00:00:00आने के लिए धन्यवाद। रुकने के लिए धन्यवाद। मेरा नाम एलेक्स है। मैं कॉरिडोर नाम की एक छोटी कंपनी के लिए काम करता हूँ। मैं यहाँ वाइब कोडिंग के बारे में थोड़ी बात करने आया हूँ। सुरक्षा के नज़रिए से कुछ दिलचस्प बातें हो रही हैं। सबसे पहले,
00:00:18मैं AI का इस्तेमाल करके कोड जनरेशन का बहुत बड़ा प्रशंसक हूँ। मुझे लगता है कि यह लोगों के लिए कंप्यूटर का ऐसे इस्तेमाल करने का एक अविश्वसनीय अवसर है जैसा उन्होंने पहले कभी नहीं किया। कमरे में कई पेशेवर सॉफ्टवेयर डेवलपर हैं। हममें से जो लोग कोड लिखते हुए बड़े हुए हैं,
00:00:38जिन्होंने कमांड लाइन से कंप्यूटर का इस्तेमाल करना सीखा या कम उम्र से ही कोडिंग की,
00:00:45हम वास्तव में नहीं समझते कि सामान्य लोगों के लिए इसका क्या मतलब है,
00:00:50लेकिन पहली बार,
00:00:51सामान्य लोग कंप्यूटर का उपयोग उस तरह से कर पाएंगे जैसे उन्हें लंबे समय से उपलब्ध होना चाहिए था। कोडिंग एक महाशक्ति है। कंप्यूटर से काम करवाने में सक्षम होना,
00:01:03बिना सॉफ्टवेयर खरीदे या ओपन सोर्स का उपयोग किए या दूसरों से अपने लिए कोड लिखवाए,
00:01:09यह एक महाशक्ति है।
00:01:11वाइब कोडिंग लाखों लोगों तक यह सुविधा पहुँचा रही है। यह एक अविश्वसनीय बात है। हमें बहुत खुश होना चाहिए कि हम इस क्रांति की शुरुआत में हैं,
00:01:21जो सभी के लिए पहुँच सुनिश्चित करेगी। यह एक अद्भुत आत्मघाती उपकरण भी है। और आत्मघाती उपकरण कहना शायद कम होगा। यह एक 'फुट बाज़ूका' जैसा है जो हम इन सभी लोगों को दे रहे हैं।
00:01:34ऐसे कई उदाहरण हैं जहाँ सामान्य लोगों के साथ बुरी चीजें हो रही हैं जब वे वाइब कोडिंग ऐप्स का उपयोग कर रहे हैं,
00:01:41जिनमें से कुछ तो सिर्फ़ मज़ेदार छोटी-मोटी चीजें हैं जैसे उनके बच्चों का लिटिल लीग शेड्यूल या ऐसी चीजें जिनमें वे अपना व्यक्तिगत डेटा डाल रहे हैं। कुछ लोग मेडिकल रिकॉर्ड सिस्टम या बिटकॉइन सिस्टम या ऐसी चीजें बना रहे हैं जो व्यक्तिगत डेटा रखती हैं या लोगों के क्रेडिट कार्ड नंबर लेती हैं या लोगों के ड्राइविंग लाइसेंस स्टोर करती हैं। ऐसे ढेरों उदाहरण हैं जहाँ लोग वाइब कोडिंग ऐप्स का उपयोग करके महत्वपूर्ण चीजें बना रहे हैं। शायद कुछ प्रतिस्पर्धी प्लेटफॉर्म,
00:02:10जिनका नाम नहीं लिया जाएगा,
00:02:11लेकिन जिनके नाम मेरे पीछे बहुत स्पष्ट और दिखाई दे रहे हैं,
00:02:15इसे विशेष रूप से बुरा बना रहे हैं क्योंकि वे बहुत खराब डिफ़ॉल्ट सेटिंग्स का उपयोग कर रहे हैं और लोगों के लिए इसे आसान नहीं बना रहे हैं। और उनके लिए सुपरबेस जैसी चीजों की वास्तव में खराब डिफ़ॉल्ट कॉन्फ़िगरेशन का उपयोग करना बहुत आसान बना रहे हैं। इसमें सुपरबेस की गलती नहीं है।
00:02:33बात बस इतनी है कि वाइब कोडिंग प्लेटफॉर्म,
00:02:36और कुछ अन्य प्लेटफॉर्म,
00:02:37डिफ़ॉल्ट रूप से इन चीजों को सुरक्षित रूप से कॉन्फ़िगर नहीं करते हैं। यह अच्छा नहीं है। और यह सिर्फ़ उस स्थिति में नहीं है जहाँ हम किसी प्लेटफॉर्म पर सीधे वाइब कोडिंग की बात कर रहे हैं,
00:02:49बल्कि पेशेवर भी इसका उपयोग कर रहे हैं,
00:02:52हमारे पास इस पर वास्तव में अच्छा अनुभवजन्य अकादमिक डेटा है। यह एक उत्कृष्ट शोध पत्र है जिसे मैं आपको पढ़ने की सलाह देता हूँ,
00:03:00जिसका नाम है 'बैकबेंच एकेडमिक ग्रुप'। उन्होंने कई प्रॉम्प्ट बनाए जो उन्हें लगा कि कोडिंग एजेंटों के लिए ऐसे प्रॉम्प्ट हैं जो बैकएंड कोड बना सकते हैं जिनमें सुरक्षा कमजोरियाँ हो सकती हैं। और फिर उन्होंने इन प्रॉम्प्ट्स को कई कोडिंग टूल्स और LMs के खिलाफ़ परखा। और फिर उन्होंने एक तो यह परखा कि क्या जेनरेट किया गया कोड सही था। और दूसरा,
00:03:21क्या उसमें सुरक्षा खामियाँ थीं। और उनकी सराहना करनी चाहिए,
00:03:25वे नए मॉडल आने पर इसे अपडेट करते रहते हैं और प्रकाशित करते हैं।
00:03:29आप इसे देख सकते हैं। और जैसा कि आप उम्मीद कर सकते हैं,
00:03:33LMs वास्तव में एक तो बहुत सारी गलतियाँ करते हैं,
00:03:36लेकिन बहुत सारी खामियाँ भी पैदा करते हैं। अब,
00:03:39यह सही दिशा में जा रहा है।
00:03:41और आपको इसकी तस्वीरें लेने की ज़रूरत नहीं है। आप backspends.com पर जाकर इसका कहीं ज़्यादा आसानी से पढ़ा जाने वाला संस्करण प्राप्त कर सकते हैं। साथ ही,
00:03:48उनका सारा कोड ओपन सोर्स है। तो आप इसे खुद भी बना सकते हैं।
00:03:51तो एक बात यह है कि यह सही दिशा में जा रहा है, है ना?
