Connect with us

شاهر مان، المؤسس المشارك والرئيس التنفيذي لشركة Backslash Security – سلسلة المقابلات

مقابلات

شاهر مان، المؤسس المشارك والرئيس التنفيذي لشركة Backslash Security – سلسلة المقابلات

mm
Published

شاهر مان، المؤسس المشارك والرئيس التنفيذي لشركة Backslash Security، هو قائد تقني متمرس مع خبرة عميقة في تطوير السحابة وأمن المعلومات وبرمجيات المؤسسات. وهو حاليًا يقود Backslash Security، وهي شركة تركز على تأمين بيئات تطوير البرمجيات الأصلية التي تعتمد على الذكاء الاصطناعي، وحماية كل شيء من بيئات التطوير المتكاملة ووكلاء الذكاء الاصطناعي إلى الكود المولَّد وعمليات التوجيه. قبل ذلك، شغل مناصب قيادية في شركة Aqua Security، حيث شغل منصب نائب الرئيس لدارة المنتجات و نائب الرئيس للاستشارات والتطوير، وساعد في بناء واحدة من المنصات الرائدة لأمان الحاويات عبر دورة حياة التطوير. في وقت مبكر من مسيرته، أمضى مان أكثر من عقد من الزمن في شركة SAP، حيث قاد مبادرات التطوير و المنتجات، بما في ذلك SAP Web IDE، وعمل بشكل وثيق مع عملاء المؤسسات العالمية، كما ساهم في نمو النظام البيئي للمطورين. بدأت مسيرته في أدوار تقنية وقيادية في بيئات الشركات الناشئة ووحدات التكنولوجيا الدفاعية في إسرائيل، مما أمن له أساسًا قويًا في الهندسة والنظم على نطاق واسع.

Backslash Security هي منصة أمنية ناشئة مصممة خصيصًا لعصر تطوير البرمجيات الذي يعتمد على الذكاء الاصطناعي. تركز الشركة على تأمين كل مكوّنات تطوير البرمجيات الأصلية التي تعتمد على الذكاء الاصطناعي، بما في ذلك وكلاء الذكاء الاصطناعي وخطوط أنابيب توليد الكود وعمليات التطوير الحديثة للمطورين، وهي منطقة غالبًا ما يتغافل عنها الأدوات الأمنية التقليدية. من خلال تقديم الرؤية والحوكمة والحماية في الوقت الفعلي دون تعطيل سرعة المطورين، تهدف Backslash إلى معالجة المخاطر المتزايدة التي تطرحها بيئات الترميز الآلي و “الترميز بالاهتزاز”، حيث يتم تطوير البرمجيات بشكل متزايد نحو الأنظمة التي تعتمد على الذكاء الاصطناعي، وتم تصميم المنصة لضمان أن الأمن يتطور بالتوازي معها بدلاً من أن يصبح عائقًا، مما يضع Backslash في تقاطع بين DevSecOps وتطوير الذكاء الاصطناعي الجيل التالي.

لقد شغلت مناصب قيادية في إدارة المنتجات والبحث والتطوير في شركات مثل Aqua Security وSAP قبل تأسيس Backslash. ما هي الإشارات المبكرة التي أقنعتك بأن التطوير الأصلي للبرمجيات والترميز بالاهتزاز سوف يغير بشكل جذري عملية إنشاء البرمجيات، وأن الأمن يحتاج إلى إعادة بناء لدعمه؟

لقد عشت بالفعل تحولًا كبيرًا عندما انتقلت البرمجيات إلى الهندسة المعمارية الأصلية للسحابة. في SAP ولاحقًا في Aqua، رأينا من خلال تجاربنا أن التطوير عندما يتغير بهذا القدر، فإن الأمن عادة ما يأتي في المرتبة الثانية. لقد أخذ الذكاء الاصطناعي هذه الحقيقة إلى مستوى جديد تمامًا، ليس فقط لأنه يمكن أن يساعد في كتابة الكود بشكل أسرع، ولكن لأنه بدأ في إعادة تشكيل البيئة بأكملها حول إنشاء البرمجيات.

