威廉·德尔巴雷，合道安全公司的联合创始人和首席执行官 – 采访系列

威廉·德尔巴雷，合道安全公司的联合创始人和首席执行官，是一位拥有丰富经验的SaaS企业家和技术创始人，具有强大的开发者为中心的软件公司建设背景。在2022年推出合道安全公司之前，他联合创立了人力资源平台Officient、可持续发展倡议FutureproofedCities和客户关系管理公司Teamleader，并在Teamleader担任首席技术官，帮助公司扩张成为比利时最著名的SaaS成功故事之一。在他的职业生涯中，德尔巴雷专注于简化复杂的技术挑战，包括云基础设施、SaaS可扩展性和网络安全。在他的领导下，合道安全公司迅速成长为欧洲最快发展的网络安全初创公司之一，专注于为现代开发团队设计的实用安全解决方案。

合道安全公司是一家比利时的网络安全公司，专注于帮助开发者和工程团队通过一个统一的平台来保护应用程序和云环境。该公司将多个安全功能，如代码扫描、依赖分析、云安全姿势管理、运行时保护和人工智能辅助测试，整合到一个流线型系统中。其方法旨在减少复杂性，尽量减少假阳性，并消除组织管理多个供应商的分散安全堆栈的需要。以开发者为中心的理念，合道安全公司强调自动化、持续监控和简化的修复工作流程，以帮助公司将安全性直接集成到软件开发生命周期中。

您在建设和扩张公司（如Teamleader和Officient）期间积累的经验，促使您在2022年创立了合道安全公司。您的技术创始人背景如何塑造了您对开发者友好型网络安全方法的愿景？

在过去的十年里，我发现了自己在B2B SaaS领域的使命。作为三家初创公司的技术联合创始人和首席技术官，并在人力资源技术、发票技术和碳会计等领域实现了三次退出。虽然这些领域非常不同，但它们都有一个共同点，即建设不让人想要扔掉笔记本电脑的软件。

但在每一家公司中，安全性都让我夜不能寐。数据泄露的恐惧是真实的，而那些应该帮助我们的工具看起来像F-16战斗机的驾驶舱一样。昂贵、令人不知所措，并且是为拥有计算机科学博士学位的人设计的，而不是为试图快速发布软件的开发团队设计的。

我们创立合道安全公司是为了直接解决这个挑战。合道安全公司提供了一个统一的、开发者为中心的软件安全平台，适用于所有规模的组织，将代码、云和运行时的基本安全功能整合到一个地方，使开发者更容易安全地发布软件。

从那时起，人工智能使软件交付变得更快，攻击面也变得更大。我们的下一个篇章是使组织能够跟上自我保护的软件。

二月，我们推出了合道安全公司的Infinite，一个连续的人工智能渗透测试解决方案，可以验证漏洞的可利用性并在代码进入生产之前关闭修复循环。

开发环境现在被描述为最大的安全盲点。最近发生了什么变化，使其成为一个如此关键的问题？

开发者机器一直是有价值的目标。它们持有云凭证、SSH密钥、npm发布令牌、Kubernetes配置和对源代码的直接访问。但在过去的6到12个月里，攻击者已经弄清楚了如何通过开发者信任的工具轻松地破坏这些机器。我们已经追踪了这一趋势。Trivy、TanStack、Bitwarden CLI、Nx Console VS Code扩展和现在的GitHub，都被开发工具破坏，所有这些都针对设备。

问题在于，大多数安全团队对运行在这些机器上的内容没有可见性。EDR在应用程序级别监控，但它看不到应用程序内运行的包、扩展或人工智能工具。同时，开发者每天都在拉取新的包、扩展和人工智能工具，几乎没有任何检查。LLM使得创建令人信服的恶意软件变得更容易，这降低了攻击者的门槛。安全团队和开发者机器之间的差距正是攻击者所利用的空间。

我们正在看到供应链攻击的激增，同时人工智能也正在被广泛采用。人工智能如何改变攻击者和防御者的平衡？

人工智能使得创建供应链恶意软件变得容易得多。构建令人信服的有效载荷、混淆代码以及了解包注册表的工作原理以滥用它们，过去都需要真正的技术技能。现在，只需要一个LLM订阅。我们已经直接看到这一点，例如TeamPCP，他们是今年大多数主要供应链攻击的幕后黑手，包括最近的GitHub泄露事件。他们不是一个特别成熟的团队，但他们已经扩大了规模，人工智能是他们扩张的重要因素。去年，我们还处理过单包漏洞。现在，我们看到可以自我复制的蠕虫，如Shai-Hulud，以及可以跨注册表窃取凭证的链式攻击。

在防御方面，人工智能也在帮助，但方式不同。安全团队现在可以使用人工智能代理在整个代码库中运行连续的渗透测试，测试数百条攻击路径。这样可以让人力专注于需要判断的决策。在设备级别，人工智能也在帮助更早地捕获恶意包，通过在包安装到开发者机器之前进行分析。但是，坦率地说，攻击者目前从人工智能中受益更多。创建恶意软件的门槛下降得比检测恶意软件的门槛下降得更快。

合道安全公司谈到了将安全性上移的概念。对于今天的软件开发团队来说，这意味着什么？

大多数行业已经花了很多年将安全性左移到CI/CD管道中。但问题是，攻击面已经进一步左移，到了开发者的机器本身。GitHub泄露事件就是一个很好的例子。这不是因为不安全的代码进入了生产环境，而是因为一名开发者的笔记本电脑上的一个被破坏的VS Code扩展在代码被编写之前就已经窃取了凭证。

从实践角度来说，将安全性上移意味着安全性必须在代码实际被编写和工具被安装的地方持续运行。这意味着验证开发设备上运行的内容，捕获恶意包和扩展，然后在代码更改时自动测试可利用的风险，而不是等待人类安排审查。目标是创建一个闭环，在那里检测、验证和修复成为开发工作流的一部分，而不是一个单独的过程，发生在事后。

