访谈
Backslash Security联合创始人兼CEO Shahar Man – 采访系列
Shahar Man,Backslash Security联合创始人兼CEO,是一位具有深厚技术领导经验的专业人士,尤其在云开发、网络安全和企业软件领域。他目前领导着Backslash Security,这是一家专注于保护AI原生软件开发环境的公司,保护范围包括IDE、AI代理、生成代码和提示工作流等。之前,他曾在Aqua Security担任高级领导职位,包括产品管理副总裁和研发副总裁,帮助建立了领先的容器安全平台。在他的职业生涯早期,Man在SAP工作了十多年,领导了包括SAP Web IDE在内的开发和产品计划,并与全球企业客户密切合作,同时也为开发者生态系统的增长做出了贡献。他的职业生涯始于技术和领导职位,既在初创企业环境中,也在以色列的国防技术单位,这使他在工程和大型系统方面拥有了坚实的基础。
Backslash Security是一家新兴的网络安全平台,专门为AI驱动的软件开发时代而设计。该公司专注于保护整个AI原生开发栈,包括AI代理、代码生成管道和现代开发工作流,这些领域传统的安全工具常常忽略。通过提供可见性、治理和实时保护,而不破坏开发速度,Backslash旨在解决由自动编码和“vibe coding”环境引入的日益增长的风险。随着软件创作越来越多地转向AI辅助系统,该平台旨在确保安全性与开发同步演进,而不是成为瓶颈,从而将Backslash置于DevSecOps和下一代AI开发的交叉点。
您曾在Aqua Security和SAP等公司担任产品和研发的领导职位,之后创立了Backslash。您最初是什么时候意识到AI原生开发和vibe coding将从根本上改变软件创作,并且安全性需要被重建以支持它?
我已经经历了一次重大转变,当时软件转向云原生架构。在SAP和后来的Aqua,我们亲眼目睹了当开发发生如此巨大的变化时,安全性通常会落后。AI已经将这一真理提升到了一个全新的水平,不仅因为它可以帮助更快地编写代码,还因为它已经开始重塑整个软件创作的环境。
保护代码不再仅仅是关于代码本身,而是关于代码周围的环境。在不到一年的时间里,曾经相对封闭和低风险的开发设置已经扩展到一个广阔、紧密相连的攻击面,几乎没有任何监督或治理。一旦发生这种情况,围绕代码漏洞的安全问题就会完全改变。真正的问题不是某个特定的代码是否存在漏洞,而是通过启用AI驱动的开发,我们已经引入了系统、代理、集成和访问路径,这些都远远超出了代码本身。安全性不再能仅仅关注代码的输出,而必须考虑使代码成为可能的整个环境。
您将vibe coding描述为将攻击面扩展到代码以外,包括提示、代理、MCP服务器和工具层。开发人员和安全团队目前忽略的新堆栈中最常被误解的风险是什么?
最大的误解是,许多团队仍然认为风险主要存在于生成的代码中。这只是一个层面。在AI原生开发中,风险被引入得更早,并且在更多的地方。这可能是在提示中,在提供给模型的上下文中,在授予代理的权限中,在它们连接的MCP服务器中,或者在扩展其范围的外部工具和插件中。单个用户的笔记本电脑可以被接管并用作更广泛攻击的桥头。它是一个端点的痛点,伪装成AI编码问题。与代码漏洞不同,这不仅仅会将您的应用程序置于风险之中,还会将整个组织置于风险之中。如果您只关注代码,那么您就会错过大部分图景。
传统的应用程序安全性一直专注于代码审查。当AI代理在实时生成、修改和部署代码时,安全性思维如何需要演变?
安全性必须从周期性检查转变为持续的监督。信任的概念已经完全被打破——您可以拥有可信的模型和可信的MCP服务器,但由于AI的非确定性性质,它们仍然可以被操纵或简单地表现出意外的风险。
这也意味着安全性必须与开发过程并行进行,并在该环境中具有更深入的治理、防护栏和检测和响应能力。这意味着要批判性地思考哪些工具正在被使用,它们正在消耗什么上下文,应该有哪些政策来管理它们,以及它们正在采取什么行动,所有这些都应在实时进行。另外,我们不能忽视AI和AI模型在处理漏洞方面的作用。如果一年前AI模型产生了很多漏洞,那么现在情况已经有了显著的改善,其他模型现在被用来发现以前从未发现的零日漏洞。因此,我们正在朝着更好的输出方向发展——但谁来监督这一过程?攻击者正在寻找其他目标。
Cursor、Claude Code和GitHub Copilot等工具正在成为开发人员工作流程中的标准。采用这些工具而没有适当的治理层时,安全性方面的最大差距在哪里?
最大的差距是可见性。在许多组织中,这些工具正在迅速传播,没有经过正式审查。安全团队通常不知道哪些代理正在被使用,它们如何配置,可以访问什么数据,以及它们连接到哪些外部系统。这就产生了一个影子AI问题,这与影子IT类似,只是速度更快、更动态。
第二大差距是缺乏可执行的政策。大多数组织可能有指南,但指南本身并不能在开发人员快速在IDE中移动时提供太多帮助。没有工具和工作流层面的治理,团队就有可能过度授权工具,这些工具可能不符合企业标准。这些工具本身并不是坏的,但在没有治理的情况下采用它们意味着您有效地在没有控制的情况下扩大了开发速度。
第三个出现的差距是,每个人都可能成为开发人员——我们称之为“公民开发人员”,使用vibe coding工具。当财务人员使用Claude Code来自动化流程并连接到内部系统时,这就产生了潜在的风险,并且即使在今天也是一个巨大的盲点。
Backslash专注于保护整个AI开发生态系统,而不是单个工具。为什么这种全栈方法是必要的,如果组织继续将这些风险视为孤立的怎么办?
