00:00:00Merci d'être venus.
00:00:01Merci d'être restés.
00:00:02Je m'appelle Alex.
00:00:03Je travaille pour une petite entreprise appelée Corridor.
00:00:07Je suis ici pour parler un peu du "vibe coding".
00:00:10Et de certaines choses fascinantes qui se passent du point de vue de la sécurité.
00:00:15Tout d'abord,
00:00:16je suis un grand fan de l'utilisation de l'IA pour la génération de code.
00:00:21Je pense que c'est une opportunité incroyable pour les gens d'utiliser les ordinateurs comme jamais auparavant.
00:00:28Il y a beaucoup de développeurs logiciels professionnels dans la salle.
00:00:32Ceux d'entre nous qui ont grandi en écrivant du code,
00:00:36en utilisant des ordinateurs via la ligne de commande ou en les programmant dès leur plus jeune âge,
00:00:42nous ne comprenons pas vraiment ce que cela signifie pour les gens normaux.
00:00:47Mais pour la première fois,
00:00:49les gens normaux vont pouvoir utiliser les ordinateurs comme ils auraient dû être disponibles pour eux depuis longtemps.
00:00:56Coder est un super-pouvoir.
00:00:58Pouvoir demander aux ordinateurs de faire des choses sans avoir à acheter de logiciel,
00:01:04à utiliser de l'open source ou à demander à d'autres de coder pour vous,
00:01:08c'est un super-pouvoir..
00:01:11Le "vibe coding" apporte cela à des millions de personnes.
00:01:15C'est une chose incroyable.
00:01:16Nous devrions être très heureux d'être au début,
00:01:19au tout début de cette révolution qui va apporter l'accessibilité à tous.
00:01:23C'est aussi une incroyable arme à double tranchant.
00:01:26Et "arme à double tranchant" est probablement un euphémisme.
00:01:30C'est comme un bazooka que nous donnons à toutes ces personnes..
00:01:34Il y a des exemples,
00:01:35encore et encore,
00:01:36de mauvaises choses qui arrivent aux gens normaux lorsqu'ils utilisent des applications de "vibe coding".
00:01:41Certaines sont de petites choses amusantes comme l'emploi du temps de la petite ligue de leurs enfants ou des choses dans lesquelles ils mettent leurs données personnelles.
00:01:50Certaines personnes utilisent le "vibe coding" pour des systèmes de dossiers médicaux ou des systèmes Bitcoin,
00:01:56ou des choses qui contiennent des données personnelles,
00:01:58ou qui prennent les numéros de carte de crédit des gens ou stockent leurs permis de conduire.
00:02:03Il y a des tonnes d'exemples de personnes utilisant des applications de
00:02:07"vibe coding"
00:02:07pour créer des choses importantes.
00:02:09Peut-être que certaines plateformes concurrentes qui ne seront pas nommées,
00:02:13mais dont les noms sont très visibles et évidents derrière moi,
00:02:16aggravent particulièrement la situation parce qu'elles utilisent de très mauvais paramètres par défaut et ne facilitent pas la tâche aux utilisateurs.
00:02:24Et elles leur facilitent vraiment l'utilisation de très mauvaises configurations par défaut pour des choses comme Superbase.
00:02:30Ce n'est pas la faute de Superbase..
00:02:33C'est juste que la plateforme de "vibe coding",
00:02:36et d'autres plateformes,
00:02:37ne configurent pas ces choses de manière sécurisée par défaut.
00:02:40Ce n'est pas idéal.
00:02:41Et même pas seulement dans la situation où nous ne parlons pas de "vibe coding" pur sur une plateforme,
00:02:47mais de professionnels qui utilisent...
00:02:49nous avons en fait de bonnes données académiques empiriques à ce sujet.
00:02:53C'est un excellent article que je vous recommande de lire,
00:02:57intitulé "Backbench Academic Group".
00:02:59Ils ont créé un tas de "prompts" qu'ils ont utilisés en pensant : "Tiens,
00:03:03voici des 'prompts' pour des agents de codage qui pourraient créer du code backend susceptible d'avoir des vulnérabilités de sécurité".
00:03:10Et ensuite,
00:03:11ils ont testé ces "prompts" sur un tas d'outils de codage et de LLM pour voir.
00:03:15Et ils ont testé premièrement si le code généré était correct.
00:03:19Et deuxièmement s'il contenait des failles de sécurité.
00:03:22Et à leur crédit,
00:03:23ils continuent de mettre à jour cela à mesure que de nouveaux modèles apparaissent et sont publiés..
00:03:29Vous pouvez aller vérifier cela.
00:03:31Et comme on pouvait s'y attendre,
00:03:33les LLM introduisent,
00:03:34premièrement,
00:03:35beaucoup d'erreurs,
00:03:36mais aussi beaucoup de failles.
00:03:38Maintenant, cela évolue dans la bonne direction..
00:03:41Et vous n'avez pas besoin de prendre des photos de cela.
00:03:43Vous pouvez aller sur backspends.com et obtenir une version beaucoup plus facile à lire.
00:03:47De plus, tout leur code est open source.
00:03:49Vous pouvez donc le reproduire vous-même..
00:03:51Donc,
00:03:52premièrement,
00:03:52cela évolue dans la bonne direction,
00:03:54n'est-ce pas?
00:03:55Si vous regardez même au sein d'une famille de produits,
00:03:58par exemple la famille de produits d'OpenAI,
00:04:01cela va dans la bonne direction.
