В безопасности приложений одно из обещаний агентов ИИ заключается в том, что они смогут проверить и сканировать ваш код на наличие уязвимостей 24/7 — а затем автономно решать любые проблемы, будь то на этапе разработки или в производстве. Мы еще не совсем там, но множество стартапов и действующих лиц пробежают в этом. Одним из стартапов в этом пространстве является Aptori, который создает инженера по безопасности ИИ для предприятия.
Сервис создает контекстную карту в режиме реального времени вашей кодовой базы, API и облачной инфраструктуры, помогая ей понять логику авторизации и то, как данные текут в ваших системах, чтобы затем эффективно сканировать недостатки в коде и других вопросах. В идеале это может также исправить эти проблемы.
Я сел с генеральным директором и соучредителем Aptori Sumeet Singh на следующей конференции Google Cloud, чтобы обсудить компанию, а также современное состояние агентов в области безопасности. Сингх вместе со своим соучредителем Трэвисом Ньюхаусом не привыкать к созданию стартапов. Впервые я встретил их во время расцвета OpenStack, когда они работали над Appformix, стартапом, который автоматизировал облачные операции для пользователей OpenStack. Они продали компанию Juniper Networks в конце 2016 года, а затем уехали несколько лет назад, чтобы начать Aptori.
«OpenStack была самой удивительной системой облачных вычислений, и, вы знаете, наш предыдущий стартап, мы создали все эти инструменты, чтобы сделать OpenStack автономным», — сказал Сингх. «У вас есть облачная среда OpenStack. Вы запускаете наше программное обеспечение на нем, и это просто запустило бы ее для вас, без людей. Было некоторое количество ИИ, но не [Generative] Ай Там было много машинного обучения ».
Затем, как только компания была приобретена Juniper, клиенты компании в значительной степени стали телекоммуникациями и финансовыми учреждениями в регулируемых средах. То, что испытала команда, было то, что, несмотря на то, что разработчики смогли все более быстро двигаться в этой автоматизированной инфраструктуре, они все еще не смогли фактически выпустить свое программное обеспечение, в значительной степени из -за требований безопасности, которые сдерживали их.
«Каждый раз, это было бы похоже на: да, мы готовы освободить. Но есть этот длинный список требований, которые исходят из безопасности, которые, эй, они должны делать все эти вещи. Но вы готовы освободить. И это должно быть довольно душераздирающим, верно? Вы приложили все эти усилия. У вас есть эта цель, что, эй, я должен выпустить все за шесть минут, но вы не можете достичь этого».
Идея заключается в том, чтобы агенты безопасности всегда сканировали код, проверяли приложения и API на наличие уязвимостей, так что, когда он готов к выпуску, потенциальных блокаторов гораздо меньше.
Когда начинается Aptori, модели еще не были готовы предоставить исправления, все, что они сделали, это предоставили оповещения. Сингх признал, что эти ранние исправления кода, которую команда пыталась генерировать, были на самом деле непригодны для использования, поэтому первое поколение продукта должно было сосредоточиться на оповещении. Теперь, с такими моделями, как Gemini 2.5 Flash, Claud Sonnet 4 и других, это меняется.
«Раньше я говорил своему соучредителям Трэвису все время, что, посмотри, мы только даем этим разработчикам плохие новости»,-сказал он. «Мы идем к ним и говорим им: эй, вам нужно исправить еще шесть вещей. Эй, вам нужно исправить еще восемь вещей — и они заняты выявлением этой функции. Но с помощью ИИ генерирует эти исправления кода — и сложные исправления кода — это не похоже на то, что меняет эту строку здесь. Это правильное различие в различных разделах вашего кода».
Следующий шаг для агентских систем — стать более автономным. Но, как справедливо отметил Сингх, инженеры всегда захотят иметь видимость в том, что делают эти инструменты.
Он также подчеркнул, что есть еще много традиционной разработки программного обеспечения, а также машинного обучения, которое входит в создание такого инструмента, как Aptori. В конце концов, для многих функций безопасности вам нужен детерминированный инструмент.
«Вы не можете просто оставить его в Genai, чтобы выбрать жадный подход и сказать:« Эй, посмотрите, это 10 вещей, которые я нашел, или это 20 вещей, которые я нашел. Вы хотите убедиться, что какими бы ни были эти элементы управления, какими бы ни были эти проверки, что все эти чеки были сделаны », — сказал он.
Trending Stories youtube.com/thenewstack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Прежде чем присоединиться к новому стеку в качестве старшего редактора для ИИ, Фредерик был редактором предприятия в TechCrunch, где он освещал все, от роста облака и самых ранних дней Kubernetes до появления квантовых вычислений …. Подробнее от Frederic Lardinois