تأمين الكود لم يعد يتعلق فقط بالكود نفسه، بل يتعلق بالبيئة المحيطة به. في أقل من عام، ما كان في السابق نظام تطوير محصور ومخاطر منخفضة أصبح الآن سطحًا هجمات متوسعًا ومتصلًا بشدة مع قليل من الإشراف أو الحوكمة. بمجرد حدوث ذلك، تغيرت أسئلة الأمن حول ثغرات الكود تمامًا. القضية الحقيقية ليست ما إذا كان الكود معينًا، بل أننا قد أدخلنا أنظمة ووكلاء وتكاملات ومسارات الوصول التي تمتد إلى ما هو أبعد من الكود نفسه. يمكن للأمن أن لا يركز فقط على مخرجات الكود، بل يجب أن يأخذ في الاعتبار البيئة بأكملها التي تجعل هذا الكود ممكنًا.

توصف الترميز بالاهتزاز على أنه يوسع سطح الهجوم إلى ما هو أبعد من الكود إلى التوجيهات ووكلاء MCP وطبقات الأدوات. ما هي المخاطر الأكثر سوء فهمًا في هذا المكدس الجديد التي يتغافل عنها المطورون وأفرق الأمن حاليًا؟

أكبر سوء فهم هو أن العديد من الفرق لا تزال تعتقد أن المخاطر تعيش بشكل رئيسي في الكود المولَّد. هذا هو فقط طبقة واحدة. في التطوير الأصلي للبرمجيات، يتم إدخال المخاطر في وقت مبكر وفي العديد من الأماكن. قد يكون هذا في التوجيهات أو السياق المقدم إلى النموذج أو الصلاحيات الممنوحة للوكلاء أو في خوادم MCP أو الأدوات الخارجية والملحقات التي تمتد لتحقيق نطاقهم. يمكن أن يتم الاستيلاء على جهاز كمبيوتر شخصي واحد واستخدامه كجسر رأس للهجوم الأوسع. إنها نقطة ألم في نقطة النهاية تتنكر في زي مشكلة ترميز بالاهتزاز. على عكس ثغرات الكود، لا تضع هذه المخاطر فقط تطبيقاتك في خطر، بل يمكن أن تضع مؤسستك بأكملها في خطر. إذا كنت تنظر فقط إلى الكود، فإنك تفوت معظم الصورة.

كيف يجب أن تتطور تفكير الأمن عندما يولد وكلاء الذكاء الاصطناعي ويعديلون ونشرون الكود في الوقت الفعلي؟

يجب أن يتحرك الأمن من التفتيش الدوري إلى الرقابة المستمرة. مفهوم الثقة مكسور تمامًا — يمكنك أن تثق بالنماذج وخوادم MCP الموثوقة، ولكن بسبب الطبيعة غير القابلة للتوقع للذكاء الاصطناعي، يمكن أن يتم التلاعب بها أو السلوك الخاطئ لإنشاء مخاطر غير متوقعة.

هذا يعني أيضًا أن هناك حاجة إلى تحول في العقلية التي تعمل فيها الأمن جنبًا إلى جنب مع عملية التطوير أثناء حدوثها، ويتطلب ذلك حوكمة وأمانًا واكتشاف واستجابة أعمق داخل ذلك البيئة. هذا يعني التفكير بحذر في الأدوات التي يتم استخدامها، والسياق الذي يتم استهلاكه، والسياسات التي يجب أن تحكمها، والactions التي يتم اتخاذها في الوقت الفعلي.

