OX Security 联合创始人兼首席执行官 Neatsun Ziv 访谈系列

尼桑·齐夫OX Secuity 联合创始人兼首席执行官，引领 DevSecOps 时代软件供应链安全的重新定义。在创立 OX 之前，他曾担任 Check Point 网络安全副总裁，领导全球项目并协调对 SolarWinds 和 NotPetya 等重大威胁的快速响应。在过去十年中一些最严重的网络事件中，他的工作让他经常与国际刑警组织、国家计算机应急响应小组 (CERT) 和其他执法机构直接合作。

牛安全 OX 是一个应用安全平台，旨在消除干扰，帮助企业专注于真正重要的少数风险。该平台利用可利用性、可达性和业务影响分析，在整个软件开发生命周期中提供基于证据的优先级排序。凭借从代码到云端的全面覆盖、超过 100 个集成以及无代码工作流，OX 将引导式修复直接嵌入到开发人员工作流中，确保安全措施有效且顺畅。

在联合创办 OX Security 之前，您曾在 Check Point 领导重大事件响应。是什么让您决定创办自己的公司？您认为应用安全领域存在哪些差距？

在 Check Point 工作期间，我亲身体验了“企业速度差距”——传统安全企业的行动速度较慢。我还看到安全团队在各个方面效率低下，尤其是在正确确定风险优先级方面。

与此同时，我意识到生成式人工智能（当时尚未开发）代表了安全工具未来发展的方向，而且它确实发展迅速。几个关键的转变正在同时发生：

威胁行为者加速：攻击者正在迅速采用新技术和新技巧，其发展速度超过了安全解决方案所能跟上的速度。

“Vibe Coding”现象：这个术语当时并不存在，但我看到开发人员越来越依赖 Copilot 等 AI 辅助编码工具，从根本上改变了软件的构建方式并引入了全新的安全考虑。

供应链攻击演变：软件供应链攻击的加速使得人们迫切需要新的应用程序安全方法，而现有的工具根本无法解决这个问题。

现有公司结构的渐进式改进不足以应对这些快速发展的挑战。

我最终意识到，威胁正在快速渗透到代码中，安全也需要随之而来。我们需要打破已知的框架，投入一场新的快速竞赛。

OX 的核心使命是帮助开发者专注于真正重要的 5% 漏洞。您是什么时候萌生了这种想法的？它如何影响着您今天的产品决策？

我管理过相当规模的开发团队，亲眼目睹了安全相关问题的数量之巨是多么令人难以承受。你需要了解哪些重要，哪些不重要。翻阅无休止的清单并不能帮助公司降低风险。相反，它只会耗费大量的时间和资源，让人感到沮丧，甚至阻碍公司降低风险。

这告诉我们，我们需要帮助开发者专注于真正重要的事情，然后向他们解释为什么这很重要。之后，我们需要向他们展示如何轻松地解决问题，或者更好的是，为他们解决问题——现在可以通过以下工具来实现： OX特工.

这种洞察力成为了我们创建公司的基石，并指导着我们如今所有的产品决策。我们开发的每一个功能、每一个能力都始于这样一个问题：“这是否能帮助开发者专注于真正重要的事情？这是否能降低风险？”

该平台以“代码投影”为核心，用于映射整个软件开发生命周期 (SDLC) 中的风险。您能解释一下这项技术的工作原理以及它与其他漏洞管理工具有何不同吗？

代码投影本质上是一种技术，它可以发现代码中的问题，并提前知道代码到达云端后会如何表现。这使得您可以在问题投入生产之前（风险已经暴露时）就解决问题。

它的工作原理是理解每段代码都有一个构建过程并将其迁移到云端——CI/CD。我们可以阅读代码并解读其含义。举个简单的例子——暴露在互联网上的内容与未暴露在互联网上的内容显然有着不同的含义。

与其他产品的关键区别在于，大多数工具最终都会留下一长串问题。如果无法专注于 5% 甚至更少的真正重要风险，并筛选这些风险，最终得到的时间表几乎与实际无关。你也不知道该将问题分配给哪位开发人员。

我们的方法彻底改变了这一点——我们不只是发现问题，我们还提供背景、优先级和明确的所有权。

你们提供跨扫描工具、机密管理、SBOM、SaaS 发现等功能的全面集成。在将所有这些功能整合为无缝的开发者体验的过程中，最大的技术挑战是什么？

最难的问题是将数据转化为洞察。数据就是你刚才提到的所有东西。但开发人员需要清晰的思路、要点和推理能力，以及专注的沟通。如何将海量数据转化为切实可行的洞察——这是行业面临的最大挑战。

