00:00:00Terima kasih sudah datang.
00:00:01Terima kasih sudah bertahan.
00:00:03Nama saya Alex.
00:00:04Saya bekerja untuk sebuah perusahaan kecil bernama Corridor.
00:00:08Di sini untuk sedikit berbicara tentang "vibe coding".
00:00:12Beberapa hal menarik yang terjadi dari perspektif keamanan.
00:00:16Pertama,
00:00:16saya sebenarnya penggemar berat penggunaan AI untuk membuat kode.
00:00:20Saya pikir ini adalah peluang luar biasa bagi orang-orang untuk memanfaatkan komputer dengan cara yang belum pernah ada sebelumnya.
00:00:29Ada banyak pengembang perangkat lunak profesional di ruangan ini.
00:00:33Kita yang tumbuh dengan menulis kode,
00:00:36yang tumbuh dengan menggunakan komputer dari baris perintah atau mengodekannya sejak usia dini,
00:00:42kita tidak benar-benar memahami apa artinya ini bagi orang biasa,
00:00:47tetapi untuk pertama kalinya,
00:00:48orang biasa akan dapat memanfaatkan komputer,
00:00:51seperti seharusnya komputer tersedia bagi orang-orang sejak lama.
00:00:56Coding adalah kekuatan super.
00:00:58Mampu meminta komputer melakukan sesuatu tanpa harus membeli perangkat lunak atau menggunakan sumber terbuka atau meminta orang lain menulis kode untuk Anda,
00:01:08itu adalah kekuatan super..
00:01:11"Vibe coding" membawa kemampuan itu kepada jutaan orang.
00:01:14Itu adalah hal yang luar biasa.
00:01:16Kita harus sangat senang bahwa kita berada di awal,
00:01:19di awal sekali revolusi ini yang akan membawa aksesibilitas bagi semua orang.
00:01:23Ini juga merupakan "foot gun" yang luar biasa.
00:01:26Dan
00:01:27"foot gun"
00:01:27mungkin sebenarnya adalah pernyataan yang meremehkan.
00:01:30Ini seperti bazoka kaki yang kita berikan kepada semua orang ini..
00:01:34Ada banyak sekali contoh hal buruk yang terjadi pada orang biasa saat mereka membuat aplikasi dengan "vibe coding",
00:01:41beberapa di antaranya hanyalah hal kecil yang menyenangkan seperti jadwal liga kecil anak-anak mereka atau hal-hal di mana mereka memasukkan data pribadi mereka.
00:01:50Beberapa orang membuat sistem rekam medis atau sistem Bitcoin dengan "vibe coding",
00:01:55atau hal-hal yang menyimpan data pribadi atau mengambil nomor kartu kredit orang atau menyimpan SIM orang.
00:02:02Ada banyak sekali contoh orang menggunakan aplikasi
00:02:05"vibe coding"
00:02:06untuk membuat hal-hal penting.
00:02:08Mungkin beberapa platform pesaing yang tidak perlu disebutkan namanya,
00:02:12tetapi namanya sangat terlihat dan jelas di belakang saya,
00:02:15membuat ini menjadi sangat buruk karena mereka menggunakan pengaturan default yang sangat buruk dan tidak mempermudah orang.
00:02:23Dan membuatnya sangat mudah bagi mereka untuk menggunakan konfigurasi default yang sangat buruk untuk hal-hal seperti Superbase.
00:02:30Yang bukan salah Superbase..
00:02:33Hanya saja cara platform "vibe coding",
00:02:35beberapa platform lain,
00:02:36tidak mengonfigurasi hal-hal ini secara aman secara default.
00:02:40Ini tidak bagus.
00:02:41Dan bahkan bukan dalam situasi di mana kita tidak hanya berbicara tentang "vibe coding" langsung di sebuah platform,
00:02:47tetapi para profesional yang memanfaatkannya,
00:02:50kita sebenarnya memiliki data akademik empiris yang bagus tentang ini.
00:02:54Ini adalah makalah luar biasa yang saya rekomendasikan untuk Anda baca,
00:02:58berjudul Backbench Academic Group.
00:03:00Mereka membuat banyak prompt yang mereka pikir,
00:03:03"Hmm,
00:03:03ini adalah prompt untuk agen coding yang kami pikir mungkin membuat kode backend yang bisa memiliki kerentanan keamanan." Dan kemudian mereka menguji prompt ini terhadap sejumlah alat coding dan LLM untuk melihat.
00:03:15Dan kemudian mereka menguji,
00:03:17pertama,
00:03:17apakah kode yang dihasilkan benar.
00:03:19Dan kedua, apakah kode itu memiliki kelemahan keamanan.
00:03:22Dan patut diacungi jempol,
00:03:24mereka terus memperbarui ini seiring model-model baru keluar dan mempublikasikannya..
00:03:29Anda bisa memeriksanya.
00:03:31Dan seperti yang mungkin Anda duga,
00:03:33LLM sebenarnya,
00:03:34pertama,
00:03:34membuat banyak kesalahan,
00:03:36tetapi juga memperkenalkan banyak kelemahan.
00:03:38Sekarang, ini bergerak ke arah yang benar..
00:03:41Dan Anda tidak perlu memotret ini.
00:03:43Anda bisa mengunjungi backspends.com dan mendapatkan versi yang jauh lebih mudah dibaca.
00:03:47Selain itu, semua kode mereka adalah sumber terbuka.
00:03:49Jadi Anda bisa membuatnya sendiri..
00:03:51Jadi, pertama, ini bergerak ke arah yang benar, kan?
00:03:54Jadi jika Anda melihat bahkan dalam satu keluarga produk,
00:03:58jika Anda melihat keluarga produk OpenAI,
00:04:00ini bergerak ke arah yang benar.
