De Canadese provincie Alberta liet Claude Code 466 miljoen regels overheidscode in ongeveer twintig uur scannen op kwetsbaarheden, werk dat handmatig ruim zes jaar zou kosten, meldt Anthropic in een eigen praktijkstudie.
Voor bedrijven die op verouderde software zitten, verschuift dit de rekensom van code-onderhoud. Een beveiligingsdoorlichting en modernisering die tot voor kort een meerjarig, budgetverslindend traject was, brengt Alberta terug tot een klus van uren tot dagen met een vloot AI-agents. Eén voorbehoud hoort er meteen bij: de cijfers komen uit Anthropics eigen klantcase, niet uit onafhankelijk onderzoek. De provincie is zowel klant als kroongetuige.
Wat Alberta liet doen
Het ministerie van Technologie en Innovatie beheert de systemen van 27 provinciale ministeries: ongeveer 1.280 applicaties, verspreid over 3.400 code-repositories. Daarop zette het team zo'n vijftig autonome AI-agents los, gebouwd op de Claude Agent SDK en aangedreven door Anthropics modellen Opus en Sonnet.
Het scannen verloopt in twee stappen. Eerst een snelle controle op basis van vaste regels, daarna een diepere review per applicatie tegen ongeveer 95 beveiligingseisen. De agents blijven niet bij signaleren: ze patchen gevonden gaten, schrijven tests waar die ontbraken en herschrijven verouderde code naar moderne talen.

Van 25 jaar oude Java-portal naar vijf dagen
Het concreetste voorbeeld uit de case is een 25 jaar oude subsidieportal in Java. Die bouwde het team naar eigen zeggen in vier tot vijf dagen opnieuw op, tegen de ongeveer vijf maanden die een handmatige aanpak zou vragen. Op termijn wil Alberta zijn wildgroei aan losse systemen terugbrengen tot zestien applicaties die het zelf in bezit heeft.
De provincie claimt daarmee een kostenbesparing van 95 procent op een moderniseringsoperatie die traditioneel rond de twee miljard dollar zou kosten. Naast Claude gebruikte het ook tools van Google, en het bouwde de agents in ongeveer achttien maanden zelf. Minister Nate Glubish stelt dat de provincie in uren voor elkaar kreeg waar een klassieke aanpak jaren over zou doen. Een onafhankelijke toetsing van die besparing ontbreekt vooralsnog.
Overheden zetten AI op hun eigen code
Alberta staat niet op zichzelf. Diezelfde week werd bekend dat de Amerikaanse cyberdienst CISA Anthropics Mythos-model operationeel inzet om overheidscode op lekken te scannen. Twee overheden, twee verschillende Anthropic-modellen, en in Alberta's geval een zelfgebouwde vloot agents in plaats van een eenmalige test. De rode draad: code-audit met AI schuift van experiment naar staand beleid.
De betekenis voor een Nederlandse organisatie zit in twee dingen tegelijk. De belofte is echt: legacy-software die jarenlang bleef liggen omdat opschonen te duur was, komt binnen bereik van een klein team met de juiste agents. De keerzijde is dezelfde als bij CISA: die rekenkracht komt van één Amerikaanse aanbieder, in een case die dat bedrijf zelf naar buiten bracht. Wie erop leunt, koopt niet alleen snelheid, maar ook een afhankelijkheid die op een dag politiek of commercieel kan knellen.
Veelgestelde vragen
Vastgelopen code weer vlot
Zit je op software die niemand meer durft aan te raken? Ik neem verouderde systemen over, licht ze door en bouw ze stap voor stap veilig door, self-hosted waar dat kan. Van meedenken over de aanpak tot het echte werk.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
