Phỏng vấn

Willem Delbare, Đồng sáng lập và CEO của Aikido – Loạt phỏng vấn

mm
Đã xuất bản

Willem Delbare, Đồng sáng lập và CEO của Aikido, là một doanh nhân SaaS nối tiếp và là người sáng lập kỹ thuật với nền tảng vững chắc trong việc xây dựng các công ty phần mềm tập trung vào nhà phát triển. Trước khi ra mắt Aikido vào năm 2022, ông đã đồng sáng lập nền tảng HR Officient, sáng kiến bền vững FutureproofedCities và công ty CRM Teamleader, nơi ông từng giữ vị trí CTO và giúp công ty này trở thành một trong những câu chuyện thành công về SaaS của Bỉ. Trong suốt sự nghiệp của mình, Delbare đã tập trung vào việc đơn giản hóa các thách thức kỹ thuật phức tạp trong cơ sở hạ tầng đám mây, khả năng mở rộng SaaS và an ninh mạng. Dưới sự lãnh đạo của ông, Aikido đã nhanh chóng phát triển thành một trong những công ty khởi nghiệp an ninh mạng đang lên nhanh nhất ở châu Âu bằng cách tập trung vào các giải pháp an ninh thực tế được thiết kế cho các đội phát triển hiện đại.

Aikido là một công ty an ninh mạng của Bỉ tập trung vào việc giúp các nhà phát triển và đội ngũ kỹ sư bảo mật các ứng dụng và môi trường đám mây thông qua một nền tảng thống nhất. Công ty này kết hợp nhiều chức năng an ninh như quét mã, phân tích phụ thuộc, quản lý tư thế an ninh đám mây, bảo vệ thời gian chạy và thử nghiệm hỗ trợ AI vào một hệ thống được sắp xếp hợp lý. Cách tiếp cận của công ty này được thiết kế để giảm thiểu sự phức tạp, giảm thiểu các cảnh báo sai và loại bỏ nhu cầu của các tổ chức phải quản lý các ngăn xếp an ninh phân mảnh trên nhiều nhà cung cấp. Được xây dựng với triết lý ưu tiên nhà phát triển, Aikido nhấn mạnh vào tự động hóa, giám sát liên tục và các quy trình khắc phục sự cố được đơn giản hóa để giúp các công ty tích hợp an ninh trực tiếp vào chu kỳ phát triển phần mềm.

Những kinh nghiệm từ việc xây dựng và mở rộng các công ty như Teamleader và Officient đã dẫn bạn đến việc thành lập Aikido Security vào năm 2022, và làm thế nào nền tảng kỹ thuật của bạn đã định hình tầm nhìn của bạn trong việc tạo ra một cách tiếp cận thân thiện với nhà phát triển hơn đối với an ninh mạng?

Trong thập kỷ qua, tôi đã tìm thấy sự kêu gọi của mình trong lĩnh vực B2B SaaS. Với ba công ty khởi nghiệp với tư cách là người sáng lập kỹ thuật và CTO và ba lần thoát khỏi các công ty trong lĩnh vực công nghệ nhân sự, công nghệ hóa đơn và kế toán carbon. Tất cả đều là những thế giới rất khác nhau, nhưng đều có cùng một niềm đam mê xây dựng phần mềm không khiến mọi người muốn ném máy tính xách tay của họ ra ngoài cửa sổ.

Nhưng tại mỗi một trong những công ty đó, an ninh mạng luôn khiến tôi mất ngủ. Nỗi sợ hãi về việc bị vi phạm dữ liệu là có thật, và các công cụ được cho là sẽ giúp đỡ trông giống như bên trong buồng lái của một chiếc F-16. Đắt tiền, áp đảo và được xây dựng cho người có bằng tiến sĩ về khoa học máy tính, không phải cho một đội ngũ phát triển đang cố gắng giao hàng nhanh.

Chúng tôi đã thành lập Aikido Security để trực tiếp giải quyết thách thức này. Aikido cung cấp một nền tảng an ninh phần mềm thống nhất, ưu tiên nhà phát triển cho các tổ chức mọi quy mô, kết hợp các tính năng an ninh thiết yếu trên mã, đám mây và thời gian chạy trong một nơi để giúp các nhà phát triển giao hàng an toàn và bảo mật.