00:04:02GPT-5 bekerja jauh lebih baik daripada GPT-4.1,
00:04:05GPT-4.0,
00:04:05dan sejenisnya.
00:04:06Lebih sedikit kerentanan menggunakan prompt yang sama..
00:04:10Sekarang,
00:04:10salah satu masalah di sini adalah prompt dan tes ini sekarang bersifat sumber terbuka.
00:04:14Jadi Anda mungkin memiliki masalah
00:04:16"overfitting"
00:04:16untuk tes tersebut.
00:04:17Meskipun kami telah melihat hal yang sama,
00:04:19apa yang telah kami lakukan di perusahaan kami adalah kami membawa ini secara internal,
00:04:23dan kami sekarang menggunakan beberapa tes kami sendiri.
00:04:26Dan kami memang melihat hasil yang sama.
00:04:28Dalam tes kami sendiri,
00:04:29sebenarnya,
00:04:29pemenangnya adalah Claude Sonnet 4.5,
00:04:31yang belum mereka rilis secara publik.
00:04:33Tetapi Anthropic telah memimpin sedikit lebih baik daripada GPT-5.
00:04:36Tapi bagaimanapun, ini bergerak ke arah yang benar..
00:04:39Namun tetap saja,
00:04:40bahkan di bagian atas sini,
00:04:42dari hal-hal yang lolos uji regresi kode yang benar,
00:04:46jika 20% di antaranya memiliki semacam kerentanan keamanan,
00:04:50itu tidak fantastis.
00:04:52Itu bukan yang akan saya anggap,
00:04:53sebagai profesional keamanan,
00:04:55apa yang benar-benar ingin saya lihat.
00:04:56Saya penggemar berat seri Fallout.
00:04:58Perang tidak pernah berubah, kan?
00:05:00Dan bagi saya,
00:05:01rasanya sedikit seperti apa yang kita lakukan di sini adalah di mana para "vibe coder" ini,
00:05:07terutama yang belum pernah menulis perangkat lunak secara profesional sebelumnya,
00:05:12kita memberi mereka semua seperti senjata dasar.
00:05:15Kita memberi mereka semua seperti ketapel dan ransel.
00:05:18Dan kemudian kita mendorong mereka ke dunia yang penuh mutan dengan tongkat tajam.
00:05:23Dan mereka langsung dimakan, kan?
00:05:25Karena bukan berarti para penjahat menciptakan kode mereka dari awal.
00:05:30Selama 20-an tahun,
00:05:31kita memiliki penyerang profesional yang mencari cara untuk membobol aplikasi web,
00:05:36cara membobol aplikasi seluler,
00:05:38cara merekayasa balik hal-hal ini,
00:05:40dan terutama cara membangun model keuangan tentang cara melakukan hal-hal berbahaya.
00:05:45Jadi kita memiliki generasi baru orang-orang yang sekarang,
00:05:49secara ajaib,
00:05:50memiliki akses untuk menggunakan komputer dengan cara baru,
00:05:53berhadapan dengan para profesional yang seluruh pekerjaannya adalah memonetisasi bug dalam perangkat lunak.
00:06:00Ini tercermin dalam industri keamanan dalam cara kita mengkualifikasi dan mengkuantifikasi kerentanan ini.
00:06:06Salah satu kerangka kerja yang kami lakukan adalah yang disebut kerangka kerja MITRE ATT&CK.
00:06:12Dalam keamanan,
00:06:13kami mencuri ide "kill chain" ini dari militer,
00:06:16tetapi pada dasarnya ini adalah ide tentang langkah-langkah yang harus Anda ambil untuk memiliki intrusi yang efektif sebagai penyerang.
00:06:24Itu adalah langkah-langkah di sini dari kiri ke kanan,
00:06:28pengintaian,
00:06:28pengembangan sumber daya,
00:06:30akses,
00:06:30eksekusi,
00:06:31persistensi,
00:06:32dan sejenisnya.
00:06:33Dan ke bawah adalah berbagai kategori teknik di sini.
00:06:36Dan untuk masing-masing ini,
00:06:38terkadang ada puluhan atau ratusan teknik berbeda untuk setiap kategori ini.
00:06:42Ini hanyalah tingkat teratas MITRE,
00:06:44yang merupakan organisasi yang dibayar oleh pemerintah AS untuk membuat bagan yang terlalu rumit ini,
00:06:51untuk mengkategorikan semua hal ini sehingga kita dapat melacak berbagai aktor ancaman di komunitas keamanan dan memiliki semacam bahasa standar untuk membicarakan apa yang kita lihat di lapangan.
00:07:03Jadi kita memiliki "vault dweller" kecil kita yang manis yang kita berikan alat-alat ini dan kita seperti,
00:07:09"Hei,
00:07:10semoga berhasil." Dan apa yang mereka hadapi adalah dunia yang penuh dengan penjahat yang melakukan semua hal ini.
00:07:17Jika Anda mengunjungi attack.mitre.org,
00:07:19Anda akan melihat daftar rantai eksploitasi yang diketahui,
00:07:23hal-hal yang diketahui telah terjadi di lapangan dari berbagai kelompok ancaman,
00:07:28AP-228 dan 29,
00:07:29UNC-3886.
00:07:30Jadi ini seperti Kementerian Keamanan Negara Republik Rakyat Tiongkok atau SVR Rusia atau daftar lengkap kelompok profesional yang termotivasi secara finansial seperti Lapsus dan sejenisnya.
00:07:41Dan kemudian inilah teknik yang mereka gunakan untuk menyerang berbagai korban.
00:07:46Gagasan bahwa
00:07:47"vibe coder"
00:07:48akan memahami semua ini sungguh konyol.
00:07:50Tetapi itu secara efektif telah menjadi asumsi sampai saat ini.
