访谈
Endor Labs 的创始人兼首席执行官 Varun Badhwar – 采访系列

Varun Badhwar,Endor Labs 的创始人兼首席执行官,是一位网络安全企业家,以其在云计算和应用程序安全领域的创新而闻名。自 2021 年以来,他领导 Endor Labs,该公司专注于保护 AI 驱动的软件开发。之前,他曾担任 Palo Alto Networks 的 Prisma Cloud 高级副总裁和总经理,以及云安全初创公司 RedLock 的创始人,后者被 Palo Alto Networks 收购。
Endor Labs 是一个针对 AI 时代的应用程序安全平台,旨在帮助工程和安全团队在软件开发中平衡速度和安全性。该平台将基于可达性的软件组成分析、SAST、容器扫描、密钥检测和 CI/CD 管道保护等功能整合到一个统一的视图中,帮助团队确定哪些漏洞真正重要并优先修复。它还包括分析拉取请求的架构更改和在开发生命周期早期检测 AI 生成代码中的风险的 AI 代理。
您之前建立和扩展了主要的安全项目——这些经验如何导致您创立 Endor Labs,您最初最想解决什么问题?
2021 年,当我在 Palo Alto Networks 时,SolarWinds 漏洞爆发了。这是一个巨大的事件。每个使用他们软件的客户都受到影响,我们也不例外。当我深入研究我们如何管理自己的软件时,我意识到我们有 450 名工程师和 68,000 个安全漏洞,但工程师们大多忽略了它们。原因是 80-90% 的警报是假阳性,传统工具不了解开发人员实际如何工作。
那时我就意识到:现代软件开发更像组装,而不是创造。我们正在发布的代码大部分是第三方库,没有质量或安全保证。我看到了安全团队和工程师之间的脱节,对立的动态和政治上的摩擦。我知道我们需要从头开始重新思考应用程序安全,这导致了 Endor Labs 的成立。
Endor Labs 现在为从金融科技到 SaaS 平台的组织保护了数百万个应用程序。您看到最常见的用例是什么,客户为什么选择您?
我们的客户来到我们这里,以确保他们的软件供应链和开发人员管道的安全。他们希望在生产之前验证开源依赖项,自动标记高风险的 AI 生成代码,并最终将安全性直接集成到开发人员的工作流程中。
大多数扫描器只是将漏洞抛给开发人员,然后离开,制造了噪音,工程师们不可避免地会忽略它们。随着 vibe 编码的流行,这种方法根本不起作用。在 Endor,我们提供上下文感知分析和可行的见解,因此安全和工程团队可以再次相互信任。
开发人员经常面临快速开发和保持安全之间的紧张关系。您的平台如何帮助解决这个挑战?
速度与安全性是软件开发中最古老的困境。vibe 编码使这种权衡更加明显。45% 的开发人员每天使用 AI 助手,这加快了速度,但也引入了不安全的代码。
在 Endor Labs,我们将安全性直接嵌入开发人员已经使用的工作流程中。可以将其视为 IDE、拉取请求、Git 管道。我们的理念很简单:安全性只是另一种类型的 bug。像对待其他软件 bug 一样对待它,它就成为开发过程的自然部分,而不是事后补充。通过减少噪音并提供清晰的指导,我们使开发人员能够快速移动,同时确保他们发布的软件是安全的。
错误警报是安全性中最大的痛点之一。您如何以不同的方式解决这个问题?
错误警报很大。我见过工程师忽略大量警报,因为它们毫无意义。在第三方攻击以双位数增长,攻击者利用开发人员管道中的侧门的世界中,这种情况很危险。
我们的方法是优先考虑上下文。我们不仅仅将每个常见漏洞和暴露 (CVE) 与依赖项进行匹配,我们分析代码路径、业务逻辑,甚至 AI 生成的设计更改。我们还开发了 Endor Labs 模型上下文协议 (MCP) 服务器,它允许 AI 代理调用后端工具以获得精确的修复,而不是幻想中的修复。其他工具无法提供这种精度,因为它们缺乏应用程序上下文。他们不知道您的代码做什么,您的服务如何相互通信,或者什么样的修复是安全的。结果是更少的无意义警报和更实用的指导,开发人员可以真正采取行动。
软件供应链现在被认为是企业面临的最紧迫风险之一。为什么这个问题如此重要?