因为风险并不仅仅存在于堆栈中的任何一个产品中。AI原生开发本质上是一个生态系统问题,因为它在许多不同的地方运行,使用许多不同的工具。IDE、模型、代理、MCP服务器、外部插件、身份和连接的数据源都影响着什么被构建以及如何构建。组织故意不标准化任何一个工具,因为它们的相对优势正在非常快速地变化。如果您只保护链条中的一个点,您仍然会错过风险如何在系统中移动的方式。
将这些风险视为孤立的会导致防御分裂和危险的盲点。您可能会加固代码扫描器,但忽略了将有风险的上下文输入到模型中的MCP服务器。那就是为什么我们认为正确的方法是整个AI开发生态系统的全栈可见性和实时保护。否则,组织将继续解决症状,而实际的攻击面将在他们下面继续扩大。
提示作为一种新的编程层面正在出现。组织应该如何处理提示的安全性以及防止提示注入、数据泄露或操纵等问题?
提示越来越多地决定逻辑和行为。在很多情况下,它们有效地成为软件创作的新控制面。因此,它们需要像代码或基础设施定义一样具有政策、监控和防护栏。实际上,这从限制提示可以访问什么以及可以触发什么下游操作开始。它还意味着定义与安全性和质量期望相符的提示规则,防止敏感数据通过上下文窗口暴露,并监视提示注入或间接指令劫持等操纵尝试。并且它还包括确保规则本身不会被用作提示注入的后门。更广泛的观点是,您不通过指示开发人员和代理“小心”来保护提示,而是通过将控制嵌入到提示实际发生的环境中来保护提示。
MCP服务器和代理技能引入了系统之间的动态连接。从安全角度来看,它们代表了AI驱动开发中最重要的新风险向量吗?
MCP服务器和代理技能代表了一个主要的新风险层,因为它们定义了AI系统如何连接和与现实世界交互。技能定义了代理能够做什么,而MCP则扩展了其对上下文和系统的访问。它们共同决定了代理的实际行为。如果这些层没有得到严格控制,组织将失去对其AI工具的能力和实际行为的可见性。从生成代码到采取行动的转变使得这一点成为安全的关键领域,而当您将它们链接在一起时,它们变得更加不可预测。
您的一项核心主题是“成为是的部门”——在不减慢开发人员速度的情况下实现安全性。在速度至关重要的环境中,您如何平衡实时保护和开发人员速度?
安全性会在晚期或与开发人员实际工作方式脱节时产生摩擦。安全性变得更加有效,当它直接嵌入工作流程中,并专注于真正重要的事情。这一直是Backslash的思考方式,尤其是在AI驱动的开发中更加重要。
在实践中,这意味着要突出那些代表真正风险的少数问题,而不是用所有理论上看起来可疑的东西来淹没开发人员。这意味着要在IDE和代理工作流程中执行政策,而不是事后补救。并且这意味着要创建透明、确定的防护栏,以便团队可以快速移动,同时仍然知道哪些工具正在使用、它们具有什么权限以及何时发生了异常的情况。目标不是减慢AI的采用速度,而是帮助组织在不失去控制的情况下自信地采用AI。在现实中,这意味着开发人员将有较少的机会犯错误,但如果他们确实犯了错误,它将被快速捕获和处理。
我们看到越来越多的非技术用户使用AI工具构建软件。非开发人员vibe编码者的崛起如何改变威胁格局?
它以两种方式扩大了威胁格局。首先,它显著增加了能够产生类似软件的输出而不了解安全含义的人数。其次,它创造了一种虚假的安全感,因为这些工具使开发感觉像对话一样低风险。
这意味着组织将看到更多由非技术人员创建的应用程序、自动化和集成,他们不具备考虑信任边界、输入验证、依赖关系卫生、访问控制或数据暴露的安全知识。换句话说,攻击面不仅因为AI编写更多代码而扩大,而且因为更多人现在可以生成行为如软件的工作流和系统,而不应用基本的工程学纪律。这使得可见性和内置的安全措施更加重要,因为您不能再假设在创建时就具备安全知识。
展望未来12至24个月,您预计会出现哪些类型的攻击或漏洞,特别是由于AI原生开发工作流程?
我们预计许多常见的代码漏洞将通过LLM本身的改进或生成代码中嵌入的提示规则来避免。如果我们现在看到由于开发速度加快而导致的漏洞数量增加,这将会自行纠正。而那些没有纠正的漏洞将被AI启用的SAST和SCA追踪下来(其中一些将由AI平台供应商提供,例如Claude Code Security和Glasswing项目)。
然而,我预计由于在应用程序开发中使用未经审查和未经监督的AI工具(例如开源代理,如OpenClaw),会出现更糟糕的后果,这些工具的安全性默认值很差,用户群体的安全知识远远被他们对vibe编码的热情所超越。
因此,我认为我们将看到攻击转向针对开发生态系统本身,而不仅仅是生产系统。随着AI成为软件创作过程的一部分,攻击者将专注于操纵塑造该过程的工具和连接,有效地在软件部署之前就损害软件。