00:07:54Jadi apa yang bisa kita lakukan lebih baik.
00:07:57Nah,
00:07:57hal pertama yang bisa kita lakukan adalah kita bisa mulai sebenarnya,
00:08:02Anda tahu,
00:08:02ketika kita ingin memecahkan masalah sebagai insinyur,
00:08:06kita mulai memecah masalah menjadi beberapa bagian,
00:08:09kan.
00:08:09Dan kenyataannya kita memiliki dua kategori masalah yang sama sekali berbeda di sini.
00:08:15Yang pertama adalah kita harus membagi penggunaan alat-alat ini menjadi dua kategori utama?
00:08:20Yang pertama adalah "vibe coding" yang sebenarnya, kan?
00:08:24Ketika saya berbicara tentang "vibe coding",
00:08:26maksud saya adalah orang-orang yang bukan insinyur perangkat lunak profesional,
00:08:31orang biasa,
00:08:32kan.
00:08:32Jadi orang-orang yang memiliki hobi normal.
00:08:35Jadi ini adalah orang-orang yang tidak ada di ruangan ini,
00:08:39kan?
00:08:39Yang melakukan hal-hal seperti tidak datang ke konferensi ini pada Kamis sore,
00:08:44memiliki hal yang lebih baik untuk dilakukan,
00:08:47tanpa bermaksud menyinggung,
00:08:48daripada berada di Chip AI?
00:08:50Dan ini tidak apa-apa.
00:08:52Senang berada di sini?
00:08:53Saya di sini.
00:08:54Tapi seperti,
00:08:55jika Anda di sini,
00:08:56Anda bukan "vibe coder",
00:08:57kan.
00:08:58Anda tahu,
00:08:58kita adalah orang-orang yang bekerja,
00:09:01ketika kita menggunakan AI,
00:09:02kita mungkin melakukan rekayasa berbantuan AI,
00:09:05kan?.
00:09:09Jadi "vibe coding" adalah orang-orang yang,
00:09:11untuk pertama kalinya,
00:09:12dapat mengakses jenis kemampuan ini dengan alat baru yang dibuat khusus untuk mereka.
00:09:16Jadi hal pertama yang harus kita lakukan adalah kita harus memisahkan kelas-kelas masalah secara keseluruhan dan cara orang menggunakan alat-alat ini.
00:09:23Dan saya pikir kita harus berhenti menyebut rekayasa berbantuan AI sebagai
00:09:26"vibe coding"
00:09:27.
00:09:28Mungkin rekayasa berbantuan AI itu seperti,
00:09:30kita bisa menemukan istilah yang lebih baik di sini.
00:09:32Tetapi ini berkisar dari orang yang melengkapi otomatis,
00:09:35melengkapi tab,
00:09:35dan kursor hingga,
00:09:36Anda tahu,
00:09:37sekarang Anda memiliki seorang insinyur profesional yang akan mengirim empat atau lima agen berbeda di latar belakang untuk melakukan pekerjaan yang berbeda sementara mereka melakukan hal yang ingin mereka lakukan.
00:09:47Dan meskipun agen-agen itu bertindak secara otonom,
00:09:49mereka masih bertanggung jawab dan mereka tahu apa yang mereka inginkan,
00:09:53sang insinyur tahu.
00:09:54Itu masih sangat berbeda dari "vibe coding".
00:09:56Seorang "vibe coder" seringkali,
00:09:57mereka mengandalkan platform yang lengkap,
00:09:59kan?
00:10:00Jadi mereka membutuhkan platform yang secara efektif melakukan segalanya untuk mereka dari awal hingga akhir.
00:10:05Mereka tidak menyatukan hal-hal sepotong demi sepotong.
00:10:08Mereka menjelaskan hasil yang diinginkan.
00:10:10Mereka memiliki hasil yang mereka inginkan.
00:10:12Mereka bisa melakukannya dalam bahasa Inggris atau bahasa apa pun yang mereka gunakan.
00:10:16Mereka mungkin melakukannya secara visual, kan?
00:10:18Jadi ada banyak platform ini yang memungkinkan Anda menyusunnya dengan GUI dan sejenisnya.
00:10:22Jelas V0 adalah contoh yang bagus untuk itu.
00:10:24Dan jadi mereka memiliki hasil yang mereka inginkan.
00:10:27Mereka tidak harus,
00:10:28mereka tidak mungkin menjelaskan bagaimana mereka mencoba mencapainya.
00:10:31Mereka seringkali memulai dari "green field"..
00:10:34Jadi mereka memiliki keuntungan untuk tidak harus menyesuaikan apa pun yang dilakukan platform "vibe coding" ke dalam basis kode yang ada atau arsitektur yang ada,
00:10:43yang dari perspektif keamanan sebenarnya bagus.
00:10:46Kita bisa membicarakannya sebentar lagi.
00:10:48Tetapi ini memberikan banyak manfaat dari perspektif keamanan kepada platform "vibe coding" karena tidak harus masuk ke dalam arsitektur AWS yang ada atau,
00:10:57amit-amit,
00:10:58arsitektur yang di-host sendiri..
00:11:00Kekurangannya di sini adalah mereka memiliki sedikit kemampuan sendiri untuk mengamankan output.
00:11:05Jadi di sinilah Anda berakhir dengan masalah-masalah yang kita lihat orang-orang tweet tentangnya seperti,
00:11:10"mengapa saya melihat kesalahan ini" atau "ke mana semua Bitcoin saya pergi?" Yang jika Anda mencari di X untuk "ke mana Bitcoin saya pergi",
00:11:17Anda akan mendapatkan banyak tweet,
00:11:19kan?