00:03:54तो अगर आप उत्पादों के एक ही परिवार के भीतर भी देखें,
00:03:57तो अगर आप OpenAI के उत्पादों के परिवार को देखें,
00:04:00तो यह सही दिशा में जा रहा है। GPT-5,
00:04:02GPT-4.1,
00:04:03GPT-4.0,
00:04:03और इसी तरह के अन्य संस्करणों से कहीं बेहतर प्रदर्शन कर रहा है। उन्हीं प्रॉम्प्ट्स का उपयोग करके कम कमजोरियाँ।.
00:04:10अब,
00:04:10यहाँ एक समस्या यह है कि ये प्रॉम्प्ट्स और टेस्ट अब ओपन सोर्स हैं।
00:04:14तो हो सकता है कि टेस्ट के लिए ओवरफिटिंग का मुद्दा हो। हालाँकि हमने भी यही देखा है,
00:04:19हमारी कंपनी में हमने इसे इन-हाउस लाया है,
00:04:21और अब हम अपने कुछ टेस्ट का उपयोग कर रहे हैं। और हमें वही परिणाम मिलते हैं। हमारे अपने टेस्ट में,
00:04:26वास्तव में,
00:04:27विजेता क्लाउड सोनट 4.5 है,
00:04:29जिसे उन्होंने सार्वजनिक रूप से जारी नहीं किया है। लेकिन एंथ्रोपिक ने GPT-5 से बस थोड़ा सा बेहतर प्रदर्शन करके लीडरबोर्ड पर जगह बनाई है। लेकिन फिर भी,
00:04:37यह सही दिशा में जा रहा है।
00:04:39लेकिन फिर भी,
00:04:40यहाँ तक कि शीर्ष पर भी,
00:04:41उन चीजों में से जो आपके वास्तविक सही कोड के रिग्रेशन टेस्ट पास करती हैं,
00:04:46यदि उनमें से 20% में किसी प्रकार की सुरक्षा भेद्यता है,
00:04:50तो यह शानदार नहीं है।
00:04:52एक सुरक्षा पेशेवर के रूप में,
00:04:53मैं इसे वह नहीं मानूंगा जो मैं वास्तव में देखना चाहता हूँ।
00:04:56मैं फ़ॉलआउट सीरीज़ का बहुत बड़ा प्रशंसक हूँ। युद्ध कभी नहीं बदलता,
00:05:05है ना?
00:05:06और मुझे थोड़ा ऐसा लगता है कि हम यहाँ जो कर रहे हैं,
00:05:12वह यह है कि इन वाइब कोडर्स को,
00:05:16खासकर उन लोगों को जिन्होंने पहले पेशेवर रूप से सॉफ्टवेयर नहीं लिखा है,
00:05:25हम उन्हें एक बुनियादी हथियार दे रहे हैं। हम उन्हें एक गुलेल और एक बैकपैक दे रहे हैं। और फिर हम उन्हें नुकीली छड़ियों वाले म्यूटेंट से भरी दुनिया में धकेल रहे हैं। और वे तुरंत खाए जा रहे हैं,
00:05:50है ना?