00:04:03GPT-5 fait bien mieux que GPT-4.1,
00:04:05GPT-4.0,
00:04:05et ainsi de suite.
00:04:06Moins de vulnérabilités en utilisant les mêmes "prompts"..
00:04:10Maintenant,
00:04:10l'un des problèmes ici est que ces
00:04:12"prompts"
00:04:12et ces tests sont maintenant open source.
00:04:14Vous pourriez donc avoir un problème de surapprentissage pour les tests.
00:04:17Bien que nous ayons constaté la même chose,
00:04:19ce que nous avons fait dans notre entreprise,
00:04:21c'est que nous avons internalisé cela,
00:04:23et nous utilisons maintenant certains de nos propres tests.
00:04:26Et nous voyons les mêmes résultats.
00:04:27Dans nos propres tests,
00:04:28en fait,
00:04:29le gagnant est Claude Sonnet 4.5,
00:04:30qu'ils n'ont pas encore rendu public.
00:04:32Mais Anthropic a pris la tête du classement,
00:04:34juste un tout petit peu mieux que GPT-5.
00:04:36Mais de toute façon, cela évolue dans la bonne direction..
00:04:39Mais quand même,
00:04:40même au sommet,
00:04:41parmi les choses qui passent vos tests de régression du code réellement correct,
00:04:46si 20% d'entre elles ont une sorte de vulnérabilité de sécurité,
00:04:50ce n'est pas fantastique.
00:04:52Ce n'est pas ce que je considérerais,
00:04:53en tant que professionnel de la sécurité,
00:04:55comme ce que je voudrais vraiment voir.
00:04:56Je suis un grand fan de la série Fallout.
00:04:59La guerre ne change jamais, n'est-ce pas?
00:05:01Et il me semble un peu que ce que nous faisons ici,
00:05:04c'est que nous donnons à ces "vibe coders",
00:05:07surtout ceux qui n'ont jamais écrit de logiciel professionnellement auparavant,
00:05:11l'arme de base.
00:05:12Nous leur donnons une fronde et un sac à dos.
00:05:15Et ensuite,
00:05:16nous les poussons dans un monde plein de mutants avec des bâtons aiguisés.
00:05:20Et ils se font dévorer immédiatement, n'est-ce pas?
00:05:23Parce que ce n'est pas comme si les méchants inventaient leur code de zéro.
00:05:28Depuis plus de 20 ans,
00:05:29nous avons des attaquants professionnels qui cherchent comment s'introduire dans les applications web,
00:05:35les applications mobiles,
00:05:36comment faire de la rétro-ingénierie de ces choses,
00:05:39et surtout comment construire des modèles financiers pour faire des choses malveillantes.
00:05:45Et donc nous avons une toute nouvelle génération de personnes qui ont maintenant,
00:05:50miraculeusement,
00:05:51accès à l'utilisation des ordinateurs d'une nouvelle manière,
00:05:54face à des professionnels dont le travail consiste entièrement à monétiser les bugs logiciels.
00:06:00Cela se reflète dans l'industrie de la sécurité dans la manière dont nous qualifions et quantifions ces vulnérabilités.
00:06:07L'un de ces frameworks que nous utilisons s'appelle le framework MITRE ATT&CK.
00:06:11En sécurité,
00:06:12nous avons volé cette idée de la "kill chain" (chaîne de destruction) à l'armée,
00:06:17mais c'est essentiellement l'idée des étapes que vous devez suivre pour réaliser une intrusion efficace en tant qu'attaquant.
00:06:24Ce sont les étapes ici de gauche à droite : reconnaissance,
00:06:28développement de ressources,
00:06:30accès,
00:06:30exécution,
00:06:31persistance,
00:06:31et ainsi de suite.
00:06:33Et en descendant,
00:06:34ce sont les différentes catégories de techniques ici.
00:06:37Et pour chacune d'elles,
00:06:38il y a parfois des dizaines ou des centaines de techniques différentes.
00:06:42Ceci n'est que le niveau supérieur de MITRE,
00:06:45qui est une organisation que le gouvernement américain paie pour créer ce tableau trop compliqué,
00:06:51afin de catégoriser toutes ces choses pour que nous puissions suivre les différents acteurs de la menace dans la communauté de la sécurité et avoir une sorte de langage standard pour parler de ce que nous voyons sur le terrain.
00:07:04Donc,
00:07:05nous avons nos gentils petits "vault dwellers" (habitants d'abris) à qui nous donnons ces outils et nous leur disons : "Hé,
00:07:12bonne chance".
00:07:13Et ce vers quoi ils se dirigent,
00:07:15c'est un monde plein de méchants qui font tout cela.
00:07:18Si vous allez sur attack.mitre.org,
00:07:20vous verrez la liste des chaînes d'exploitation connues,
00:07:23des choses connues qui se sont produites sur le terrain de la part de différents groupes de menaces,
00:07:29les AP-228 et 29,
00:07:30UNC-3886.
00:07:31C'est donc comme le Ministère de la Sécurité d'État de la République populaire de Chine ou le SVR russe ou toute une liste de groupes professionnels motivés financièrement comme Lapsys et autres.
00:07:42Et voici les techniques qu'ils ont utilisées pour attaquer différentes victimes.
00:07:47L'idée que les
00:07:48"vibe coders"
00:07:49vont comprendre tout cela est juste ridicule.
00:07:51Mais c'est en fait un peu l'hypothèse jusqu'à présent.