00:11:19Karena ternyata,
00:11:20maksud saya,
00:11:20Anda mendapatkan itu karena banyak alasan,
00:11:23tetapi "vibe coding" ternyata menjadi salah satu alasan sekarang orang akan men-tweet itu?
00:11:27Karena mereka tidak memiliki kemampuan untuk melihat output dan kemudian mencari tahu apakah itu aman atau tidak.
00:11:33Sedangkan seorang insinyur perangkat lunak yang kebetulan menggunakan AI untuk membuat pekerjaannya lebih baik,
00:11:38mereka adalah seorang profesional yang mengawasi agen..
00:11:41Dan lagi,
00:11:42itu bisa sesederhana "Saya sudah memulai sebuah fungsi dan saya ingin Anda menyelesaikannya untuk saya." Itu bisa juga seperti "Saya punya bug ini dan saya ingin Anda mengerjakannya dan memperbaikinya." Dan itu bisa berarti Anda mengirim agen untuk bekerja untuk Anda selama 30 menit.
00:11:55Tetapi pada akhirnya,
00:11:56mereka mungkin menjelaskan komponen yang mereka inginkan dengan permintaan yang jauh lebih spesifik.
00:12:01Dan jadi mereka memiliki spesifisitas yang jauh lebih tinggi dan bukan output yang mereka inginkan sebanyak "inilah lapisan langkah-langkah yang saya inginkan." Dan mereka juga bisa menyusun,
00:12:10"Oke,
00:12:10pertama beri saya rencana.
00:12:11Anda edit rencana itu dan kemudian Anda berikan rencana itu kembali ke agen dan biarkan ia mengeksekusi langkah demi langkah." Sekarang,
00:12:18kerugian bagi orang-orang ini adalah Anda sering bekerja dengan basis kode yang sudah ada dan kemudian seringkali persyaratan,
00:12:24persyaratan kepatuhan,
00:12:25persyaratan arsitektur.
00:12:26Anda biasanya tidak memulai dari
00:12:27"Greenfield"
00:12:28jika Anda melakukan rekayasa berbantuan AI.
00:12:30Jadi tidak mudah bagi Anda untuk hanya membuat semacam rencana keamanan jika Anda adalah orang seperti ini.
00:12:35Tetapi Anda diharapkan memiliki beberapa keterampilan keamanan dan Anda bahkan mungkin memiliki tim keamanan khusus yang dapat Anda andalkan jika Anda adalah orang ini.
00:12:43Jadi orang-orang ini memiliki persyaratan keamanan yang sangat berbeda yang dapat kita bantu.
00:12:47Mereka membutuhkan solusi mereka sendiri.
00:12:49Jadi,
00:12:49apa saja solusi yang bisa kita lakukan sebagai kelompok untuk membantu orang-orang ini,
00:12:54terutama orang-orang yang bekerja di platform coding AI?.
00:12:56Jadi apa yang dibutuhkan oleh para "vibe coder"?
00:12:58Hal pertama adalah mereka membutuhkan hal-hal yang aman sejak desain..
00:13:01Jadi ketika kita berbicara tentang keamanan sejak desain,
00:13:03kita sering berbicara tentang produk akhir,
00:13:04kan?
00:13:04Ini seringkali kita berbicara tentang platform SaaS yang seharusnya memiliki opsi autentikasi yang baik secara default,
00:13:10bahwa semua pengaturan seharusnya aman secara default dan Anda harus sengaja mematikan pengaturan aman tersebut dan sejenisnya.
00:13:15Dalam perspektif coding AI,
00:13:17yang benar-benar kita inginkan adalah kita ingin pengaturan "vibe coding",
00:13:20arsitektur,
00:13:20dan kodenya memiliki pandangan yang kuat.
00:13:22Bahwa agen coding AI seharusnya memiliki pandangan yang sangat baik tentang
00:13:26"ini adalah komponen yang harus Anda gunakan dan ini adalah cara mereka harus dikonfigurasi untuk melakukan hal-hal dengan benar pertama kali."
00:13:32Saya berbicara tentang contoh Superbase itu atau jenis database apa pun.
00:13:35Itu seharusnya memiliki pandangan tentang keamanan tingkat peran..
00:13:39Itu seharusnya memiliki pandangan tentang,
00:13:41yah,
00:13:41secara default,
00:13:42pengguna Anda seharusnya memiliki sedikit atau tidak ada akses ke data dan kemudian kita harus secara eksplisit memberi mereka akses ke data sesuai kebutuhan mereka,
00:13:50kan?
00:13:50Kita seharusnya tidak hanya memiliki database backend yang bisa Anda akses apa saja dan kemudian nanti memblokirnya.
00:13:57Itu seharusnya memiliki pandangan yang kuat tentang ini dan kemudian membuat keputusan tersebut atas nama pengguna karena tidak mungkin seorang
00:14:05"vibe coder"
00:14:06dalam skenario ini akan dapat membuat keputusan itu sendiri.
00:14:09Itu mungkin juga harus mendeteksi apakah proyek yang diminta untuk dilakukan berada di luar cakupan apa yang dirasakannya nyaman untuk dilakukan.
00:14:18Ada sejumlah platform "vibe coding" di mana Anda bisa memintanya,
00:14:21"Tolong buatkan saya sistem rekam medis" dan itu akan melakukannya dan kemudian berkata,
00:14:26"Ini dia.
00:14:27Ini sistem rekam medis." CEO kami,
00:14:29Jack Cable,
00:14:29yang ada di sini,
00:14:30melakukan ini di salah satu platform "vibe coding" dan itu berkata,
00:14:34"Ini sistem rekam medis Anda.
00:14:36Ini sesuai HIPAA." Ya, jadi berita penting.
00:14:38Itu tidak sesuai HIPAA..