00:05:51क्योंकि ऐसा नहीं है कि बुरे लोग अपना कोड खरोंच से बना रहे हैं। 20 से अधिक वर्षों से,
00:06:01हमारे पास पेशेवर हमलावर हैं जो यह पता लगा रहे हैं कि वेब एप्लिकेशन में कैसे सेंध लगाई जाए,
00:06:13मोबाइल ऐप में कैसे सेंध लगाई जाए,
00:06:17इन चीजों को कैसे रिवर्स इंजीनियर किया जाए,
00:06:23और विशेष रूप से दुर्भावनापूर्ण चीजें करने के वित्तीय मॉडल कैसे बनाए जाएं। और इसलिए हमारे पास लोगों की एक पूरी नई पीढ़ी है,
00:06:39जिन्हें अब चमत्कारिक रूप से,
00:06:42कंप्यूटर का एक नए तरीके से उपयोग करने की सुविधा मिली है,
00:06:49जो उन पेशेवरों के खिलाफ़ जा रहे हैं जिनका पूरा काम सॉफ्टवेयर में बग्स का मुद्रीकरण करना है। यह सुरक्षा उद्योग में उन तरीकों से परिलक्षित होता है जिनसे हम इन कमजोरियों को योग्य बनाते और मापते हैं। उन ढाँचों में से एक जिसे हम करते हैं उसे MITRE ATT&CK फ्रेमवर्क कहा जाता है। सुरक्षा में,
00:07:26हमने 'किल चेन' का यह विचार सेना से चुराया है,
00:07:32लेकिन यह मूल रूप से उन कदमों का विचार है जो एक हमलावर के रूप में प्रभावी घुसपैठ करने के लिए उठाने पड़ते हैं। वे यहाँ बाईं से दाईं ओर के कदम हैं: टोही,
00:07:51संसाधन विकास,
00:07:53पहुँच,
00:07:54निष्पादन,
00:07:55दृढ़ता,
00:07:56और इसी तरह। और नीचे विभिन्न तकनीकों की श्रेणियाँ हैं। और इनमें से प्रत्येक के लिए,
00:08:07कभी-कभी दर्जनों या सैकड़ों विभिन्न तकनीकें होती हैं। यह MITRE का सिर्फ़ शीर्ष स्तर है,
00:08:18जो एक ऐसा संगठन है जिसे अमेरिकी सरकार इस अत्यधिक जटिल चार्ट को बनाने के लिए भुगतान करती है,
00:08:30ताकि इन सभी चीजों को वर्गीकृत किया जा सके ताकि हम सुरक्षा समुदाय में विभिन्न खतरे वाले अभिनेताओं को ट्रैक कर सकें और जंगली में जो देखते हैं उसके बारे में बात करने के लिए एक मानक भाषा हो। तो हमारे पास हमारे प्यारे छोटे 'वॉल्ट ड्वेलर्स' हैं जिन्हें हम ये उपकरण देते हैं और कहते हैं,
00:09:09तो वाइब कोडिंग वे लोग होंगे जो पहली बार,
00:09:11विशेष रूप से उनके लिए बनाए गए नए उपकरणों के साथ इस तरह की क्षमता तक पहुँचने में सक्षम हैं। तो सबसे पहली चीज जो हमें करनी है वह यह है कि हमें मुद्दों की कुल श्रेणियों और जिस तरह से लोग इन उपकरणों का उपयोग कर रहे हैं,
00:09:23उन्हें अलग करना होगा। और मुझे लगता है कि हमें AI-असिस्टेड इंजीनियरिंग को वाइब कोडिंग कहना बंद करना होगा। शायद AI-असिस्टेड इंजीनियरिंग के लिए हम यहाँ एक बेहतर शब्द ढूंढ सकते हैं। लेकिन यह लोगों के ऑटो-कंप्लीटिंग,
00:09:34टैब-कंप्लीटिंग,
00:09:35और कर्सर से लेकर,
00:09:36आप जानते हैं,
00:09:37अब आपके पास एक पेशेवर इंजीनियर होगा जो पृष्ठभूमि में चार या पाँच अलग-अलग एजेंटों को विभिन्न काम करने के लिए भेजेगा जबकि वे वह काम करते हैं जो वे करना चाहते हैं। और भले ही वे एजेंट स्वायत्त रूप से काम कर रहे हों,
00:09:48फिर भी वे प्रभारी होते हैं और वे जानते हैं कि वे क्या चाहते हैं,
00:09:52इंजीनियर जानता है। यह अभी भी वाइब कोडिंग से बहुत अलग है। वाइब कोडर अक्सर,
00:09:56वे एक पूर्ण विकसित प्लेटफॉर्म पर निर्भर होते हैं,
00:09:58है ना?
00:09:59तो उन्हें एक ऐसे प्लेटफॉर्म की ज़रूरत होती है जो उनके लिए प्रभावी रूप से सब कुछ एंड-टू-एंड करे। वे चीजों को टुकड़ों-टुकड़ों में नहीं जोड़ रहे हैं। वे एक परिणाम का वर्णन कर रहे हैं। उनके पास एक परिणाम है जो वे चाहते हैं। वे इसे अंग्रेजी या किसी भी भाषा में कर सकते हैं जो वे बोलते हैं। वे इसे दृश्यमान रूप से कर रहे होंगे,
00:10:16है ना?