Kể từ đó, AI đã làm cho việc giao hàng phần mềm trở nên nhanh hơn và bề mặt tấn công trở nên lớn hơn. Chương tiếp theo của chúng tôi là để cho phép các tổ chức theo kịp phần mềm tự bảo mật.

Vào tháng 2, chúng tôi đã ra mắt Aikido Infinite, giải pháp thử nghiệm xâm nhập liên tục hỗ trợ AI của chúng tôi, xác thực tính khả thi của việc khai thác và đóng vòng khắc phục trước khi mã đến sản xuất.

Môi trường phát triển hiện nay đang được mô tả là một trong những điểm mù an ninh lớn nhất. Điều gì đã thay đổi gần đây để làm cho vấn đề này trở nên quan trọng?

Máy của nhà phát triển luôn là mục tiêu có giá trị. Chúng chứa thông tin đăng nhập đám mây, khóa SSH, token xuất bản npm, cấu hình Kubernetes, quyền truy cập trực tiếp vào mã nguồn. Nhưng điều đã thay đổi trong 6 đến 12 tháng qua là các kẻ tấn công đã tìm ra cách dễ dàng để xâm phạm chúng thông qua công cụ mà các nhà phát triển đã tin tưởng. Chúng tôi đã theo dõi điều này trong suốt cả năm. Trivy, TanStack, Bitwarden CLI, tiện ích mở rộng Nx Console VS Code và bây giờ GitHub, tất cả đều bị vi phạm thông qua công cụ của nhà phát triển, tất cả đều nhắm vào thiết bị.

Vấn đề là hầu hết các đội an ninh không có khả năng nhìn thấy những gì thực sự đang chạy trên những máy đó. EDR giám sát ở cấp độ ứng dụng, nhưng nó không nhìn thấy các gói, tiện ích mở rộng hoặc công cụ hỗ trợ AI đang chạy bên trong những ứng dụng đó. Trong khi đó, các nhà phát triển đang kéo các gói, tiện ích mở rộng và công cụ hỗ trợ AI mới mỗi ngày với rất ít sự giám sát của con người. Các mô hình ngôn ngữ lớn cũng đã làm cho việc tạo ra phần mềm độc hại trở nên dễ dàng hơn, điều này đã làm giảm ngưỡng cho các kẻ tấn công trên toàn bảng. Khoảng cách giữa những gì trên máy của nhà phát triển và những gì các đội an ninh thực sự có thể nhìn thấy là nơi tất cả các cuộc tấn công này đang xảy ra.

Chúng ta đang chứng kiến sự gia tăng của các cuộc tấn công chuỗi cung ứng cùng lúc AI đang trở nên phổ biến. Làm thế nào AI đang thay đổi sự cân bằng giữa các kẻ tấn công và những người phòng thủ?

AI đã làm cho việc tạo ra phần mềm độc hại trong chuỗi cung ứng trở nên dễ dàng hơn. Xây dựng các payload thuyết phục, che giấu mã và hiểu cách các kho đăng ký gói hoạt động đủ tốt để lạm dụng chúng đều yêu cầu kỹ năng kỹ thuật thực sự. Giờ đây chỉ cần một đăng ký LLM. Chúng tôi đã thấy điều này trực tiếp với TeamPCP, những người đã đứng sau hầu hết các cuộc tấn công chuỗi cung ứng lớn trong năm nay, bao gồm cả vụ vi phạm GitHub gần đây. Họ không phải là một nhóm đặc biệt tinh vi nhưng họ đã trở nên phổ biến, và AI là một phần lớn trong cách họ đã mở rộng quy mô. Một năm trước, chúng tôi đang xử lý các vi phạm gói đơn lẻ. Giờ đây, chúng tôi đang chứng kiến các loại giun tự nhân lên như Shai-Hulud và các chiến dịch liên kết di chuyển qua các kho, đánh cắp thông tin đăng nhập từ một sự vi phạm để cung cấp nhiên liệu cho sự vi phạm tiếp theo.