开源软件现在主导企业软件,软件开发已经转变为软件组装。现代应用程序中大约 90% 的组件是外部的,AI 编码助手还会自动引入更多依赖项。这意味着单个漏洞可以在数百万个应用程序中传播。
风险很高:监管机构现在将开源视为国家安全问题。像最近的 Shai-Hulud npm 攻击这样的攻击表明,攻击者正在积极针对这些弱点。没有适当的防护措施,企业将面临巨大的风险。
AI 正在改变软件的构建方式。这为应用程序安全带来了什么新的风险?
AI 助手就像同时雇佣成千上万名实习生一样——它们可以提高生产力,但也会在不受控制的情况下引入混乱。研究表明,62% 的 AI 生成代码存在安全性、质量或架构问题。除了已知的 CVE 之外,这些问题还包括逻辑缺陷、新 API 端点或加密错误,传统工具从未被设计为捕获这些问题。
新的挑战是扩大安全代码审查。依靠过度劳累的高级工程师手动检查每个拉取请求是不起作用的。你需要自动系统,可以在与 AI 生成代码相同的速度下审查、优先排序和指导开发人员。
有些人认为 AI 引入的漏洞比它防止的漏洞更多。你认为它是净风险还是净收益?
它可以是两者。AI 对于原型设计和实验非常出色,但如果缺乏经验的开发人员依赖于 AI,就会出现“盲人引导盲人”的情况。通过将 AI 与安全防护措施配对,可以将 AI 从净风险转变为净收益。没有这些防护措施,风险大于收益。
随着 AI 生成代码变得更加普遍,组织应该采取什么保障措施来确保对其部署的代码的信任?
将 AI 生成的代码视为任何其他第三方依赖项。也就是说,需要持续监控、自动验证和管道中的防护措施。你还需要确保你的 AI 审查工具是基于高质量、安全的代码训练的,而不是仅仅基于随机的 GitHub 仓库。
并且超越检测的范畴。当一个高风险的依赖项被标记时,你的工具应该推荐一种升级路径,以避免破坏你的应用程序。这就是混乱和控制之间的区别。我喜欢把它比作保龄球道上的护栏:球仍然移动得很快,但它保持在轨道上。
透明度是您领导风格的核心。分享成败如何影响文化和绩效?
我们在 Endor Labs 追求激进的透明度。这意味着分享好消息和坏消息——不仅是公司业绩,还包括股票计划和战略风险。员工是成年人。我们的团队可以处理现实。开放性建立信任、参与度和所有权,并帮助人们做出更好的决定。
您经常让新兴领导者在职业早期承担重要责任。您给第一次担任重要职责的经理什么建议?
我喜欢给有前途的团队成员提供重要角色,并相信他们能够成长为该职位。通过指导和支持,他们很快就会学习。我的建议是:接受责任,從失败中学习,并通过行动建立信誉。人们经常会以他们能够实现的成就来惊讶你,当你给他们空间时。
展望未来五年,您认为保护软件供应链的最大机遇和挑战是什么?
随着 AI 编码助手和 ciudad 开发者重塑工作流程,我们需要能够像“安全配对编程器”一样的系统,它们可以实时审查每个拉取请求,扩大安全代码审查,并为开发人员提供可信的上下文。这就是为什么我们在 Endor Labs 建立了我们的 MCP 服务器和多代理架构,它们已经帮助客户跟上 AI 本地开发的步伐。
挑战在于供应链本身变得越来越复杂。今天,代码基本上是从外部组件组装而成,每个新 AI 工具都会引入另一个依赖层。没有重新思考其模型的公司将会发现自己暴露在外。
我们正在实时看到这种紧迫性——Endor Labs 现在保护了超过 700 万个应用程序,每月扫描 160 万个拉取请求,并将工程团队的噪音减少了 90%。五年后,能够把安全编码作为开发人员生产力的核心部分的组织将会脱颖而出。
感谢您接受这次精彩的采访,希望了解更多的读者可以访问 Endor Labs。