00:10:17तो ऐसे कई प्लेटफॉर्म हैं जो आपको GUIs और ऐसी चीजों के साथ इसे व्यवस्थित करने की अनुमति देते हैं। स्पष्ट रूप से V0 इसका एक बेहतरीन उदाहरण है। और इसलिए उनके पास एक परिणाम है जो वे चाहते हैं। वे आवश्यक रूप से यह नहीं बता रहे हैं कि वे वहाँ कैसे पहुँचने की कोशिश कर रहे हैं। वे अक्सर एक 'ग्रीन फील्ड' से शुरुआत करते हैं।
00:10:34तो उन्हें यह लाभ होता है कि वाइब कोडिंग प्लेटफॉर्म जो कुछ भी कर रहा है उसे किसी मौजूदा कोडबेस या किसी मौजूदा आर्किटेक्चर में फिट नहीं करना पड़ता,
00:10:43जो सुरक्षा के दृष्टिकोण से वास्तव में बहुत अच्छा है। हम उस पर एक पल में बात कर सकते हैं। लेकिन यह वाइब कोडिंग प्लेटफॉर्म को सुरक्षा के दृष्टिकोण से बहुत सारे लाभ देता है क्योंकि इसे किसी मौजूदा AWS या,
00:10:56भगवान न करे,
00:10:56सेल्फ-होस्टेड आर्किटेक्चर में फिट नहीं होना पड़ता।
00:11:00यहाँ नुकसान यह है कि उनके पास अपने दम पर आउटपुट को सुरक्षित करने की बहुत कम क्षमता होती है। तो यहीं पर आपको वे समस्याएँ मिलती हैं जिनके बारे में लोग ट्वीट करते हुए कहते हैं,
00:11:10'मुझे यह त्रुटि क्यों दिख रही है' या 'मेरे सारे बिटकॉइन कहाँ गए?' यदि आप X पर 'मेरे बिटकॉइन कहाँ गए' खोजते हैं,
00:11:17तो आपको बहुत सारे ट्वीट मिलते हैं,
00:11:19है ना?
00:11:19क्योंकि ऐसा होता है,
00:11:21मेरा मतलब है,
00:11:21आपको वह कई कारणों से मिलता है,
00:11:23लेकिन वाइब कोडिंग अब उन कारणों में से एक है जिसके लिए लोग ट्वीट करेंगे। क्योंकि उनके पास आउटपुट को देखने और फिर यह पता लगाने की क्षमता नहीं होती कि वह सुरक्षित है या नहीं। जबकि एक सॉफ्टवेयर इंजीनियर जो AI का उपयोग करके अपना काम बेहतर बना रहा है,
00:11:38वह एक पेशेवर है जो एक एजेंट की निगरानी कर रहा है।?
00:11:41और फिर,
00:11:42यह उतना ही सरल हो सकता है जितना कि मैंने एक फ़ंक्शन शुरू किया है और मैं चाहता हूँ कि आप उसे मेरे लिए पूरा करें। यह इतना भी हो सकता है कि मेरे पास यह बग है और मैं चाहता हूँ कि आप इस बग पर काम करें और इसे ठीक करें। और यह हो सकता है कि आप एक एजेंट को 30 मिनट के लिए अपने लिए काम करने के लिए भेज रहे हों। लेकिन अंत में,
00:11:58वे शायद एक ऐसे घटक का वर्णन कर रहे हैं जिसे वे चाहते हैं,
00:12:01जिसके लिए कहीं अधिक विशिष्ट अनुरोध है। और इसलिए उनके पास कहीं अधिक विशिष्टता होती है और वे उतना आउटपुट नहीं चाहते जितना कि 'यहाँ उन चरणों की परत है जो मैं चाहता हूँ'। और वे यह भी बता सकते हैं,
00:12:10'ठीक है,
00:12:11पहले मुझे एक योजना दो। आप योजना को संपादित करें और फिर आप योजना को एजेंट को वापस दें और उसे चरण-दर-चरण निष्पादित करने दें।' अब,
00:12:17इन लोगों के लिए नुकसान यह है कि आप अक्सर एक मौजूदा कोडबेस के साथ काम कर रहे होते हैं और फिर अक्सर आवश्यकताएँ,
00:12:23अनुपालन आवश्यकताएँ,
00:12:24आर्किटेक्चर आवश्यकताएँ होती हैं। यदि आप AI-असिस्टेड इंजीनियरिंग कर रहे हैं तो आप आमतौर पर 'ग्रीनफ़ील्ड' से शुरुआत नहीं कर रहे होते हैं। इसलिए यदि आप इस तरह के व्यक्ति हैं तो आपके लिए किसी प्रकार की सुरक्षा योजना के साथ आना उतना आसान नहीं है। लेकिन उम्मीद है कि आपके पास कुछ सुरक्षा कौशल होंगे और यदि आप इस व्यक्ति हैं तो आपके पास एक समर्पित सुरक्षा टीम भी हो सकती है जिस पर आप भरोसा कर सकते हैं। तो इन लोगों की बहुत अलग सुरक्षा आवश्यकताएँ हैं जिनमें हम उनकी मदद कर सकते हैं। उन्हें अपने समाधानों की ज़रूरत है। तो हम एक समूह के रूप में इन लोगों की मदद करने के लिए क्या समाधान कर सकते हैं,
00:12:53खासकर वे लोग जो AI कोडिंग प्लेटफॉर्म पर काम कर रहे हैं?
00:12:56तो वाइब कोडर्स को क्या चाहिए?
00:12:58तो पहली बात यह है कि उन्हें चीजें 'डिज़ाइन द्वारा सुरक्षित' चाहिए।
00:13:01तो जब हम 'डिज़ाइन द्वारा सुरक्षा' की बात करते हैं,
00:13:02तो हम अक्सर अंतिम उत्पाद की बात कर रहे होते हैं,
00:13:04है ना?