以一种连贯的方式综合这些信息，并提供开发人员可以实际执行的清晰、优先的行动——这是最大的挑战。

PBOM（管道物料清单）是OX的一项创新。它与SBOM有何不同？为什么它对于保障现代软件供应链安全至关重要？

PBOM 能够查看软件从编写到投入生产过程中发生的所有事件。SBOM 是其中的一个组件，它查看应用程序内的所有软件包。

回答前面的问题——PBOM 实际上是我们将数据转化为洞察的基础，因为它着眼于更广阔的视野——所有数据。它捕获代码的整个过程和转换，而不仅仅是最终的组件。

这种全面的视图至关重要，因为传统的安全工具只能看到最终结果，而忽略了开发和部署过程中发生的关键攻击媒介，例如受损的构建工具、恶意提交或管道操纵。

OX 刚刚发布了 Agent OX——一种全新的多智能体架构，其中每个 AI 模型都专注于特定的漏洞类型和编程语言。是什么促使了这一设计决策？又如何确保它提出的修复方案在实践中既可解释又值得信赖？

我们通过观察人类如何发展专业知识，并将同样的原则应用于人工智能，创建了这种多智能体方法。要成为某个领域的专家，开发人员需要精通该语言、特定架构和特定组织。单个开发人员无法解决所有问题，按照同样的逻辑，单个人工智能智能体也无法达到这种专业水平。此外，您还需要一个能够负责质量保证的智能体。

因此，每个代理都会在其特定领域发展出深厚的专业知识，就像人类专家一样。

为了可信度和可解释性，每个代理不仅提出修复方案，还解释其推理，展示其工作，并让开发人员准确理解为什么选择特定的解决方案。

是什么促使您专注于在开发人员工作流程中直接进行一键修复？您如何确保开发人员保持控制，并且不会遇到意想不到的副作用？

其主要目的是减少摩擦并增强安全修复。我们赋予开发人员完全的控制权，让他们在接受修复方案之前对其进行审核和验证。

关键在于，“一键”并不意味着“自动化”，而是意味着精简。开发人员可以准确地看到需要更改的内容，了解更改原因，审查建议的解决方案，然后选择通过单一操作应用该解决方案。控制权和决策权仍然完全掌握在他们手中，但我们省去了研究和实施修复的繁琐手动工作。

您的客户包括微软、IBM 和 SoFi。这些企业关系如何影响您针对 Agent OX 等工具的路线图和反馈流程？

我们与数百位客户合作，其中数十位客户公开分享他们遇到的挑战。这些关于路线图和设计模式的深入讨论是我们不断优化解决方案的基石。我们高度重视与客户的关系，并将客户视为公司发展的重中之重，这指导着我们理解实际需求并创建解决方案。

随着人工智能安全工具日益主流化，您如何在自动化与开发者的信任和控制之间取得平衡？辅助性和自主性之间的界限又该如何划分？

正如我们在以往的革命中所见，那些不赶上潮流的人将无法生存。我们开始看到与我们合作的组织将所有资源转移到人工智能应用上，因为他们明白我们正在见证一场革命。

这些实际上是我们最具协作精神的客户，因为他们面临着一种前所未有的紧张局面：他们的开发人员需要快速运用AI工具，但又担心失去控制。为了获得竞争优势，他们甚至愿意承担风险和暂时的失控，但他们需要我们帮助他们重拾信任。我们的工作是让他们获得所需的速度，同时重建他们对整个过程的信心。

您最近完成了 60 万美元的 B 轮融资。这笔资金将如何加速 OX 的下一阶段增长——无论是在技术、市场进入还是国际扩张方面？

新的资金从根本上来说是为了扩张，也将帮助我们增强识别人工智能生成代码带来的风险的能力，随着 Agent OX 的推出，我们已经开始看到这一点。

我们目前每天为 100 多个付费客户分析超过 200 亿行代码。这笔资金使我们能够在全球范围内扩大影响力，同时继续专注于始终引导我们的核心问题：“这是否有助于开发者专注于重要的事情？这是否降低了风险？”

感谢您的精彩采访，想要了解更多信息的读者可以访问 牛安全.