00:07:55Alors, que pouvons-nous faire de mieux.
00:07:57Eh bien,
00:07:57la première chose que nous pouvons faire,
00:08:00c'est de commencer à,
00:08:01vous savez,
00:08:02quand nous voulons résoudre des problèmes en tant qu'ingénieurs,
00:08:06nous commençons à diviser le problème en morceaux,
00:08:09n'est-ce pas.
00:08:09Et la vérité est que nous avons deux catégories de problèmes totalement différentes ici?
00:08:15La première est que nous devons diviser l'utilisation de ces outils en deux catégories principales?
00:08:21La première est le "vibe coding" réel, n'est-ce pas.
00:08:24Quand je parle de "vibe coding",
00:08:26je parle de personnes qui ne sont pas des ingénieurs logiciels professionnels,
00:08:30des gens normaux,
00:08:31n'est-ce pas.
00:08:32Des gens qui ont des passe-temps normaux?
00:08:34Donc,
00:08:35ce seraient des gens qui ne sont pas dans cette salle,
00:08:38n'est-ce pas?
00:08:39Qui font des choses comme ne pas venir à cette conférence un jeudi après-midi,
00:08:43qui ont de meilleures choses à faire,
00:08:46sans offense,
00:08:46que d'être à Chip AI.
00:08:48Et c'est bien?
00:08:49C'est super d'être ici.
00:08:50Je suis là.
00:08:51Mais si vous êtes ici,
00:08:52vous n'êtes pas un "vibe coder",
00:08:54n'est-ce pas.
00:08:55Vous savez,
00:08:55nous sommes des gens qui travaillons,
00:08:58quand nous utilisons l'IA,
00:08:59nous faisons probablement de l'ingénierie assistée par l'IA,
00:09:03n'est-ce pas ?.
00:09:09Le "vibe coding" concernerait donc des personnes qui,
00:09:12pour la toute première fois,
00:09:13sont capables d'accéder à ce type de capacité avec de nouveaux outils conçus spécialement pour elles.
00:09:18Donc,
00:09:19la première chose à faire est de séparer les différentes catégories de problèmes et la façon dont les gens utilisent ces outils.
00:09:25Et je pense que nous devons arrêter d'appeler l'ingénierie assistée par l'IA du
00:09:29"vibe coding"
00:09:30.
00:09:30Peut-être que pour l'ingénierie assistée par l'IA,
00:09:33nous pouvons trouver un meilleur terme ici.
00:09:35Mais cela va de l'auto-complétion,
00:09:37de la complétion par tabulation et du curseur à,
00:09:39vous savez,
00:09:40maintenant un ingénieur professionnel va envoyer quatre ou cinq agents différents en arrière-plan pour faire différents travaux pendant qu'il fait ce qu'il veut faire.
00:09:48Et même si ces agents agissent de manière autonome,
00:09:51l'ingénieur reste aux commandes et sait ce qu'il veut.
00:09:54C'est encore très différent du "vibe coding".
00:09:56Le "vibe coder" s'appuie souvent sur une plateforme complète,
00:09:59n'est-ce pas?
00:10:00Ils ont donc besoin d'une plateforme qui fait effectivement tout pour eux de bout en bout.
00:10:04Ils n'assemblent pas les choses pièce par pièce.
00:10:07Ils décrivent un résultat.
00:10:08Ils ont un résultat qu'ils veulent.
00:10:10Ils peuvent le faire en anglais ou dans la langue qu'ils parlent.
00:10:13Ils peuvent le faire visuellement, n'est-ce pas?
00:10:15Il existe donc un tas de ces plateformes qui vous permettent de le concevoir avec des interfaces graphiques et autres.
00:10:21V0 en est évidemment un excellent exemple.
00:10:24Et donc ils ont un résultat qu'ils veulent.
00:10:26Ils ne décrivent pas nécessairement,
00:10:28il est peu probable qu'ils décrivent comment ils essaient d'y arriver.
00:10:31Ils partent souvent d'une page blanche..
00:10:34Ils ont donc l'avantage de ne pas avoir à intégrer ce que la plateforme de "vibe coding" fait dans une base de code existante ou une architecture existante,
00:10:43ce qui,
00:10:43du point de vue de la sécurité,
00:10:45est en fait excellent.
00:10:46Nous pouvons en parler dans un instant.
00:10:48Mais cela offre de nombreux avantages du point de vue de la sécurité à la plateforme de "vibe coding",
00:10:54car elle n'a pas à s'intégrer dans une architecture AWS existante ou,
00:10:57Dieu nous en préserve,
00:10:59auto-hébergée..
00:11:00L'inconvénient ici est qu'ils ont peu de capacité à sécuriser le résultat par eux-mêmes.
00:11:04C'est là que vous vous retrouvez avec ces problèmes dont les gens tweetent,
00:11:08comme : "Pourquoi est-ce que je vois cette erreur ?" ou "Où est passé tout mon Bitcoin ?" Ce qui,
00:11:14si vous cherchez sur X "où est passé mon Bitcoin",
00:11:16vous donne beaucoup de tweets,
00:11:18n'est-ce pas?
00:11:19Parce que cela s'avère,
00:11:20je veux dire,
00:11:21vous obtenez cela pour de nombreuses raisons,
00:11:23mais le "vibe coding" s'avère être l'une des raisons pour lesquelles les gens tweetent cela maintenant?