00:13:04यह अक्सर हम बात कर रहे होते हैं कि एक SaaS प्लेटफॉर्म में डिफ़ॉल्ट रूप से अच्छे प्रमाणीकरण विकल्प होने चाहिए कि सभी सेटिंग्स डिफ़ॉल्ट रूप से सुरक्षित होनी चाहिए और आपको जानबूझकर उन सुरक्षित सेटिंग्स को बंद करना होगा और इसी तरह। AI कोडिंग के दृष्टिकोण से,
00:13:18हम वास्तव में यह चाहते हैं कि वाइब कोडिंग सेटिंग,
00:13:20आर्किटेक्चर और कोड 'ओपिनियोनेटेड' हों। कि AI कोडिंग एजेंट की इस पर वास्तव में अच्छी राय होनी चाहिए कि ये वे घटक हैं जिनका आपको उपयोग करना चाहिए और इन्हें पहली बार में चीजों को सही ढंग से करने के लिए कैसे कॉन्फ़िगर किया जाना चाहिए। मैंने उस सुपरबेस उदाहरण या किसी भी प्रकार के डेटाबेस के बारे में बात की थी। इसे 'रोल लेवल सिक्योरिटी' पर एक राय होनी चाहिए।
00:13:39इसकी एक राय होनी चाहिए कि,
00:13:40ठीक है,
00:13:41डिफ़ॉल्ट रूप से,
00:13:42आपके उपयोगकर्ताओं के पास डेटा तक बहुत कम या कोई पहुँच नहीं होनी चाहिए और फिर हमें उन्हें आवश्यकतानुसार डेटा तक स्पष्ट रूप से पहुँच देनी चाहिए,
00:13:50है ना?
00:13:50हमारे पास सिर्फ़ एक बैकएंड डेटाबेस नहीं होना चाहिए जहाँ आप किसी भी चीज़ तक पहुँच प्राप्त कर सकें और फिर बाद में उसे ब्लॉक कर दें। इसकी इस बारे में एक मजबूत राय होनी चाहिए और फिर उपयोगकर्ता की ओर से वे निर्णय लेने चाहिए क्योंकि इस परिदृश्य में एक वाइब कोडर के लिए स्वयं वे निर्णय लेना असंभव है। इसे शायद यह भी पता लगाना चाहिए कि क्या कोई परियोजना जिसे करने के लिए कहा गया है,
00:14:14वह उसके दायरे से बाहर है जिसे वह करने में सहज महसूस करता है। ऐसे कई वाइब कोडिंग प्लेटफॉर्म हैं जहाँ आप उससे पूछ सकते हैं,
00:14:21'कृपया मेरे लिए एक मेडिकल रिकॉर्ड सिस्टम बनाओ' और वह ऐसा करेगा और फिर कहेगा,
00:14:26'यह लो। यह एक मेडिकल रिकॉर्ड सिस्टम है।' हमारे सीईओ,
00:14:29जैक केबल,
00:14:30जो यहाँ हैं,
00:14:30ने एक वाइब कोडिंग प्लेटफॉर्म पर ऐसा किया और उसने कहा,
00:14:34'यह आपका मेडिकल रिकॉर्ड सिस्टम है। यह HIPAA-अनुरूप है।' हाँ,
00:14:37तो खबर यह है। वह HIPAA-अनुरूप नहीं था।
00:14:40मुझे एक पेशेवर के रूप में,
00:14:42एक सार्वजनिक कंपनी के CSO के रूप में आपको बता दूं,
00:14:44वह सच नहीं था। सिर्फ़ यह कहने से कि कोई चीज़ HIPAA-अनुरूप है,
00:14:47वह जादुई रूप से HIPAA-अनुरूप नहीं बन जाती। यह ऐसे काम नहीं करता। और उसने इसे बताया। 'मुझे नहीं लगता कि यह HIPAA-अनुरूप है।' और मैंने कहा,
00:14:53'ओह नहीं,
00:14:54तुम सही हो। मुझे नहीं लगता कि यह है।' और उसने कुछ बदलाव किए। 'अब यह HIPAA-अनुरूप है।' फिर भी नहीं था,
00:14:59है ना?
00:14:59यह उस तरह की चीज़ है कि अगर मैं एक वाइब कोडिंग प्लेटफॉर्म बना रहा होता,
00:15:03अगर आप मुझसे एक मेडिकल रिकॉर्ड सिस्टम बनाने के लिए कहते,
00:15:05तो मैं शायद कहता,
00:15:06'नहीं,
00:15:07मैं ऐसा नहीं करने वाला।' यह एक बुरा विचार है। आप इसके लिए गलत जगह पर हैं,
00:15:10सर। उसी तरह,
00:15:11'कृपया मेरे बिटकॉइन को स्टोर करने के लिए एक सिस्टम बनाओ।' मैं कहूंगा,
00:15:14'नहीं,
00:15:15मैं ऐसा नहीं करने वाला।' यह एक अच्छा विचार नहीं है। मैं आपके लिए बिटकॉइन स्टोर नहीं करने वाला। वह चोरी हो जाएगा। वह बिटकॉइन सीधे उत्तर कोरिया जाएगा और रॉकेट खरीदने के लिए इस्तेमाल किया जाएगा। आपको अपने बिटकॉइन के साथ कुछ और करना चाहिए।
00:15:26वाइब कोडिंग प्लेटफॉर्म को अपनी सीमाएँ पता होनी चाहिए। और बीच में कुछ ऐसा होना चाहिए कि यदि आप उससे लोगों की व्यक्तिगत जानकारी स्टोर करने जैसा कुछ करने के लिए कहते हैं,
00:15:35तो वह आपको ऐसा करने की अनुमति देगा,
00:15:37लेकिन यह कई सुरक्षा सुविधाओं को सक्रिय करेगा और यदि संभव हो,
00:15:41तो सुरक्षा एजेंटों को भी शामिल करेगा,
00:15:43ठीक वैसे ही जैसे कई वाइब कोडिंग प्लेटफॉर्म पर होता है। यदि आप डेटा स्टोर करना चाहते हैं,
00:15:47तो वह कहेगा,
00:15:48'बहुत अच्छा,
00:15:49मुझे एक डेटाबेस सर्वर चाहिए।' यदि आप वीडियो चलाना चाहते हैं,
00:15:52तो वह कहता है,
00:15:53'ठीक है,
00:15:53मुझे एक वीडियो CDN चाहिए,
00:15:55' है ना?
