan bağımsız ve paralel olarak sistemleri güvenlik açıkları, altyapı ve dağıtım süreçlerinde zayıflıklar ve teknik dokumentasyon boşlukları açısından taramıştır. Claude Code iki aşamalı bir rutini yürütmüş; ilk olarak her depoyu bilinen desenleri işaretlemek için bir rules engine'i ile taramış, sonra bu işaretleri gözden geçirmiş ve geliştiricilerin bunları doğrulaması için her bulgu için tam dosya ve satırı belirtmiştir. Tarama Alberta'nın sahip olduğu her depoyu kapsadı ve geleneksel otomatik tarama araçlarının kaçırdığı sorunları belirledi. Alberta'nın uygulaması için yaklaşık 20 saat sürmüştür; ekip, bu tür bir incelemenin başka türlü yaklaşık 6,5 yıl sürebileceğini tahmin etmektedir.
Taramanın bulduğu açıkları kapatmak. Tarama bir açık belirlediğinde, Claude Code sıklıkla bir düzeltme oluşturabilir, test edebilir ve derleyebilir. Bir sistemin bir yamanın güvenli olduğunu doğrulamak için gereken otomatik testler eksik olduğu durumlarda, Claude önce testleri yazmıştır. Kod mevcut şeklinde verimli bir şekilde yamalanması için çok eski veya çok karmaşık olduğu durumlarda, Claude bunu daha modern ve bakımı kolay bir dilde yeniden inşa etmiştir. Bazı senaryolarda, bu sistemler dörtten beşe kadar gün gibi kısa bir sürede yeniden inşa edilebilmiştir; yaklaşık 25 yıl önce Java'da elle kodlanmış bir sübvansiyon programı portalı dahil olmak üzere, orijinal olarak oluşturulması beş ay sürmüştür. Tüm bunlar Bakanlığın mühendisleriyle ortaklık halinde yapılmıştır: herhangi bir yama gönderilmeden önce, ekip tarafından incelenmiş ve onaylanmıştır.
Sürekli güvenlik incelemesi yürütmek. Alberta'nın siber güvenlik ekibi ayrıca geliştirme süreci boyunca çalışan özel Claude inceleme ajanları seti kurmuştur. Bir "kırmızı takım" ajanı bir uygulamayı dışarıdan, bir saldırganın yapabileceği şekilde yoklamakta ve bir açığın nasıl istismar edilebileceğini eşleştirmektedir. Bir "mavi takım" ajanı daha sonra uygulamanın uluslararası bir güvenlik standardına karşı savunmalarını değerlendirmiş ve düzeltilecek tam dosyalara işaret eden bir iyileştirme planı yazmıştır. Ek ajanlar kod kalitesini ve halk tarafından görülen yazının netliğini kontrol etmektedir. Her uygulama her geçişte kabaca 95 güvenlik kontrolüne karşı kontrol edilmektedir. Bu ajanlar Claude Agent SDK'nın üstüne inşa edilmiş ve her uygulama için güçlü bir dizi kontrol ve analiz yürütmektedir.
Kendi sistemlerini taramak, güvenli hale getirmek ve modernize etmenin yanı sıra, Alberta hükümet çalışanlarını ve halkı AI Academy aracılığıyla yapay zeka kullanımında eğitmektedir. Binlerce hükümet çalışanı ve 10.000'den fazla kamu üyesi, prompting'ten kurumsal uygulama dağıtımına kadar etkili yapay zeka kullanımının temellerini öğrenmek için platformu kullanmıştır. Academy aracılığıyla, Teknoloji ve İnovasyon Bakanlığı bu yaklaşımını tek bir ekip veya proje ötesine, bunu ihtiyaç duyan her bakanlığa genişletmeyi amaçlamaktadır.
Bugün, Claude, Bakanlığın modernizasyon çabalarına yardımcı olan kodu yazmasına, gözden geçirmesine ve dağıtmasına yardımcı olmaktadır. Sonraki adımda, mühendislerin yanında tamamen yeni yazılım ve araçlar oluşturabilen yapay zeka ajanlarıyla bu çalışmayı genişletmeyi planlamaktadır.
Alberta Hükümeti ayrıca modernizasyon çalışmasına devam etmeyi planlamaktadır. Örneğin, bir bakanlığın üretimde çalışan 185 eski uygulaması vardır; bunlar bakımı pahalı ve güncellenmesi zordur. Hükümet, Claude Code'u kullanarak bu sistemleri analiz etmeyi, ne yaptıklarını anlamayı ve bunları modern kodlama dilleri ve kuralları temel alınarak inşa edilmiş 16 yeniden kullanılabilir uygulamada konsolide etmeyi planlamaktadır. Amaç, karmaşıklığı azaltmak, bakım maliyetlerini düşürmek ve başka türlü yıllar sürecek modernizasyon çalışmasını hızlandırmaktır.
Alberta Hükümeti'nin ele almaya çalıştığı teknik borç ve güvenlik açıkları, hiçbir şekilde benzersiz değildir. Bunlar dünya çapında birçok il, eyalet ve federal ajansın sistemlerinde bulunmaktadır. Alberta'nın yayınladığı teknik white papers diğer hükümetlere bu aynı sorunları ele almak için bir plan sağlamaktadır.
White papers'a ek olarak, Alberta, Temmuz'da Edmonton'da ne öğrendiğini paylaşmak için bir endüstri günü düzenlemektedir. Ve bu sonbaharda, yaklaşımını il genelinde ölçeklendirmek için bir program başlatacaktır. Alberta bu çabaları genişletirken onunla çalışmaya devam edeceğiz ve belgelediği yaklaşımın diğer hükümetlerin kendi sistemlerini güvenli hale getirmelerine yardımcı olabileceğini umuyoruz.