00:11:28Parce qu'ils n'ont pas la capacité d'examiner le résultat et de déterminer s'il est sécurisé ou non?
00:11:34Alors qu'un ingénieur logiciel qui utilise l'IA pour améliorer son travail est un professionnel qui supervise un agent..
00:11:41Et encore une fois,
00:11:42cela pourrait être aussi simple que : "J'ai commencé une fonction et je veux que tu la termines pour moi".
00:11:47Cela pourrait être aussi :
00:11:48"J'ai ce bug et je veux que tu travailles dessus et que tu le corriges"
00:11:51.
00:11:52Et cela pourrait être que vous envoyez un agent travailler pour vous pendant 30 minutes.
00:11:56Mais au final,
00:11:56ils décrivent probablement un composant qu'ils veulent avec une demande beaucoup plus spécifique.
00:12:01Et donc ils ont beaucoup plus de spécificité,
00:12:03et non pas le résultat qu'ils veulent,
00:12:04mais plutôt : "Voici la séquence d'étapes que je veux".
00:12:07Et ils peuvent aussi définir : "D'accord,
00:12:09donne-moi d'abord un plan.
00:12:10Tu modifies le plan,
00:12:11puis tu le rends à l'agent et tu le laisses exécuter étape par étape".
00:12:14Maintenant,
00:12:15l'inconvénient pour ces personnes est que vous travaillez souvent avec une base de code existante,
00:12:19et ensuite souvent des exigences,
00:12:21des exigences de conformité,
00:12:22des exigences d'architecture.
00:12:23Vous ne partez généralement pas d'une page blanche si vous faites de l'ingénierie assistée par l'IA.
00:12:28Il n'est donc pas aussi facile pour vous d'élaborer une sorte de plan de sécurité si vous êtes ce genre de personne.
00:12:33Mais vous avez,
00:12:34espérons-le,
00:12:34des compétences en sécurité et vous pourriez même avoir une équipe de sécurité dédiée sur laquelle vous pouvez compter si vous êtes cette personne.
00:12:41Ces personnes ont donc des exigences de sécurité très différentes que nous pouvons les aider à satisfaire.
00:12:45Ils ont besoin de leurs propres solutions.
00:12:47Alors,
00:12:48quelles sont les solutions que nous pouvons mettre en œuvre en tant que groupe pour aider ces personnes,
00:12:53en particulier celles qui travaillent sur des plateformes de codage IA ??
00:12:56Alors, de quoi les "vibe coders" ont-ils besoin?
00:12:58La première chose est qu'ils ont besoin que les choses soient sécurisées dès la conception..
00:13:01Donc,
00:13:01quand nous parlons de sécurité dès la conception,
00:13:03nous parlons souvent du produit final,
00:13:04n'est-ce pas ?
00:13:04Il s'agit souvent de dire qu'une plateforme SaaS devrait avoir de bonnes options d'authentification par défaut,
00:13:09que tous les paramètres devraient être sécurisés par défaut et que vous devez désactiver intentionnellement ces paramètres sécurisés,
00:13:16etc.
00:13:16Dans la perspective du codage IA,
00:13:18ce que nous voulons vraiment,
00:13:19c'est que le paramétrage du "vibe coding",
00:13:21l'architecture et le code soient avec des partis pris clairs.
00:13:24Que l'agent de codage IA devrait avoir un avis très clair sur les composants à utiliser et sur la manière dont ils devraient être configurés pour faire les choses correctement du premier coup.
00:13:32J'ai parlé de cet exemple de Superbase ou de tout type de base de données.
00:13:36Il devrait avoir un avis sur la sécurité au niveau des rôles..
00:13:39Il devrait avoir un avis sur le fait que,
00:13:41par défaut,
00:13:41vos utilisateurs devraient avoir très peu ou pas d'accès aux données,
00:13:45et que nous devrions ensuite leur donner explicitement accès aux données selon leurs besoins,
00:13:49n'est-ce pas ?
00:13:50Nous ne devrions pas avoir juste une base de données backend à laquelle vous pouvez accéder à tout,
00:13:56puis la bloquer plus tard.
00:13:57Il devrait avoir une opinion forte à ce sujet et ensuite prendre ces décisions au nom de l'utilisateur,
00:14:03car il est peu probable qu'un "vibe coder" dans ce scénario soit capable de prendre ces décisions lui-même.
00:14:08Il devrait probablement aussi détecter si un projet qu'on lui demande de faire dépasse le cadre de ce qu'il se sent capable de faire.
00:14:16Il existe un certain nombre de plateformes de "vibe coding" où vous pouvez lui demander : "S'il vous plaît,
00:14:21construisez-moi un système de dossiers médicaux",
00:14:24et il le fera,
00:14:25puis dira : "Voilà.
00:14:26Voici un système de dossiers médicaux".
00:14:28Notre PDG,
00:14:28Jack Cable,
00:14:29qui est ici,
00:14:30l'a fait sur une plateforme de "vibe coding" et elle a dit : "Voici votre système de dossiers médicaux.
00:14:35Il est conforme à la HIPAA".
00:14:37Eh bien, scoop.
00:14:38Ce n'était pas conforme à la HIPAA..
00:14:40Laissez-moi vous dire,
00:14:41en tant que professionnel,
00:14:42en tant que RSSI d'une entreprise publique,
00:14:44que ce n'était pas vrai.
00:14:45Le simple fait de dire que quelque chose est conforme à la HIPAA ne le rend pas magiquement conforme à la HIPAA.