00:15:55तो बीच में कुछ चीजें हैं,
00:15:57लेकिन कुछ चीजें ऐसी होनी चाहिए जैसे,
00:15:59'हाँ,
00:15:59यह एक बुरा विचार है। मैं आपके लिए ऐसा नहीं करने वाला।' और अंत में,
00:16:03उन्हें जिसकी ज़रूरत है वह यह है कि उन्हें ऐसे भागीदारों के साथ जुड़ाव होना चाहिए जो इसे कोड समीक्षा करने की अनुमति देंगे क्योंकि एक वाइब कोडर यह नहीं कहेगा,
00:16:11'ओह,
00:16:12मेरा पहले से ही एक सॉफ्टवेयर समीक्षा उपकरण के साथ संबंध है।'
00:16:15वे बस ऐसी चीज़ नहीं लाएंगे। तो आप चाहते हैं कि वह आधार उत्पाद में ही निर्मित हो,
00:16:20ठीक वैसे ही जैसे आपका डेटाबेस पार्टनर या ऐसी किसी चीज़ के साथ वह आधार संबंध होता है।
00:16:25सुरक्षा पितृसत्ता या मातृसत्ता,
00:16:27यदि आप चाहें,
00:16:28तो ठीक है। उन उपयोगकर्ताओं की ओर से निर्णय लेना ठीक है जिनके पास ऐसा करने की क्षमता नहीं है। मुझे लगता है कि यह कुछ ऐसा है जिसे सुरक्षा उद्योग करने से डरता रहा है क्योंकि हम सुरक्षाकर्मी के रूप में दूसरों की ओर से लिए गए निर्णयों के लिए जिम्मेदार ठहराए जाने से डरते हैं। सुरक्षाकर्मियों के साथ यह एक आम समस्या है कि हम क्या करेंगे कि हम एक तंग रस्सी बनाएंगे। और अगर कोई तंग रस्सी से गिर जाता है,
00:16:50तो हम कहते हैं,
00:16:51'ओह,
00:16:51धिक्कार है,
00:16:52माफ़ करना। मुझे लगता है कि तुम्हें तंग रस्सियों पर चलना नहीं आता। यह तुम्हारी गलती है,
00:16:57है ना?' यह ठीक नहीं है। हमारे लिए बेहतर है कि हम लोगों को उस खाई को पार करने का एक सुरक्षित तरीका देने के लिए अपना सर्वश्रेष्ठ प्रयास करें और यदि लोग गिर जाते हैं तो कुछ जिम्मेदारी लें। हमारे लिए चीजों को इतना मुश्किल बनाना ठीक नहीं है। इन मामलों में थोड़ा पितृसत्तात्मक होना और निर्णय लेना ठीक है,
00:17:13खासकर यदि आप ऐसे उत्पाद बना रहे हैं जिनके बारे में आप जानते हैं कि उनका उपयोग गैर-विशेषज्ञों द्वारा किया जाएगा। अब,
00:17:20क्या होगा यदि कोई विशेषज्ञ है?
00:17:21क्या होगा यदि आप एक ऐसा उत्पाद बना रहे हैं जिसके विशेषज्ञ आप हैं?
00:17:25तो यह क्लाउड कोड या कर्सर या ऐसा उत्पाद जैसा होगा जिससे आप लोगों से अधिक उम्मीद कर रहे हैं। अब,
00:17:30क्लाउड कोड एक दिलचस्प चुनौती है क्योंकि इसका उपयोग सामान्य लोगों और यहाँ के लोगों दोनों द्वारा किया जाता है,
00:17:36है ना?
00:17:37और इसलिए,
00:17:37यदि आप एंथ्रोपिक के लिए एक उत्पाद प्रबंधक हैं,
00:17:40तो यह अधिक ऐसा हो जाता है कि क्या हम एक मोड,
00:17:42एक वाइब कोड मोड चाहते हैं?
00:17:44क्या आप यह पता लगाना चाहते हैं कि क्या आप पहले से एक टेस्ट देना चाहते हैं??