00:14:40Izinkan saya memberi tahu Anda sebagai seorang profesional,
00:14:43sebagai seseorang yang merupakan CSO perusahaan publik,
00:14:45itu tidak benar.
00:14:46Hanya dengan mengatakan sesuatu sesuai HIPAA tidak secara ajaib membuatnya sesuai HIPAA.
00:14:50Bukan begitu caranya.
00:14:51Dan dia menunjukkannya.
00:14:52"Saya rasa itu tidak sesuai HIPAA." Dan saya berkata,
00:14:54"Oh tidak,
00:14:54Anda benar.
00:14:55Saya rasa tidak." Dan itu membuat beberapa perubahan.
00:14:57"Sekarang sesuai HIPAA." Masih belum, kan.
00:14:59Ini adalah jenis hal yang jika saya membangun platform "vibe coding",
00:15:02jika Anda meminta saya membangun sistem rekam medis,
00:15:04saya mungkin akan berkata,
00:15:05"Tidak,
00:15:06saya tidak akan melakukannya.
00:15:07Itu ide yang buruk.
00:15:08Anda salah tempat untuk itu,
00:15:09Tuan." Sama halnya dengan,
00:15:10"Tolong buatkan saya sistem untuk menyimpan Bitcoin saya." Saya akan berkata,
00:15:14"Tidak,
00:15:14saya tidak akan melakukannya?
00:15:16Itu bukan ide yang bagus.
00:15:17Saya tidak akan menyimpan Bitcoin untuk Anda.
00:15:19Itu akan dicuri.
00:15:19Bitcoin itu akan langsung pergi ke Korea Utara dan akan digunakan untuk membeli roket.
00:15:23Anda harus melakukan hal lain dengan Bitcoin Anda.".
00:15:26Platform "vibe coding" ini seharusnya tahu batasannya.
00:15:29Dan seharusnya ada sesuatu di tengah-tengah yang jika Anda memintanya melakukan sesuatu di tengah-tengah seperti menyimpan informasi pribadi orang,
00:15:37itu akan memungkinkan Anda melakukannya,
00:15:39tetapi itu akan mengaktifkan sejumlah fitur keamanan dan jika memungkinkan,
00:15:43membawa agen keamanan seperti di sejumlah platform "vibe coding".
00:15:46Jika Anda ingin menyimpan data,
00:15:47itu akan berkata,
00:15:48"Bagus,
00:15:49saya butuh server database." Jika Anda ingin memutar video,
00:15:52itu berkata,
00:15:52"Oke,
00:15:53saya butuh CDN video,
00:15:54" kan.
00:15:55Jadi ada hal-hal di tengah,
00:15:56tetapi ada beberapa hal yang seharusnya seperti,
00:15:58"Ya,
00:15:59itu ide yang buruk?
00:16:00Saya tidak akan melakukannya untuk Anda." Dan akhirnya,
00:16:03yang mereka butuhkan adalah mereka perlu memiliki jenis keterlibatan dengan mitra yang akan memungkinkannya melakukan tinjauan kode karena seorang "vibe coder" tidak akan berkata,
00:16:12"Oh,
00:16:12saya sudah memiliki hubungan dengan alat tinjauan perangkat lunak.".
00:16:15Itu bukan sesuatu yang akan mereka bawa.
00:16:18Jadi Anda ingin itu dibangun ke dalam produk dasar seperti Anda memiliki hubungan dasar dengan mitra database atau semacamnya..
00:16:25Paternalisme atau maternalisme keamanan,
00:16:27jika Anda lebih suka,
00:16:28tidak apa-apa.
00:16:29Tidak apa-apa untuk membuat keputusan atas nama pengguna yang tidak memiliki kemampuan untuk melakukannya.
00:16:34Saya pikir ini adalah sesuatu yang industri keamanan takut untuk lakukan karena kita takut sebagai orang keamanan untuk dimintai pertanggungjawaban atas keputusan yang kita buat atas nama orang lain.
00:16:44Ini hanyalah masalah umum dengan orang-orang keamanan adalah apa yang akan kita lakukan adalah kita akan membuat tali ketat.
00:16:50Dan jika seseorang jatuh dari tali ketat itu,
00:16:53kita seperti,
00:16:53"Oh,
00:16:54sial,
00:16:54maaf.
00:16:55Saya kira Anda tidak tahu cara berjalan di tali ketat.
00:16:57Itu salah Anda, kan?" Itu tidak baik?
00:16:59Lebih baik bagi kita untuk melakukan yang terbaik yang kita bisa untuk memberi orang cara yang aman untuk melintasi jurang itu dan mengambil beberapa tanggung jawab jika orang jatuh.
00:17:08Tidak baik bagi kita untuk membuat segalanya begitu sulit.
00:17:11Tidak apa-apa untuk sedikit paternalistik dalam kasus-kasus ini dan untuk membuat keputusan,
00:17:16terutama jika Anda membangun produk yang Anda tahu akan digunakan oleh non-ahli.
00:17:20Sekarang, bagaimana jika seseorang adalah seorang ahli.
00:17:22Bagaimana jika Anda membangun produk yang digunakan oleh para ahli?
00:17:26Jadi ini akan lebih seperti
00:17:27"cloud code"
00:17:28atau
00:17:28"cursor"
00:17:29atau produk yang Anda harapkan orang-orang menjadi lebih?
00:17:31Sekarang,
00:17:32"cloud code" adalah tantangan yang menarik karena itu digunakan baik oleh orang biasa maupun oleh orang-orang di sini,
00:17:38kan.
00:17:38Dan jadi,
00:17:39jika Anda seorang manajer produk untuk Anthropic,
00:17:41itu menjadi lebih seperti apakah kita ingin memiliki mode,
00:17:44mode "vibe code"?