أدوات مثل Cursor وClaude Code وGitHub Copilot تصبح معايير في تدفقات عمل المطورين. أين ترى أكبر فجوات الأمن عند採ن Teams هذه الأدوات دون طبقة حوكمة مناسبة؟

أكبر فجوة هي الرؤية. في العديد من المنظمات، هذه الأدوات تنتشر بسرعة دون مراجعة رسمية. أفرق الأمن غالبًا لا تعرف أي وكلاء يتم استخدامها، وكيف يتم تكوينها، وما هي البيانات التي يمكن الوصول إليها، أو ما هي الأنظمة الخارجية التي يتم الاتصال بها. هذا يخلق مشكلة ظل الذكاء الاصطناعي، وهي مشابهة لمشكلة ظل تكنولوجيا المعلومات من حيث المبدأ، ولكنها أسرع وأكثر ديناميكية.

الثغرة الثانية الكبيرة هي عدم وجود سياسات قابلة للتنفيذ. قد تمتلك المنظمات إرشادات، ولكن الإرشادات وحدها لا تساعد كثيرًا عندما يتحرك المطور بسرعة داخل بيئة التطوير. بدون حوكمة على مستوى الأداة وتدفق العمل، تتعرض الفرق لخطر أدوات مفرطة في الصلاحيات التي لا تتوافق مع معايير المؤسسة. هذه الأدوات ليست سيئة بحد ذاتها، ولكن採ناها دون حوكمة يعني أنك تتسارع في سرعة التطوير دون تسارع في السيطرة.

فجوة أخرى ناشئة هي أن أي شخص يمكن أن يصبح مطورًا — ما نسميه المطورين المواطنين، الذين يستخدمون أدوات الترميز بالاهتزاز. عندما يستخدم شخص من قسم المالية Claude Code لتحسين العمليات وربطها بنظم داخلية، هذا يخلق مخاطر محتملة وثغرة عمياء حتى اليوم.

تركز Backslash على تأمين كل نظام بيئات التطوير التي تعتمد على الذكاء الاصطناعي بدلاً من أدوات فردية. لماذا هذا النهج الكامل للطبقة ضروري، وماذا يحدث إذا استمرت المنظمات في معاملة هذه المخاطر على حدة؟

لأن المخاطر لا تقع بشكل جيد داخل أي منتج واحد في مكدسك. التطوير الأصلي للبرمجيات هو مشكلة نظامية بطبيعتها لأنها تعمل في العديد من الأماكن المختلفة، وتستخدم العديد من الأدوات المختلفة. بيئة التطوير، والنماذج، والوكلاء، وخوادم MCP، والملحقات الخارجية، والهويات، والمصادر المرتبطة جميعها تؤثر على ما يتم بناؤه وكيفية بناءه. المنظمات لا تقوم بتعزيز معايير واحدة لأداة واحدة لأن نقاط قوتها النسبية تتغير بسرعة. إذا قمت بتأمين نقطة واحدة فقط في تلك السلسلة، فإنك لا تزال تفوت كيف تتحرك المخاطر عبر النظام.

معالجة هذه المخاطر على حدة تؤدي إلى دفاعات متجزئة وثغرات عمياء خطيرة. قد تقوي شاشة فحص الكود، لكن تتغافل عن خادم MCP الذي قدم سياقًا خطرًا إلى النموذج. هذا هو السبب في أننا نعتقد أن النهج الصحيح هو الرؤية الكاملة والحماية في الوقت الفعلي عبر كل نظام بيئات التطوير التي تعتمد على الذكاء الاصطناعي. إذا لم تفعل ذلك، فإن المنظمات سوف تستمر في معالجة الأعراض بينما يستمر سطح الهجوم في التوسع تحتها.

التوجيه ي出现 كطبقة جديدة من البرمجة. كيف يجب على المنظمات أن تتعامل مع تأمين التوجيهات ومنع مشاكل مثل حقن التوجيه أو تسرب البيانات أو التلاعب؟