00:17:48मुझे ठीक से नहीं पता कि आप इसे कैसे संलग्न करना चाहते हैं,
00:17:51लेकिन मुझे लगता है कि एक उत्पाद प्रबंधक के दृष्टिकोण से एक दिलचस्प चुनौती है। किस बिंदु पर आप एक वाइब कोड मोड में प्रवेश करते हैं जहाँ आप वास्तव में उपयोगकर्ता की ओर से काम कर रहे होते हैं बनाम उन्हें अधिक क्षमताएँ दे रहे होते हैं?
00:18:01तो,
00:18:02निश्चित रूप से कर्सर का उपयोग शायद केवल पेशेवर इंजीनियरों द्वारा ही किया जाना चाहिए।
00:18:05तो,
00:18:06पेशेवर इंजीनियरों को भी 'डिज़ाइन द्वारा सुरक्षित' की आवश्यकता है। अब,
00:18:11यह एक अलग तरीका है,
00:18:13है ना?
00:18:14जैसे यदि आप एक पेशेवर इंजीनियर के लिए 'डिज़ाइन द्वारा सुरक्षित' कर रहे हैं,
00:18:20तो आप शायद व्यापक वास्तुशिल्प निर्णय जैसी चीजें नहीं ले रहे होंगे। लेकिन आप जो कर रहे हैं वह यह है कि आप वे गलतियाँ नहीं कर रहे हैं जिनके बारे में हमने अभी GPT-5 में 20% समय और ग्रोक स्थिति में 60% समय या कुछ और में बात की थी जहाँ आप सिर्फ़ मूर्खतापूर्ण सुरक्षा गलतियाँ कर रहे हैं,
00:18:43है ना?
00:18:43आपको ऐसा कोड बनाना और लिखना होगा जिसमें डिफ़ॉल्ट रूप से कोई खामी न हो। और आपको कम से कम उपयोगकर्ता को संकेत देना चाहिए और उपयोगकर्ता से पूछना चाहिए,
00:18:56मुझे लगता है कि आप सभी ने ऐसा होते देखा होगा जहाँ यदि आप एक कोडिंग एजेंट से पूछते हैं,
00:19:26आप सोचते हैं कि हमारी आवश्यकताएँ क्या हैं। आप बहुत सारा उत्पाद प्रबंधन करते हैं। कुछ अपवाद हैं,
00:19:43लेकिन अधिकांशतः,
00:19:45कोडिंग एजेंट बस कोड लिखना शुरू करना चाहते हैं। वे यही जानते हैं। वे तुरंत इसमें कूद पड़ते हैं। और इसलिए मुझे लगता है कि यह अच्छा होगा कि ये चीजें धीमी हों और योजना के चरण हों और
00:20:16और फिर हमें AI सुरक्षा एजेंट रखने की क्षमता की भी आवश्यकता है। एक मज़ेदार बात जो हो रही है वह यह है कि यदि आप एक छोटे स्टार्टअप में काम करते हैं या आप 22 साल के हैं,
00:20:25तो आपको लगता है कि सॉफ्टवेयर लिखने वाले एकमात्र लोग सॉफ्टवेयर इंजीनियर हैं,
00:20:30लेकिन मैं इस कमरे में बहुत सारे पेशेवरों को देखता हूँ।
00:20:33जब आप एक पेशेवर होते हैं,
00:20:34और खासकर यदि आप किसी ऐसी कंपनी में काम करते हैं जो विनियमित है या कुछ महत्वपूर्ण करती है जैसे हवाई जहाज बनाना या कुछ और,
00:20:42तो आपको एहसास होता है कि सॉफ्टवेयर इंजीनियर होते हैं,
00:20:45लेकिन सुरक्षा इंजीनियर भी होते हैं,
00:20:47और सुरक्षा आर्किटेक्ट भी होते हैं,
00:20:49और गोपनीयता इंजीनियर भी होते हैं,
00:20:51और अनुपालन लोग भी होते हैं,
00:20:53और वकील भी होते हैं। मुझे पता है। हम इन सभी लोगों के बहुत बड़े प्रशंसक नहीं हैं,
00:20:58लेकिन उनके वास्तव में महत्वपूर्ण काम होते हैं। इन लोगों के अस्तित्व का एक कारण है,
00:21:03और एक कारण है कि वे कोडबेस को प्रभावित करते हैं,
00:21:06क्योंकि सॉफ्टवेयर के साथ बुरी चीजें हुई हैं,
00:21:09और इसलिए हमने सॉफ्टवेयर क्यों लिखते हैं और हमें अनुपालन नियम क्यों रखने पड़ते हैं और हमारे पास उत्पाद प्रबंधन क्यों है,
00:21:16हमारे पास गोपनीयता कानून क्यों हैं,
00:21:19इस बारे में सभी प्रकार के नियम बनाए हैं। हमने जो किया है वह यह है कि हमने सॉफ्टवेयर इंजीनियर के काम को लिया है,
00:21:25और हमने 40 घंटे के कार्यसप्ताह को लिया है,
00:21:28और हमने इसे 20 मिनट के GPU समय में बदल दिया है। खैर,
00:21:31वे सभी अन्य लोग अभी भी 40 घंटे के कार्यसप्ताह काम करते हैं और कॉन्फ्रेंस रूम में एक-दूसरे के साथ बातचीत करते हैं न कि MCP पर और एक सॉफ्टवेयर इंजीनियर की तरह उसी गति से काम करने में सक्षम नहीं हैं जिसके पास पृष्ठभूमि में 10 एजेंट कोड उगल रहे हैं। हमें यह भी करने की ज़रूरत है कि हमें ऐसे तंत्र बनाने होंगे ताकि अन्य सभी लोग जिनके पास अभी भी महत्वपूर्ण काम हैं,
00:21:54वे AI कोडिंग युग में एक सॉफ्टवेयर इंजीनियर जितने कुशल हो सकें,
00:21:57क्योंकि अंत में,
00:21:58कंपनियों में अभी भी ऐसे इंसान हैं जिनकी वास्तविक जिम्मेदारियाँ हैं। वास्तव में,
00:22:03इनमें से कुछ लोग जेल जा सकते हैं यदि सॉफ्टवेयर इंजीनियर अपने कोडिंग एजेंटों के साथ खराब काम करते हैं। मैं तीन बार एक सार्वजनिक कंपनी का CISO रहा हूँ। वह एक भयानक काम है,
00:22:14एक मजाक की तरह जो मुझे कहना पसंद है,
00:22:16और यह सच नहीं है,
00:22:17लेकिन यह थोड़ा सच लगता है कि CISO शब्द ग्रीक में 'वह बकरी जिसे पहले बलि चढ़ाया जाता है' के लिए है,
00:22:23है ना?