00:14:49Ce n'est pas comme ça que ça marche.
00:14:51Et il l'a signalé.
00:14:51"Je ne pense pas que ce soit conforme à la HIPAA".
00:14:53Et j'ai dit : "Oh non, tu as raison.
00:14:55Je ne pense pas que ce le soit".
00:14:56Et il a fait quelques changements.
00:14:57"Maintenant, c'est conforme à la HIPAA".
00:14:59Ça ne l'était toujours pas, n'est-ce pas?
00:15:00C'est le genre de chose que si je construisais une plateforme de "vibe coding",
00:15:03si vous me demandiez de construire un système de dossiers médicaux,
00:15:06je dirais probablement : "Non,
00:15:07je ne vais pas faire ça.
00:15:08C'est une mauvaise idée.
00:15:09Vous n'êtes pas au bon endroit pour ça, monsieur".
00:15:11Même chose avec : "S'il vous plaît,
00:15:12construisez-moi un système pour stocker mon Bitcoin".
00:15:14Je dirais : "Non, je ne vais pas faire ça.
00:15:16Ce n'est pas une bonne idée.
00:15:17Je ne vais pas stocker de Bitcoin pour vous.
00:15:19Il va être volé.
00:15:19Ce Bitcoin va aller directement en Corée du Nord et il sera utilisé pour acheter des roquettes.
00:15:23Vous devriez faire autre chose avec votre Bitcoin"..
00:15:26Les plateformes de
00:15:27"vibe coding"
00:15:28devraient connaître leurs limites.
00:15:29Et il devrait y avoir quelque chose au milieu qui,
00:15:32si vous lui demandez de faire quelque chose d'intermédiaire comme stocker des informations personnelles,
00:15:37il vous permettra de le faire,
00:15:38mais il va activer un tas de fonctionnalités de sécurité et,
00:15:41si possible,
00:15:41faire intervenir des agents de sécurité,
00:15:43tout comme sur un tas de plateformes de "vibe coding".
00:15:46Si vous voulez stocker des données,
00:15:48il dira : "Super,
00:15:48j'ai besoin d'un serveur de base de données".
00:15:50Si vous voulez lire une vidéo,
00:15:52il dira : "D'accord,
00:15:53j'ai besoin d'un CDN vidéo",
00:15:54n'est-ce pas?
00:15:55Donc,
00:15:55il y a des choses intermédiaires,
00:15:57mais il y a des choses qui devraient juste être : "Oui,
00:15:59c'est une mauvaise idée.
00:16:00Je ne vais tout simplement pas faire ça pour vous".
00:16:03Et enfin,
00:16:03ce dont ils ont besoin,
00:16:04c'est d'avoir ce genre d'engagements avec des partenaires qui lui permettront de faire de la révision de code,
00:16:10car un "vibe coder" ne va pas dire : "Oh,
00:16:12j'ai déjà une relation avec un outil de révision de logiciel"..
00:16:15Ce n'est tout simplement pas quelque chose qu'ils vont apporter.
00:16:18Vous voulez donc que cela soit intégré au produit de base,
00:16:21tout comme vous avez cette relation de base avec un partenaire de base de données ou quelque chose de similaire..
00:16:25Le paternalisme ou le maternalisme de sécurité,
00:16:28si vous préférez,
00:16:28est acceptable.
00:16:29Il est acceptable de prendre des décisions au nom d'utilisateurs qui n'ont pas la capacité de le faire.
00:16:34Je pense que c'est quelque chose que l'industrie de la sécurité a eu peur de faire parce que nous,
00:16:39en tant que professionnels de la sécurité,
00:16:41avons peur d'être tenus responsables des décisions que nous prenons au nom d'autres personnes.
00:16:45C'est juste un problème courant chez les professionnels de la sécurité : ce que nous faisons,
00:16:50c'est que nous créons une corde raide.
00:16:51Et si quelqu'un tombe de la corde raide,
00:16:53nous disons : "Oh,
00:16:54merde,
00:16:55désolé.
00:16:55Je suppose que tu ne sais pas marcher sur une corde raide.
00:16:58C'est ta faute, n'est-ce pas ?" Ce n'est pas acceptable?
00:17:01Il est préférable pour nous de faire de notre mieux pour offrir aux gens un moyen sûr de traverser ce gouffre et d'assumer une certaine responsabilité si des personnes tombent.
00:17:09Il n'est pas acceptable pour nous de rendre les choses si difficiles.
00:17:12Il est acceptable d'être un peu paternaliste dans ces cas et de prendre des décisions,
00:17:17surtout si vous construisez des produits que vous savez être utilisés par des non-experts.
00:17:21Maintenant, et si quelqu'un est un expert.
00:17:23Et si vous construisez un produit que des experts utilisent?
00:17:26Ce serait donc plus comme un
00:17:27"cloud code"
00:17:28ou un
00:17:28"cursor"
00:17:29ou un produit où vous vous attendez à ce que les gens soient plus..?
00:17:32Maintenant,
00:17:32"cloud code" est un défi intéressant car il est utilisé à la fois par les gens normaux et par les gens ici,
00:17:37n'est-ce pas.
00:17:38Et donc,
00:17:39si vous êtes un chef de produit pour Anthropic,
00:17:41cela devient plus : "Voulons-nous avoir un mode,
00:17:43un mode 'vibe code'.
00:17:44Voulons-nous détecter si...
00:17:45voulons-nous faire un test au préalable ?"?