Về phía phòng thủ, AI cũng đang giúp đỡ nhưng theo những cách khác. Các đội an ninh hiện có thể chạy thử nghiệm xâm nhập liên tục trên toàn bộ cơ sở mã bằng cách sử dụng các tác nhân AI kiểm tra hàng trăm đường tấn công song song. Điều đó giải phóng thời gian cho các quyết định cần sự phán xét của con người. Ở cấp độ thiết bị, AI cũng đang giúp bắt các gói độc hại sớm hơn bằng cách phân tích những gì đang được cài đặt trước khi nó đến máy của nhà phát triển. Nhưng thực tế là các kẻ tấn công hiện đang được hưởng lợi nhiều hơn từ AI so với những người phòng thủ.

Aikido nói về việc chuyển an ninh lên dòng. Điều đó có nghĩa là gì trong thực tế đối với các đội xây dựng và giao hàng phần mềm ngày nay?

Hầu hết ngành công nghiệp đã dành nhiều năm để chuyển an ninh sang trái vào đường ống CI/CD. Vấn đề là bề mặt tấn công đã chuyển sang trái hơn nữa, lên chính máy của nhà phát triển. Vụ vi phạm GitHub là một ví dụ tốt. Đó không phải là mã không an toàn đến sản xuất. Đó là một tiện ích mở rộng VS Code bị xâm phạm trên máy tính xách tay của một nhà phát triển đang xuất thông tin đăng nhập trước khi ai viết một dòng mã.

Trong thực tế, chuyển an ninh lên dòng có nghĩa là an ninh phải hoạt động liên tục ở nơi mã thực sự được viết và nơi công cụ được cài đặt. Điều đó có nghĩa là xác thực những gì đang chạy trên thiết bị của nhà phát triển, bắt các gói và tiện ích mở rộng độc hại trước khi chúng hạ cánh và tự động kiểm tra rủi ro có thể khai thác khi mã thay đổi chứ không phải chờ một người nào đó lên lịch. Mục tiêu là một vòng lặp khép kín nơi phát hiện, xác thực và khắc phục xảy ra như một phần của quy trình phát triển chứ không phải là một quá trình riêng biệt chạy sau khi thực tế.

Nếu các tác nhân AI tự động tải xuống các phụ thuộc và công cụ, thì các công ty nên suy nghĩ lại về niềm tin vào mã nguồn mở và mã của bên thứ ba như thế nào?

Mặc định với các tác nhân AI là chúng kéo các phụ thuộc và công cụ tự động với rất ít giám sát của con người. Điều đó thay đổi mô hình tin cậy cơ bản vì bạn đã có mã chạy trên máy của nhà phát triển mà không ai chọn cài đặt rõ ràng.

Vụ vi phạm Vercel là một ví dụ về nơi mọi thứ đi sai. Vercel không bị hack trực tiếp. Một tiện ích mở rộng AI hợp pháp đã có quyền truy cập OAuth vào tài khoản Google của một nhân viên và tiện ích mở rộng đó đã bị xâm phạm ở phía nhà cung cấp thông qua một công cụ đánh cắp thông tin ở phía nhà cung cấp. Đây là cùng một mẫu chúng tôi tiếp tục thấy trong mã nguồn mở, nơi mã của bên thứ ba được tin cậy trở thành điểm vào. Rủi ro được nhân lên vì một trạm làm việc của nhà phát triển bị xâm phạm cho một kẻ tấn công quyền truy cập tương tự như một kỹ sư được tin cậy. Họ có thể sửa đổi mã, chèn các phụ thuộc độc hại hoặc xuất bản các phiên bản bị giả mạo của phần mềm hợp pháp và những thay đổi đó được các đường ống xây dựng thu thập và lan truyền thông qua các bản cập nhật được tin cậy.

Các công ty cần bắt đầu coi mọi thứ chạy trên máy của nhà phát triển là một phần của bề mặt tấn công của họ. Điều đó bao gồm các tác nhân AI, công cụ chúng cài đặt, các tiện ích mở rộng chúng phụ thuộc vào, tất cả mọi thứ. Nếu bạn chỉ có khả năng nhìn thấy các gói mã nguồn mở được biết, bạn đang bỏ lỡ các lớp mà những cuộc tấn công thực sự đang xảy ra.

Khái niệm về phần mềm tự bảo mật là hấp dẫn. Những khả năng cốt lõi nào là cần thiết để làm cho tầm nhìn đó hoạt động ở quy mô?