00:17:45Apakah Anda ingin mendeteksi apakah Anda ingin memberikan tes di awal??
00:17:48Saya tidak yakin persis bagaimana Anda ingin mengaktifkannya,
00:17:51tetapi saya pikir ada tantangan menarik dari perspektif manajer produk.
00:17:54Pada titik mana Anda mengaktifkan mode
00:17:56"vibe code"
00:17:56di mana Anda benar-benar melakukan hal-hal atas nama pengguna versus memberi mereka lebih banyak kemampuan??
00:18:01Jadi,
00:18:02tentu saja seperti
00:18:02"cursor"
00:18:03seharusnya hanya digunakan mungkin oleh insinyur profesional.
00:18:05Jadi,
00:18:06insinyur profesional juga membutuhkan keamanan sejak desain.
00:18:09Sekarang, ini adalah cara yang berbeda, kan?
00:18:11Seperti jika Anda melakukan keamanan sejak desain untuk seorang insinyur profesional,
00:18:16Anda mungkin tidak membuat keputusan arsitektur yang menyeluruh dan luas.
00:18:20Tetapi yang Anda lakukan adalah Anda tidak membuat kesalahan-kesalahan yang baru saja kita bicarakan 20% dari waktu di GPT-5 dan 60% dari waktu atau semacamnya dalam situasi Grok di mana Anda hanya membuat kesalahan keamanan bodoh,
00:18:33kan?
00:18:33Anda perlu membuat dan menulis kode yang tidak memiliki kelemahan secara default.
00:18:38Dan Anda perlu setidaknya memberi prompt kepada pengguna dan bertanya kepada pengguna,
00:18:43"Hei,
00:18:43bisakah saya melakukan ini lebih baik untuk Anda secara default?" Kemudian mencoba membuat keputusan default yang bukan ide yang bagus?
00:18:50Sesuatu yang sebenarnya cukup buruk dilakukan oleh agen-agen ini adalah memiliki fokus gambaran besar..
00:18:56Saya pikir Anda semua pernah melihat ini terjadi di mana jika Anda bertanya kepada agen coding seperti,
00:19:02"Saya ingin membangun sistem yang sangat kompleks yang melakukan banyak hal." Itu seperti,
00:19:08"Bagus,
00:19:08saya akan mulai menulis kode sekarang." Bukan begitu cara kita membangun perangkat lunak,
00:19:13kan.
00:19:14Seperti Anda tidak mendapatkan 20 orang untuk membangun sistem terdistribusi yang sangat kompleks dan memulai hanya dengan membuka file dan menulis kode,
00:19:23kan.
00:19:24Anda memiliki PRD?
00:19:25Anda memiliki rapat desain.?
00:19:26Anda memikirkan apa saja persyaratan kita.
00:19:28Anda melakukan banyak manajemen produk.
00:19:30Ada beberapa pengecualian,
00:19:32tetapi sebagian besar,
00:19:33agen coding hanya ingin mulai menulis kode.
00:19:35Itu yang mereka tahu.
00:19:36Mereka langsung terjun ke dalamnya.
00:19:38Dan jadi saya pikir yang akan bagus adalah hal-hal ini mulai melambat dan memiliki langkah-langkah perencanaan dan menjadi jauh lebih bijaksana tentang,
00:19:45"Mari kita susun arsitektur dan desain,
00:19:47" dan kemudian melakukan hal-hal seperti mendokumentasikan API,
00:19:50mendokumentasikan bagaimana kita akan melakukan validasi input.
00:19:53Bagaimana kita akan mencegah kelemahan umum dalam arsitektur semacam ini?
00:19:57Bagaimana kita akan melakukan autentikasi antara,
00:19:59"Anda merancang sesuatu yang pasti akan memiliki layanan yang berbeda.
00:20:02Bagaimana kita akan mengautentikasi layanan-layanan yang berbeda itu?" Ini adalah jenis hal yang hampir tidak pernah dipikirkan oleh agen coding mana pun dan akan sangat bijaksana untuk dilakukan di awal ketika Anda memulai,
00:20:13bahkan jika Anda seorang insinyur profesional.?
00:20:16Dan kemudian kita juga membutuhkan kemampuan untuk memiliki agen keamanan AI.
00:20:16Salah satu hal lucu yang terjadi adalah jika Anda bekerja di startup kecil atau Anda berusia 22 tahun,
00:20:17Anda berpikir satu-satunya orang yang menulis perangkat lunak adalah insinyur perangkat lunak,
00:20:17tetapi saya melihat banyak profesional di ruangan ini.
00:20:18Ketika Anda seorang profesional,
00:20:18dan terutama jika Anda bekerja di perusahaan yang diatur atau melakukan sesuatu yang penting seperti membangun pesawat terbang atau semacamnya,
00:20:19Anda menyadari ada insinyur perangkat lunak,
00:20:19tetapi ada juga insinyur keamanan,
00:20:20dan ada arsitek keamanan,
00:20:20dan ada insinyur privasi,
00:20:21dan ada orang kepatuhan,
00:20:21dan ada pengacara.
00:20:22Saya tahu.
00:20:22Kami bukan penggemar berat semua orang ini,
00:20:23tetapi mereka sebenarnya memiliki pekerjaan penting.
00:20:23Ada alasan mengapa orang-orang ini ada,
00:20:24dan ada alasan mengapa mereka memengaruhi basis kode,
00:20:24karena hal-hal buruk telah terjadi dengan perangkat lunak,
00:20:25dan jadi kami telah membuat segala macam aturan tentang mengapa kami menulis perangkat lunak dan mengapa kami harus memiliki aturan kepatuhan dan mengapa kami memiliki manajemen produk,
00:20:26mengapa kami memiliki undang-undang privasi dan sejenisnya.