00:17:48Je ne suis pas sûr exactement comment vous voulez l'engager,
00:17:51mais je pense qu'il y a un défi intéressant du point de vue d'un chef de produit.
00:17:54À quel moment activez-vous un mode "vibe code" où vous faites vraiment des choses au nom d'un utilisateur,
00:17:59par opposition à leur donner plus de capacités ??
00:18:01Donc,
00:18:02certainement,
00:18:02un outil comme
00:18:03"Cursor"
00:18:03ne devrait probablement être utilisé que par des ingénieurs professionnels.
00:18:05Les ingénieurs professionnels ont donc aussi besoin de sécurité dès la conception.
00:18:10Maintenant, c'est une manière différente, n'est-ce pas?
00:18:13Par exemple,
00:18:13si vous faites de la sécurité dès la conception pour un ingénieur professionnel,
00:18:18vous ne prenez probablement pas de grandes décisions architecturales globales.
00:18:22Mais ce que vous faites,
00:18:23c'est que vous ne faites pas ces erreurs dont nous venons de parler,
00:18:2720% du temps avec GPT-5 et 60% du temps ou quelque chose comme ça dans la situation de Grok,
00:18:32où vous faites juste des erreurs de sécurité stupides,
00:18:35n'est-ce pas?
00:18:36Vous devez créer et écrire du code qui n'a pas de failles par défaut.
00:18:39Et vous devez au moins inciter l'utilisateur et lui demander : "Hé,
00:18:43puis-je faire cela mieux pour vous par défaut ?" Puis essayer de prendre des décisions par défaut qui ne sont pas une bonne idée?
00:18:50Une chose pour laquelle ces agents sont en fait assez mauvais est d'avoir une vision d'ensemble..
00:18:56Je pense que vous avez tous vu cela se produire : si vous demandez à un agent de codage : "J'aimerais construire un système incroyablement complexe qui fait beaucoup de choses",
00:19:05il répond : "Super,
00:19:06je vais commencer à écrire du code tout de suite".
00:19:09Ce n'est pas comme ça que nous construisons des logiciels,
00:19:12n'est-ce pas?
00:19:12Vous ne demandez pas à 20 personnes de construire un système distribué incroyablement complexe en commençant simplement par ouvrir un fichier et écrire du code,
00:19:21n'est-ce pas?
00:19:21Vous avez un PRD (Document de Spécification Produit).
00:19:24Vous avez une réunion de conception..
00:19:26Vous réfléchissez à nos exigences.
00:19:28Vous faites beaucoup de gestion de produit.
00:19:30Il y a quelques exceptions,
00:19:31mais pour la plupart,
00:19:32les agents de codage veulent juste commencer à écrire du code.
00:19:35C'est ce qu'ils savent faire.
00:19:37Ils se lancent immédiatement.
00:19:38Et donc je pense que ce serait bien que ces choses commencent à ralentir et à avoir des étapes de planification et à être beaucoup plus réfléchies sur : "Établissons une architecture et une conception",
00:19:48puis faisons des choses comme documenter les API,
00:19:50documenter comment nous allons faire la validation des entrées.
00:19:53Comment allons-nous prévenir les failles courantes dans ce type d'architecture?
00:19:57Comment allons-nous faire l'authentification entre...
00:19:59"Vous concevez quelque chose qui va certainement avoir différents services."
00:20:03Comment allons-nous authentifier ces différents services ?" C'est le genre de chose à laquelle presque aucun des agents de codage ne pense jamais et qu'il serait vraiment judicieux de faire en amont lorsque vous commencez,
00:20:13même si vous êtes un ingénieur professionnel..
00:20:16Et puis nous avons aussi besoin de la capacité d'avoir des agents de sécurité IA.
00:20:20L'une des choses amusantes qui se passe,
00:20:22c'est que si vous travaillez dans une petite startup ou si vous avez 22 ans,
00:20:25vous pensez que les seules personnes qui écrivent des logiciels sont les ingénieurs logiciels,
00:20:30mais je vois beaucoup de professionnels dans cette salle..
00:20:33Lorsque vous êtes un professionnel,
00:20:35et surtout si vous travaillez dans une entreprise réglementée ou qui fait quelque chose d'important comme construire des avions ou autre,
00:20:42vous réalisez qu'il y a des ingénieurs logiciels,
00:20:44mais il y a aussi des ingénieurs en sécurité,
00:20:47des architectes de sécurité,
00:20:48des ingénieurs en confidentialité,
00:20:50des responsables de la conformité et des avocats.
00:20:53Je sais.
00:20:53Nous ne sommes pas de grands fans de toutes ces personnes,
00:20:56mais elles ont en fait des emplois importants.
00:20:59Il y a une raison pour laquelle ces personnes existent,
00:21:02et il y a une raison pour laquelle elles influencent la base de code,
00:21:05parce que de mauvaises choses sont arrivées avec les logiciels,
00:21:09et donc nous avons élaboré toutes sortes de règles sur la raison pour laquelle nous écrivons des logiciels et pourquoi nous devons avoir des règles de conformité et pourquoi nous avons la gestion de produit,
00:21:19pourquoi nous avons des lois sur la confidentialité et autres.
00:21:23Ce que nous avons fait,
00:21:24c'est que nous avons pris le travail de l'ingénieur logiciel,
00:21:27et nous avons pris une semaine de travail de 40 heures,
00:21:30et nous l'avons transformée en 20 minutes de temps GPU.