التوجيهات تؤثر بشكل متزايد على المنطق والسلوك. في العديد من الحالات، فهي تعتبر فعليًا طائرة تحكم جديدة لإنشاء البرمجيات. هذا يعني أنها تحتاج إلى سياسة ومراقبة وحدود أمان مثل تعريفات الكود أو البنية. من الناحية العملية، يبدأ هذا بتحديد ما يمكن للتوجيهات الوصول إليه وما الإجراءات التي يمكن أن تؤديها. كما يعني ذلك تحديد قواعد توجيه تتوافق مع التوقعات الأمنية والجودة، ومنع الكشف عن البيانات الحساسة من خلال نوافذ السياق، ومراقبة محاولات التلاعب مثل حقن التوجيه أو اختطاف التوجيه غير المباشر. والشيء الأهم هو أن القواعد نفسها لا يتم استخدامها كباب خلفي لحقن التوجيه. النقطة الأوسع هي أنك لا تأمن التوجيه عن طريق توجيه المطورين والوكلاء إلى “كن حذرًا”. بل تأمنه عن طريق دمج التحكم في البيئة التي يحدث فيها التوجيه فعليًا.

خوادم MCP ومهارات الوكلاء تroduce اتصالات ديناميكية بين الأنظمة. من منظور أمني، هل تمثل هذه أكبر مصدر جديد للمخاطر في تدفقات عمل التطوير التي تعتمد على الذكاء الاصطناعي؟

خوادم MCP ومهارات الوكلاء تمثل طبقة جديدة كبيرة من المخاطر لأنها تعرف كيفية الاتصال بين الأنظمة وتفاعلها مع العالم الحقيقي. تحدد المهارات ما يمكن للوكيل أن يفعله، بينما تمتد خوادم MCP لوصولها إلى السياق والنظم. معًا، يؤثران على سلوك الوكيل الفعلي. إذا لم يتم التحكم في هذه الطبقات بشكل صارم، فإن المنظمات تفقد الرؤية فيما يمكن لأدوات الذكاء الاصطناعي أن تفعله وما هي فعليًا تفعله. الانتقال من توليد الكود إلى اتخاذ الإجراءات هو ما يجعل هذه المنطقة حرجة جدًا للأمن، وتصبح أكثر غير متوقعة عند ربطها معًا.

أحد المواضيع الرئيسية لديك هو “كوني قسم نعم” – تمكين الأمن دون إبطاء المطورين. كيف تتوازن بين الحماية في الوقت الفعلي وسرعة المطورين في بيئات حيث السرعة حرجة؟

الأمن يخلق احتكاكًا عندما يحدث متأخرًا أو يفصل عن كيفية عمل المطورين بشكل факти. يصبح أكثر فعالية عندما يدمج مباشرة في تدفق العمل ويركز على ما يهم حقًا. لقد كان جزءًا من تفكيرنا منذ بداية Backslash، وأكثر أهمية الآن في التطوير الذي يعتمد على الذكاء الاصطناعي.

في الممارسة، يعني ذلك إظهار القليل من القضايا التي تمثل مخاطر حقيقية، وليس فيضان المطورين بكل شيء يبدو مشبوهًا. يعني ذلك فرض السياسة في بيئة التطوير وتدفق الوكيل، وليس بعد ذلك. كما يعني ذلك إنشاء حدود أمان شفافة وقابلة للتنبؤ، بحيث يمكن للفرق التحرك بسرعة مع العلم بأي أدوات يتم استخدامها، وما هي الصلاحيات التي لديهم، ومتى يحدث شيء غير عادي. الهدف ليس إبطاء تبني الذكاء الاصطناعي، ولكن مساعدة المنظمات على تبنيه بثقة دون فقدان السيطرة. في المصطلحات الحقيقية، يعني ذلك أن المطور سيكون لديه أقل فرصة لارتكاب الأخطاء في المقام الأول، ولكن إذا ارتكب خطأً، فسيتم اكتشافه ومعالجته بسرعة.

نحن نشهد مستخدمين غير تقنيين يبنون البرمجيات باستخدام أدوات الذكاء الاصطناعي بشكل متزايد. كيف يغير ظهور غير مطورين الترميز بالاهتزاز منظر المخاطر؟

يوسع منظر المخاطر ب两 طريق. أولًا، يزيد بشكل كبير من عدد الأشخاص الذين يمكنهم إنتاج مخرجات شبيهة بالبرمجيات دون فهم الآثار الأمنية. ثانيًا، يخلق شعورًا كاذبًا بالأمان لأن الأدوات تجعل التطوير يبدو محادثيًا وذو احتكاك منخفض.