00:20:26Apa yang telah kami lakukan adalah kami telah mengambil pekerjaan insinyur perangkat lunak,
00:20:27dan kami telah mengambil minggu kerja 40 jam,
00:20:27dan kami mengubahnya menjadi 20 menit waktu GPU.
00:20:28Nah,
00:20:28semua orang lain itu masih bekerja 40 jam seminggu dan berinteraksi satu sama lain di ruang konferensi dan bukan melalui MCP dan tidak dapat beroperasi dengan kecepatan yang sama dengan insinyur perangkat lunak yang memiliki 10 agen beroperasi di latar belakang,
00:20:29mengeluarkan kode.
00:20:30Apa yang juga perlu kita lakukan adalah kita perlu membangun mekanisme agar semua orang lain yang masih memiliki pekerjaan penting dapat seefisien insinyur perangkat lunak di era coding AI,
00:20:31karena pada akhirnya,
00:20:31masih ada manusia di perusahaan yang memiliki tanggung jawab nyata.
00:20:32Bahkan,
00:20:32beberapa dari orang-orang ini bisa masuk penjara jika insinyur perangkat lunak dengan agen coding mereka melakukan pekerjaan yang buruk.
00:20:33Saya telah menjadi CISO perusahaan publik tiga kali.
00:20:33Itu adalah pekerjaan yang menakutkan,
00:20:34seperti lelucon yang saya suka katakan,
00:20:34dan itu tidak benar,
00:20:35tetapi rasanya sedikit benar adalah bahwa kata CISO adalah bahasa Yunani untuk kambing yang disembelih pertama,
00:20:35kan?
00:20:36Tetapi sangat menakutkan menjadi seorang CISO saat ini,
00:20:36karena Anda disalahkan atas apa yang mungkin dilakukan oleh ratusan atau ribuan atau puluhan ribu orang lain yang tidak dapat Anda kendalikan atau bahkan pahami,
00:20:37dan itu benar bahkan sebelum setiap orang itu memiliki lima agen latar belakang yang menulis kode untuk Anda.
00:20:37Dan jadi kita perlu menemukan cara agar manusia-manusia ini yang memiliki pekerjaan yang sangat penting seputar kepatuhan,
00:20:38privasi,
00:20:38keamanan,
00:20:39dapat memahami dan memiliki gagasan bahwa aturan yang harus mereka patuhi di dunia fisik masih ditegakkan.
00:20:39Jadi di Corridor,
00:20:40kami percaya bahwa ada dua area di mana kita harus memulai,
00:20:40akan ada lebih banyak,
00:20:41tetapi setidaknya ada dua area yang harus kita mulai di mana kita perlu memiliki standarisasi untuk membuat coding AI siap untuk perusahaan.
00:20:42Pertama, telemetri, dan kemudian dalam alur kerja keamanan.
00:20:42Jadi di sisi telemetri,
00:20:43kami akan menulis postingan blog tentang ini.
00:20:43Mungkin akan keluar minggu depan.
00:20:44Kami pikir agen keamanan perlu mengeluarkan semua yang mereka lakukan,
00:20:44semua interaksi mereka dengan pengguna,
00:20:45bahwa ini adalah jenis hal yang jika Anda adalah perusahaan,
00:20:45Anda perlu dapat melihat di satu tempat sentral apa yang orang lakukan dengan agen mereka,
00:20:46siapa yang masuk sebagai siapa,
00:20:46memiliki visibilitas penuh dan prompt dan visibilitas penuh ke alat apa yang dipanggil agen,
00:20:47dan kemudian terutama pada kode apa yang dihasilkan.
00:20:47Produk kami sebenarnya memberi kami visibilitas,
00:20:48tetapi kami harus melakukannya dengan merekayasa balik cara kerja semua agen coding.
00:20:48Ini agak "hacky".
00:20:49Ini tidak terlalu menyenangkan.
00:20:49Akan jauh lebih baik jika agen coding mendukung ini..
00:20:33Jadi perusahaan yang paling maju di sini adalah Anthropic.
00:20:42Claude Code mendukung standar berdasarkan telemetri,
00:20:50jadi ini adalah standar terbuka yang bagus.
00:20:57Ini cukup bersih.
00:21:00Dalam versi yang mereka kirim saat ini,
00:21:06itu memiliki 70% dari apa yang mereka butuhkan.
00:21:13Dalam versi mendatang,
00:21:17sepertinya mereka akan mengirim 90% dari apa yang kita semua butuhkan.
00:21:28Jadi akan sangat bagus jika pertama,
00:21:34Anthropic mengirimkan semuanya,
00:21:39dan kemudian kedua,
00:21:42jika semua orang lain meniru mereka.
00:21:47Tetapi akan sangat keren jika semua agen coding memiliki kemampuan untuk mendapatkan telemetri tentang apa yang dilakukan semua orang.
00:22:08Itu hanyalah langkah pertama.
00:22:13Itu adalah langkah pertama dari solusi keamanan apa pun,
00:22:22hanya untuk mengetahui apa yang sedang terjadi.
00:22:29Dan akan sangat keren jika ini bisa dikonfigurasi oleh MDM,
00:22:39oleh manajemen perangkat.
00:22:42Jadi sebagai CISO perusahaan,
00:22:47Anda bisa saja mendorong menggunakan penyedia MDM Anda ke setiap mesin,
00:22:58"Hei,
00:22:59kirimkan saja semua telemetri kepada saya ke tempat ini." Maka Anda tidak perlu memiliki agen yang pergi ke semua mesin ini untuk mencoba menariknya.
00:23:23Area kedua,
00:23:24saya pikir,
00:23:26yang lebih penting dan lebih menarik adalah kita membutuhkan mekanisme untuk menstandardisasi percakapan itu.