00:21:33Eh bien,
00:21:33toutes ces autres personnes travaillent toujours 40 heures par semaine et interagissent les unes avec les autres dans des salles de conférence et non via MCP,
00:21:42et ne sont pas capables d'opérer à la même vitesse qu'un ingénieur logiciel qui a 10 agents opérant en arrière-plan,
00:21:48générant du code.
00:21:49Ce que nous devons également faire,
00:21:51c'est construire des mécanismes pour que toutes les autres personnes qui ont encore des emplois importants puissent être aussi efficaces qu'un ingénieur logiciel à l'ère du codage IA,
00:22:00car au final,
00:22:01il y a toujours des humains dans les entreprises qui ont de réelles responsabilités.
00:22:05En fait,
00:22:06certaines de ces personnes pourraient aller en prison si les ingénieurs logiciels avec leurs agents de codage font du mauvais travail.
00:22:13J'ai été RSSI d'une entreprise publique trois fois.
00:22:16C'est un travail terrifiant,
00:22:17comme une blague que j'aime raconter,
00:22:19et ce n'est pas vrai,
00:22:20mais cela semble un peu vrai,
00:22:22c'est que le mot RSSI est grec pour la chèvre qui est abattue en premier,
00:22:25n'est-ce pas?
00:22:26Mais c'est vraiment terrifiant d'être RSSI de nos jours,
00:22:29parce que vous êtes blâmé pour ce que des centaines,
00:22:32des milliers ou des dizaines de milliers d'autres personnes pourraient faire,
00:22:36sur quoi vous n'avez pas vraiment de contrôle ou même de compréhension,
00:22:40et c'était vrai avant que chacune de ces personnes n'ait cinq agents en arrière-plan écrivant du code pour vous.
00:22:45Et donc nous devons trouver des moyens pour que ces humains qui ont des emplois incroyablement importants concernant la conformité,
00:22:52la confidentialité,
00:22:53la sécurité,
00:22:54la sûreté,
00:22:54puissent comprendre et avoir une idée que les règles qu'ils doivent respecter dans le monde physique sont toujours appliquées.
00:23:01Donc,
00:23:02chez Corridor,
00:23:02nous pensons qu'il y a deux domaines pour commencer,
00:23:05il y en aura d'autres,
00:23:06mais il y a au moins deux domaines par lesquels nous devons commencer où nous avons besoin d'une certaine standardisation pour rendre le codage IA prêt pour l'entreprise.
00:23:15Premièrement,
00:23:16la télémétrie,
00:23:17et ensuite le flux de travail de sécurité.
00:23:19Donc,
00:23:19du côté de la télémétrie,
00:23:21nous allons écrire un article de blog à ce sujet.
00:23:23Il sortira probablement la semaine prochaine.
00:23:26Nous pensons que les agents de sécurité doivent publier tout ce qu'ils font,
00:23:30toutes leurs interactions avec les utilisateurs,
00:23:32que c'est le genre de choses que si vous êtes une entreprise,
00:23:35vous devez pouvoir voir en un seul endroit central ce que les gens font avec leurs agents,
00:23:40qui est connecté en tant que qui,
00:23:42avoir une visibilité complète sur les "prompts" et une visibilité complète sur les outils que l'agent appelle,
00:23:47et ensuite surtout sur le code généré.
00:23:49Notre produit nous offre en fait cette visibilité,
00:23:52mais nous devons le faire en faisant de la rétro-ingénierie sur la façon dont tous les agents de codage fonctionnent.
00:23:58C'est un peu "hacky".
00:23:59Ce n'est pas très amusant.
00:24:01Ce serait bien mieux si l'agent de codage le supportait..
00:24:07Donc,
00:24:08l'entreprise qui est allée le plus loin ici est Anthropic.
00:24:10Claude Code prend en charge une norme basée sur la télémétrie,
00:24:13c'est donc une belle norme ouverte.
00:24:15C'est assez propre.
00:24:15Dans leur version actuelle,
00:24:17elle contient 70% de ce dont ils ont besoin.
00:24:19Dans une future version,
00:24:20il semble qu'ils vont livrer 90% de ce dont nous avons tous besoin.
00:24:23Ce serait donc formidable si,
00:24:24premièrement,
00:24:25Anthropic livrait tout,
00:24:26et deuxièmement,
00:24:26si tout le monde les copiait.
00:24:28Mais ce serait vraiment génial si tous les agents de codage avaient la capacité d'obtenir la télémétrie de ce que tout le monde fait.
00:24:33Ce n'est que la première étape.
00:24:35C'est la première étape de toute solution de sécurité,
00:24:37juste pour savoir ce qui se passe.
00:24:39Et ce serait vraiment génial si cela pouvait être configuré par MDM,
00:24:42par la gestion des appareils.
00:24:43Ainsi,
00:24:44en tant que RSSI d'entreprise,
00:24:45vous pourriez simplement pousser,
00:24:46en utilisant votre fournisseur MDM,
00:24:48sur la machine de tout le monde : "Hé,
00:24:50envoyez-moi toute la télémétrie à cet endroit".
00:24:52Alors vous n'auriez pas besoin d'avoir des agents qui vont sur toutes ces machines pour essayer de la récupérer.
00:24:57Le deuxième domaine,
00:24:58je pense,
00:24:58plus important et plus intéressant,
00:25:00est que nous avons besoin d'un mécanisme pour standardiser cette conversation.