Để làm cho phần mềm tự bảo mật hoạt động ở quy mô, bạn cần một vòng lặp khép kín. Hệ thống phải có khả năng kiểm tra các đường tấn công thực khi mã thay đổi, xác nhận xem một thứ gì đó có thực sự có thể khai thác được hay không và tạo ra các bản vá trong quy trình phát triển, sau đó kiểm tra lại để xác nhận bản vá đã hoạt động. Toàn bộ chu kỳ đó cần chạy liên tục mà không cần chờ ai đó lên lịch. Điều quan trọng là điều này không phải là về việc loại bỏ con người khỏi an ninh. Đó là về việc xử lý công việc liên tục để các đội an ninh có thể tập trung vào những quyết định thực sự cần sự phán xét.

Nhà phát triển thường gặp khó khăn với quá nhiều cảnh báo và báo cáo sai từ các công cụ an ninh. Aikido giúp các đội tập trung vào những gì thực sự quan trọng như thế nào?

Hai phần ba lãnh đạo an ninh trong cuộc khảo sát của chúng tôi về Tình trạng AI trong An ninh & Phát triển cho biết các đội của họ đã bỏ qua các quy trình an ninh, bỏ qua các phát hiện hoặc trì hoãn việc sửa chữa vì các báo cáo sai. Đó là chi phí thực sự của các công cụ ồn ào. Nó không chỉ浪 phí thời gian, mà còn làm giảm an ninh vì mọi người ngừng tin tưởng vào các cảnh báo.

Cách chúng tôi giải quyết vấn đề này tại Aikido là thông qua phân tích khả năng tiếp cận và tự phân loại. Thay vì đánh dấu mọi lỗ hổng và để lại cho đội an ninh quyết định những gì quan trọng, chúng tôi phân tích xem một lỗ hổng có thực sự có thể tiếp cận được trong mã của bạn và có thể bị khai thác trong môi trường của bạn hay không. Nếu không, đội của bạn sẽ không bao giờ nhìn thấy nó. Điều đó cắt giảm đáng kể số lượng cảnh báo và có nghĩa là khi một thứ gì đó thực sự xuất hiện, nó đáng để hành động.

Nền tảng của bạn kết hợp mã, đám mây, bảo mật thời gian chạy và thử nghiệm xâm nhập tự động. Tại sao một cách tiếp cận thống nhất lại hiệu quả hơn so với việc sử dụng nhiều công cụ độc lập?

Nghiên cứu của chúng tôi về Tình trạng AI trong An ninh & Phát triển đã tìm thấy điều gì đó phản trực giác: các đội an ninh đã gặp sự cố thực sự chạy nhiều công cụ của nhà cung cấp hơn so với những đội không gặp sự cố. Nhiều công cụ không có nghĩa là an ninh tốt hơn. Nó có nghĩa là nhiều tiếng ồn hơn, nhiều phát hiện trùng lặp hơn và nhiều thời gian hơn được dành để liên kết các cảnh báo trên các bảng điều khiển thay vì thực sự sửa chữa mọi thứ.

That là lý do tại sao chúng tôi xây dựng Aikido như một nền tảng duy nhất trên mã, đám mây, thời gian chạy, phụ thuộc và đường ống. Khi tất cả các tín hiệu đó ở một nơi, bạn có thể loại bỏ các phát hiện trùng lặp, hiểu xem một lỗ hổng trong mã của bạn có thực sự có thể tiếp cận được trong môi trường đám mây của bạn hay không và ưu tiên dựa trên rủi ro thực sự chứ không phải đối xử với đầu ra của mỗi máy quét như cấp độ khẩn cấp như nhau. Các đội dành ít thời gian hơn để phân loại trên các công cụ và nhiều thời gian hơn để sửa chữa những gì thực sự quan trọng. Và mỗi khả năng đó phải đứng riêng. Một nền tảng thống nhất mà trung bình ở mọi thứ chỉ là việc hợp nhất vấn đề.

Aikido đã mở rộng nhanh chóng và đạt được động lực đáng kể trong một thời gian ngắn. Những thách thức lớn nhất trong việc xây dựng và phát triển một công ty an ninh mạng với tốc độ này là gì?