00:23:43Seperti yang kita bicarakan,
00:23:48insinyur perangkat lunak dan insinyur keamanan dulu bertemu sambil minum kopi dan bercakap-cakap..
00:24:07Nah,
00:24:08kita membutuhkan cara standar bagi agen keamanan dan agen perangkat lunak untuk berbicara satu sama lain untuk mereplikasi apa yang dulu dilakukan manusia.
00:24:58Dan itu perlu bersifat deterministik..
00:25:10Jadi lagi,
00:25:11kami melakukan ini sekarang dengan produk kami,
00:25:11tetapi kami harus sedikit memaksanya masuk.
00:25:12Dan itu non-deterministik.
00:25:12Itu didasarkan pada bagaimana perasaan LLM.
00:25:13Dan akan bagus jika Anda mengeluarkan,
00:25:14jika Anda meminta agen coding untuk melakukan sesuatu di latar belakang selama 30 menit,
00:25:15itu pergi dan berbicara dengan agen keamanan Anda dan berkata,
00:25:16"Ini rencana saya." Itu mendapatkan umpan balik tentang rencana itu.
00:25:17Itu berkata, "Ini kode saya." Kode itu diperiksa.
00:25:18Semua bug diperiksa.
00:25:18Dan kemudian semua bug diperbaiki.
00:25:19Dan semua itu dilakukan tanpa keterlibatan insinyur.
00:25:19Dan kemudian tim keamanan melihat di daftar periksa ini,
00:25:20"Ya,
00:25:21ini semua sudah diperbaiki,
00:25:21" yang akan luar biasa..
00:25:20Jadi apa yang kita miliki saat ini adalah Corridor.
00:25:24Kami sebenarnya sudah meluncurkan ini hari ini ke GA.
00:25:28Kami memiliki pelanggan perusahaan,
00:25:30tetapi yang kami luncurkan untuk GA hari ini adalah kami terhubung dengan plugin VR ID,
00:25:37dan kami terhubung melalui MCP ke agen coding Anda bahwa ketika Anda memintanya melakukan sesuatu,
00:25:44itu mengirimkan rencana kepada kami.
00:25:46Dan kemudian kami dapat menggunakannya untuk menyediakan konteks keamanan yang spesifik untuk basis kode.
00:25:54Dan itu menyediakan baik saran keamanan umum,
00:25:57tetapi juga memungkinkan perusahaan untuk memiliki aturan keamanan spesifik Anda untuk perusahaan itu.
00:26:05Jadi katakanlah Anda adalah bank besar dan Anda punya,
00:26:09"begini cara kami menangani nomor jaminan sosial,
00:26:12" atau "begini cara kami melakukan tokenisasi nomor kartu kredit." Itulah jenis konteks yang dapat kami berikan ke agen keamanan itu untuk memastikan agen coding melakukan pekerjaannya sejak awal.
00:26:26Dan kemudian kami memindai kode itu di backend untuk memastikan bahwa aturan itu telah diberikan.
00:26:33Dan kemudian kami juga mengumpulkan telemetri dari plugin IDE kami.
00:26:38Jadi kami bisa melihat semua interaksi ini dan memastikan bahwa plugin melakukan tugasnya.
00:26:45Dan kemudian juga melihat semua alat coding yang tidak sah yang digunakan semua orang.
00:26:51Bukan berarti ada di antara Anda yang akan membawa alat coding ke tempat kerja yang tidak diotorisasi oleh tim keamanan Anda.
00:27:00Saya yakin melihat banyak orang yang patuh aturan di ruangan ini.
00:27:05Dan jadi kami sudah melakukan ini,
00:27:07tetapi akan sangat keren jika ini menjadi hal standar yang didukung oleh banyak agen coding yang berbeda,
00:27:15dan kemudian banyak orang bisa bersaing dengan kami dan meniru produk kami..
00:27:22Tidak apa-apa.
00:27:23Kami senang menjadi
00:27:24"Kleenex"
00:27:24di bidang ini dengan banyak orang melakukan jenis pekerjaan ini.
00:27:28Tetapi saya pikir ini akan menjadi masa depan di mana agen coding dan agen keamanan memiliki hubungan di sini,
00:27:34sama seperti insinyur keamanan dan insinyur perangkat lunak memiliki hubungan yang sepenuhnya ramah dan sama sekali tidak kompetitif atau sulit saat ini..
00:27:42Kami dengan bangga merilis ini ke GA hari ini,
00:27:45dan kami meluncurkannya di marketplace agen AI Vercel.
00:27:48Jadi kami ada di sana, di bagian atas.
00:27:50Anda bisa mengunjungi corridor.dev untuk melihat kami atau menemukan kami di marketplace Vercel.
00:27:55Kami satu-satunya produk keamanan di sana.
00:27:57Jadi kami sangat berterima kasih kepada Vercel atas kemitraan mereka dalam hal itu dan terima kasih telah memberi saya waktu ini hari ini.
00:28:04Jika Anda ingin mengobrol dengan kami,
00:28:06Jack dan saya,
00:28:06CEO dan salah satu pendiri kami,
00:28:08akan berada di koridor untuk mengobrol tentang itu.
00:28:10Bagaimanapun,
00:28:11saya pikir ada banyak yang bisa kita lakukan bersama di sini untuk memberikan kekuatan super agen coding AI ini kepada jutaan orang sambil juga melindungi mereka dari para penjahat yang ada di luar sana.
00:28:21Bagaimanapun, saya Alex, alex@corridor.dev.
00:28:23Jika Anda ingin mengobrol,
00:28:24saya akan berada di koridor atau kirimkan email kepada saya.
00:28:27Terima kasih banyak.
00:28:28Terima kasih banyak untuk Vercel.
00:28:30Semoga hari Anda menyenangkan..