00:25:03Comme nous l'avons dit,
00:25:04les ingénieurs logiciels et les ingénieurs en sécurité se rencontraient autour d'un café et avaient une conversation..
00:25:10Eh bien,
00:25:11nous avons besoin de moyens standard pour que les agents de sécurité et les agents logiciels puissent se parler afin de reproduire ce que ces humains faisaient.
00:25:18Et cela doit être en quelque sorte déterministe..
00:25:20Donc encore une fois,
00:25:21nous faisons cela actuellement avec notre produit,
00:25:24mais nous avons dû en quelque sorte l'y insérer.
00:25:26Et ce n'est pas déterministe.
00:25:28Cela dépend de l'humeur du LLM.
00:25:29Et ce serait bien que si vous demandez à un agent de codage de faire quelque chose en arrière-plan pendant 30 minutes,
00:25:35il aille parler à votre agent de sécurité et dise : "Voici mon plan".
00:25:38Il reçoit des commentaires sur le plan.
00:25:40Il dit : "Voici mon code".
00:25:41Le code est vérifié.
00:25:42Tous les bugs sont vérifiés.
00:25:43Et ensuite, il corrige tous les bugs.
00:25:45Et tout cela est fait sans que l'ingénieur n'ait à intervenir.
00:25:48Et ensuite,
00:25:49l'équipe de sécurité voit sur cette liste de contrôle : "Oui,
00:25:52tout cela a été corrigé",
00:25:53ce qui serait génial.
00:25:54Donc, ce que nous avons actuellement, c'est un corridor.
00:25:56Nous avons en fait livré cela aujourd'hui en disponibilité générale (GA).
00:26:00Nous avons eu des clients d'entreprise,
00:26:02mais ce que nous avons livré en GA aujourd'hui,
00:26:04c'est que nous nous connectons avec un plugin VR ID,
00:26:07et nous nous connectons via MCP à votre agent de codage qui,
00:26:09lorsque vous lui demandez de faire quelque chose,
00:26:12nous envoie un plan.
00:26:13Et ensuite,
00:26:13nous pouvons l'utiliser pour fournir un contexte de sécurité spécifique à une base de code.
00:26:18Et cela fournit à la fois des conseils de sécurité génériques,
00:26:21mais permet également à une entreprise d'avoir ses règles de sécurité spécifiques pour cette entreprise.
00:26:26Donc,
00:26:26disons que vous êtes une grande banque et que vous avez : "Voici comment nous gérons les numéros de sécurité sociale",
00:26:32ou "Voici comment nous tokenisons les numéros de carte de crédit".
00:26:35C'est le genre de contexte que nous pouvons fournir à cet agent de sécurité pour nous assurer que l'agent de codage fait son travail en premier lieu.
00:26:42Et ensuite,
00:26:42nous scannons ce code en backend pour nous assurer que cette règle a été respectée.
00:26:46Et ensuite,
00:26:47nous recueillons également la télémétrie de nos plugins IDE.
00:26:50Nous pouvons donc voir toutes ces interactions et nous assurer que le plugin fait son travail.
00:26:54Et aussi voir tous les outils de codage non autorisés que tout le monde utilise.
00:26:58Non pas que l'un d'entre vous apporterait un outil de codage au travail qui n'aurait pas été autorisé par votre équipe de sécurité.
00:27:04Je vois beaucoup de personnes respectueuses des règles dans cette salle,
00:27:08c'est certain.
00:27:09Et donc nous faisons déjà cela,
00:27:10mais ce serait super cool si cela devenait une chose standard que de nombreux agents de codage différents prendraient en charge,
00:27:16et ensuite beaucoup de gens pourraient nous concurrencer et copier notre produit..
00:27:22C'est bien.
00:27:22Nous sommes heureux d'être le Kleenex de cet espace,
00:27:25avec beaucoup de gens qui font ce genre de travail.
00:27:28Mais je pense que c'est l'avenir d'une relation entre les agents de codage et les agents de sécurité,
00:27:34tout comme les ingénieurs en sécurité et les ingénieurs logiciels ont une relation totalement amicale et pas du tout compétitive ou difficile de nos jours..
00:27:42Nous avons fièrement lancé cela en disponibilité générale aujourd'hui,
00:27:45et nous l'avons mis sur la place de marché des agents IA de Vercel.
00:27:48Nous sommes donc tout en haut.
00:27:50Vous pouvez aller sur corridor.dev pour nous découvrir ou nous trouver sur la place de marché de Vercel.
00:27:55Nous sommes le seul produit de sécurité là-bas.
00:27:58Nous remercions donc beaucoup Vercel pour leur partenariat et de m'avoir accordé ce temps aujourd'hui.
00:28:03Si vous voulez discuter avec nous,
00:28:05Jack et moi,
00:28:05notre PDG et co-fondateur,
00:28:07serons dans le couloir pour en parler.
00:28:09Quoi qu'il en soit,
00:28:10je pense qu'il y a beaucoup de choses que nous pourrions faire ensemble ici pour donner ce super-pouvoir des agents de codage IA à des millions de personnes tout en les protégeant de ces "méchants" qui sont aussi là.
00:28:21Quoi qu'il en soit, je suis Alex, alex@corridor.dev.
00:28:23Si vous voulez discuter,
00:28:25je serai dans le couloir ou envoyez-moi un e-mail.
00:28:27Merci beaucoup.
00:28:28Merci beaucoup à Vercel.
00:28:29Passez une excellente fin de journée..