Thách thức rõ ràng nhất là việc trở thành một công ty an ninh mạng của Bỉ. Ngành công nghiệp này truyền thống được xây dựng từ Tel Aviv và Thung lũng Silicon, và đã có sự hoài nghi ban đầu về việc liệu một nền tảng an ninh thế giới có thể đến từ bất kỳ nơi nào khác. Nhưng khoảng cách đó cuối cùng đã trở thành một lợi thế. Chúng tôi không tái chế cùng một cuốn sách chơi. Chúng tôi bắt đầu với một cách tiếp cận ưu tiên nhà phát triển và một sản phẩm được đóng gói giúp các đội tự đăng ký, đó là cách chúng tôi trở thành nền tảng an ninh nhà phát triển thống trị cho các doanh nghiệp nhỏ và vừa.

Thách thức lớn hơn là tốc độ. Chúng tôi đã đạt được trạng thái kỳ lân vào tháng 1 năm 2026 với vòng Series B, doanh thu tăng năm lần vào năm ngoái và hiện được hơn 100.000 đội tin cậy, bao gồm Premier League, Revolut và SoundCloud. Chỉ trong năm nay, chúng tôi đã ra mắt Bảo vệ Thiết bị cho an ninh chuỗi cung ứng, Infinite cho thử nghiệm xâm nhập hỗ trợ AI và một quan hệ đối tác với Lovable cho an ninh nhúng trong các quy trình mã hóa. Di chuyển nhanh như vậy trong khi vẫn duy trì chất lượng cao trên mọi phần của nền tảng là thách thức liên tục. Nhưng đó là một vấn đề tốt để có.

Khi phát triển bản địa AI trở thành tiêu chuẩn, tương lai của an ninh phần mềm sẽ như thế nào trong vài năm tới?

Câu trả lời trung thực là các quy trình an ninh truyền thống đã bắt đầu gặp khó khăn trong việc theo kịp. Các cuộc xem xét định kỳ, thử nghiệm xâm nhập đã lên lịch, quét sau khi thực tế, tất cả đều giả định một tốc độ phát triển không thực sự tồn tại nữa. Mã được AI tạo ra và các tác nhân tự động đang giới thiệu các thay đổi nhanh hơn so với những quy trình đó có thể xác thực.

Chúng tôi nghĩ rằng an ninh phải trở thành một vòng phản hồi liên tục được xây dựng trực tiếp vào cách phần mềm được phát triển. Chúng tôi gọi đây là phần mềm tự bảo mật. Mỗi thay đổi mã được kiểm tra các đường tấn công thực, các phát hiện được xác thực cho tính khả thi thực sự, các bản vá được tạo ra và kiểm tra lại, tất cả đều không cần chờ một người lên lịch. Các phiên bản đầu tiên của điều này đã tồn tại ngày nay và chúng tôi đang xây dựng nó trên mã, đám mây, thời gian chạy và chuỗi cung ứng.

Bước tiếp theo sau đó là phần mềm tự duy trì, nơi an ninh không chỉ bắt và sửa chữa các vấn đề mà còn tích cực duy trì sức khỏe của cơ sở mã trong thời gian dài. Đó là một bước đi xa hơn, nhưng những nền tảng đang được đặt ra ngay bây giờ. Điều duy nhất chắc chắn là rào cản để thực hiện các cuộc tấn công tinh vi đã sụp đổ nhờ AI, vì vậy phía phòng thủ phải di chuyển với cùng tốc độ.

Cảm ơn vì cuộc phỏng vấn tuyệt vời, những người đọc muốn tìm hiểu thêm nên truy cập Aikido.

mm

Antoine là một nhà lãnh đạo có tầm nhìn và là đối tác sáng lập của Unite.AI, được thúc đẩy bởi niềm đam mê không ngừng nghỉ trong việc định hình và thúc đẩy tương lai của trí tuệ nhân tạo và robot. Là một doanh nhân liên tục, ông tin rằng trí tuệ nhân tạo sẽ gây ra sự gián đoạn cho xã hội giống như điện, và thường được bắt gặp khi nói về tiềm năng của các công nghệ gián đoạn và AGI.

Là một nhà tương lai học, ông dành mình để khám phá cách những đổi mới này sẽ định hình thế giới của chúng ta. Ngoài ra, ông là người sáng lập của Securities.io, một nền tảng tập trung vào đầu tư vào các công nghệ tiên tiến đang định hình lại tương lai và thay đổi toàn bộ lĩnh vực.