随着人工智能代理自动下载依赖项和工具，公司应该如何重新思考对开源和第三方代码的信任？

人工智能代理的默认行为是自动拉取依赖项和工具，几乎没有人工监督。这从根本上改变了信任模型，因为运行在开发机器上的代码没有人明确选择安装。

Vercel泄露事件是一个很好的例子，说明了事情会如何出错。Vercel并没有被直接黑客攻击。一个合法的AI扩展具有对员工Google账户的OAuth访问权限，而这个扩展在供应商侧被一个信息窃取者破坏。这是在开源中反复出现的模式，受信任的第三方代码成为入口点。风险会被放大，因为一个被破坏的开发工作站会给攻击者与信任工程师相同的访问权限。他们可以修改代码、插入恶意依赖项或发布篡改的合法软件版本，这些变化会被构建管道拾取并通过可信更新向下游传播。

公司需要开始将运行在开发机器上的所有内容视为其攻击面的组成部分。这包括人工智能代理、它们安装的工具、依赖的扩展，所有这些。仅仅关注已知的开源包是不够的，因为攻击正是发生在这些层面上。

自我保护软件的概念很有吸引力。要使这种愿景在规模上实现，需要什么核心能力？

为了使自我保护软件在规模上实现，需要一个闭环。系统必须能够在代码更改时测试真实的攻击路径，确认是否真正可利用，并在开发工作流中生成和应用修复，然后重新测试以确认修复是否生效。整个周期需要连续运行，而不需要等待有人安排它。重要的是，这不是关于从安全中移除人类，而是处理那些需要人类判断的决策的常规工作。

开发者经常因安全工具产生的警报和假阳性而苦恼。合道安全公司如何帮助团队关注真正重要的内容？

在我们关于安全与开发中的人工智能状态的调查中，三分之二的安全领导者表示，他们的团队由于假阳性而绕过了安全流程、忽略了发现或延迟了修复。这种嘈杂工具的真正成本不仅仅是浪费时间，还会降低安全性，因为人们会停止相信警报。

我们在合道安全公司的方法是通过可达性分析和自动分类。与其标记每个漏洞并让安全团队决定什么是重要的，我们分析漏洞是否在代码中真正可达并且可以在环境中被利用。如果不能，我们的团队就永远不会看到它。这大大减少了警报的数量，并且当某些东西通过时，它是值得采取行动的。

您的平台将代码、云、运行时安全和自动化渗透测试结合在一起。为什么统一的方法比使用多个独立工具更有效？

我们的关于安全与开发中的人工智能状态的研究发现了一些违反直觉的东西：遭受安全事件的安全团队实际上运行的供应商工具比没有遭受事件的团队更多。更多的工具并不意味着更好的安全性；它意味着更多的噪音、更多的重复发现和更多的时间花在跨多个仪表板关联警报上，而不是实际解决问题。

这就是为什么我们将合道安全公司打造为一个统一的平台，涵盖代码、云、运行时、依赖项和管道。所有这些信号在一个地方意味着可以消除重复的发现，了解代码中的漏洞是否在云环境中真正可达，并根据真正的风险优先处理，而不是将每个扫描器的输出都视为同等紧急。团队花费的时间更少于在工具之间进行分类，更多时间用于修复真正重要的事情。每个平台的每个部分都必须自成体系。一个在所有方面都处于中等水平的统一平台只会巩固问题，除非每个部分都比独立的替代品更好，否则整合的理由就不存在。

合道安全公司迅速扩张并在短时间内获得了显著的牵引力。建设和发展网络安全公司的最大挑战是什么？

最明显的挑战是作为一家来自比利时的网络安全公司。这个行业传统上是由以色列和硅谷建立的，最初人们对是否能从其他地方建立一个世界级的安全平台持怀疑态度。但这种距离最终成为了优势。我们没有重复使用相同的剧本。我们从开发者为中心的方法开始，提供了一个易于自行注册的捆绑产品，这就是我们如何悄悄地成为SMB开发安全平台的主导者。

更大的挑战只是节奏。我们在2026年1月的B轮融资中达到独角兽地位，收入在去年增加了五倍，我们现在被包括英超联赛、Revolut和SoundCloud在内的10万多个团队所信任。今年 alone，我们推出了设备保护以进行供应链安全，推出了Infinite进行人工智能渗透测试，并与Lovable合作将安全嵌入编码工作流中。以如此快的速度移动，同时在整个平台的每个部分保持高质量，是一个持续的挑战。但这是一个好问题。

随着人工智能本地开发成为标准，软件安全的未来在接下来的几年里会是什么样子？

老实说，传统的安全工作流程已经难以跟上。周期性审查、定期渗透测试、事后扫描，所有这些都假设了一种不再存在的开发节奏。人工智能生成的代码和自主代理引入的变化速度比这些过程能够验证的速度更快。

我们认为安全性必须成为软件开发中直接构建的连续反馈循环。我们称之为自我保护软件。每个代码更改都会被测试真实的攻击路径，发现会被验证为实际可利用的，修复会被生成和重新测试，所有这些都在等待人类安排之前完成。早期版本的这种功能已经存在，我们正在为代码、云、运行时和供应链构建它。

在此基础上的下一步是自我维护软件，在那里安全性不仅仅是捕获和修复问题，还在积极维护代码库的健康。这种情况还没有发生，但基础已经开始构建。唯一可以确定的是，由于人工智能，执行复杂攻击的门槛已经消失，因此防御一方必须以同样的速度移动。

感谢这次精彩的采访，希望读者能够通过访问合道安全公司的网站来了解更多信息。