هذا يعني أن المنظمات سوف تشهد المزيد من التطبيقات والآليات والتكاملات التي تم إنشاؤها من قبل أشخاص ليس لديهم فهم لحدود الثقة وتنظيف الإدخال وصحافة التبعية وسيطرة الوصول وتسريب البيانات. بعبارة أخرى، يوسع سطح الهجوم ليس فقط لأن الذكاء الاصطناعي يكتب المزيد من الكود، ولكن لأن المزيد من الأشخاص يمكنهم الآن إنشاء تدفقات عمل وأنظمة تصرف مثل البرمجيات دون تطبيق الانضباط الهندسي الأساسي. هذا يجعل الرؤية والحماية المدمجة أكثر أهمية، لأنك لا يمكنك بعد ذلك افتراض معرفة أمنية عند نقطة الإنشاء.

متطلعًا إلى الأمام 12 إلى 24 شهرًا، ما هي أنواع الهجمات أو الثغرات التي تتوقع ظهورها بشكل خاص بسبب تدفقات عمل التطوير الأصلية للبرمجيات؟

نحن نتوقع أن يتم تجنب العديد من ثغرات الكود الشائعة في البداية من خلال تحسينات في النماذج اللغوية الكبيرة نفسها، أو من خلال قواعد التوجيه المضمّنة بشكل أفضل في “الحصانة” التي تحيط بتلك الأدوات. إذا كنا نرى الآن زيادة في حجم الثغرات ببساطة بسبب زيادة السرعة، فإن هذا سوف يصحح نفسه. وما لم يصحح، سوف يتم ملاحقته بواسطة أدوات أمان الكود المدمجة التي تعتمد على الذكاء الاصطناعي (بعضها يتم توفيره من قبل بائعي منصات الذكاء الاصطناعي، على سبيل المثال، أمان Claude Code ومشروع Glasswing).

然而، أتوقع نتائج أسوأ عندما يتعلق الأمر بالكشف عن المعلومات بسبب استخدام أدوات الذكاء الاصطناعي غير الخاضعة للإشراف في تطوير التطبيقات – مثل وكلاء المصدر المفتوح (مثل OpenClaw)، والتي لديها إعدادات أمنية سيئة للغاية مقترنة بمستخدمين jejichž معرفة بالأمن تتجاوزها حماسهم لترميز الاهتزاز.

كنتيجة لذلك، أعتقد أننا سوف نشهد تحولًا نحو الهجمات التي تستهدف نفس نظام التطوير بدلاً من الأنظمة الإنتاجية فقط. مع أن الذكاء الاصطناعي يصبح جزءًا من كيفية إنشاء البرمجيات، فإن المهاجمين سوف يركزون على التلاعب بالأدوات والاتصالات التي تشكل ذلك العملية، مما يؤدي إلى تعرض البرمجيات للخطر قبل نشرها أبدًا.

شكرًا على المقابلة الرائعة، القراء الذين يرغبون في معرفة المزيد يجب أن يزوروا Backslash Security.

mm

أنطوان هو قائد رؤى ومؤسس شريك في Unite.AI، مدفوعًا بشغف لا يتزعزع لتشكيل وتعزيز مستقبل الذكاء الاصطناعي والروبوتات. رجل أعمال متسلسل، يعتقد أن الذكاء الاصطناعي سيكون مدمرًا للمجتمع مثل الكهرباء، وغالبًا ما يُقبض عليه وهو يثرثر عن إمكانات التكنولوجيات المدمرة و AGI.

كما أنه مستقبلي، فهو مخصص لاستكشاف كيف سيشكل هذه الابتكارات العالم. بالإضافة إلى ذلك، فهو مؤسس Securities.io، وهي منصة تركز على الاستثمار في التكنولوجيات المتقدمة التي تعيد تعريف المستقبل وتهيئ القطاعات بأكملها.