00:22:24लेकिन आजकल एक CISO होना वास्तव में भयानक है,
00:22:26क्योंकि आपको उन सैकड़ों या हजारों या दसियों हजारों अन्य लोगों के लिए दोषी ठहराया जा रहा है जो कुछ ऐसा कर रहे होंगे जिस पर आपका वास्तव में नियंत्रण नहीं है या जिसे आप वास्तव में समझ भी नहीं सकते,
00:22:38और यह तब भी सच था जब उन सभी लोगों के पास आपके लिए कोड लिखने वाले पाँच पृष्ठभूमि एजेंट नहीं थे। और इसलिए हमें ऐसे तरीके खोजने होंगे जिससे ये इंसान जिनके पास अनुपालन,
00:22:49गोपनीयता,
00:22:49सुरक्षा और सुरक्षा के आसपास अविश्वसनीय रूप से महत्वपूर्ण काम हैं,
00:22:53वे यह समझने और कुछ विचार रखने में सक्षम हों कि भौतिक दुनिया में जिन नियमों का उन्हें पालन करना है,
00:22:59वे अभी भी लागू किए जा रहे हैं। तो कॉरिडोर में,
00:23:02हम मानते हैं कि शुरुआत करने के लिए दो क्षेत्र हैं,
00:23:05और भी होंगे,
00:23:06लेकिन कम से कम दो क्षेत्र हैं जिनसे हमें शुरुआत करनी होगी जहाँ हमें AI कोडिंग को एंटरप्राइज़-तैयार बनाने के लिए कुछ मानकीकरण की आवश्यकता है। पहला,
00:23:15टेलीमेट्री,
00:23:16और फिर सुरक्षा वर्कफ़्लो में। तो टेलीमेट्री पक्ष पर,
00:23:19हम इस बारे में एक ब्लॉग पोस्ट लिखने जा रहे हैं। यह शायद अगले सप्ताह आएगा। हम सोचते हैं कि सुरक्षा एजेंटों को वह सब कुछ बाहर निकालना चाहिए जो वे कर रहे हैं,
00:23:29उपयोगकर्ताओं के साथ उनकी सभी बातचीत,
00:23:31कि यह उस तरह की चीज़ है कि यदि आप एक उद्यम हैं,
00:23:34तो आपको एक केंद्रीय स्थान पर यह देखने में सक्षम होना चाहिए कि लोग अपने एजेंटों के साथ क्या कर रहे हैं,
00:23:40कौन किसके रूप में लॉग इन है,
00:23:42प्रॉम्प्ट्स में पूरी दृश्यता और एजेंट किन उपकरणों को बुला रहा है,
00:23:46और फिर विशेष रूप से किस कोड को जेनरेट किया जा रहा है। हमारा उत्पाद वास्तव में हमें यह दृश्यता प्रदान करता है,
00:23:52लेकिन हमें यह सभी कोडिंग एजेंटों के काम करने के तरीके को रिवर्स इंजीनियर करके करना पड़ता है। यह थोड़ा हैकी है। इसमें ज़्यादा मज़ा नहीं आता। यह कहीं बेहतर होगा यदि कोडिंग एजेंट इसका समर्थन करता।
00:24:07तो यहाँ तक सबसे आगे जाने वाली कंपनी एंथ्रोपिक है। क्लाउड कोड टेलीमेट्री पर आधारित एक मानक का समर्थन करता है,
00:24:15इसलिए यह एक अच्छा खुला मानक है। यह काफी साफ-सुथरा है। उनके वर्तमान शिपिंग संस्करण में,
00:24:22इसमें उनकी ज़रूरत का 70% है। भविष्य के संस्करण में,
00:24:26ऐसा लगता है कि वे हमारी सभी ज़रूरतों का 90% शिप करेंगे। तो यह बहुत अच्छा होगा यदि पहले,
00:24:33एंथ्रोपिक सब कुछ शिप करता है,
00:24:35और फिर दूसरा,
00:24:36यदि बाकी सभी उनकी नकल करते हैं। लेकिन यह वास्तव में अच्छा होगा यदि सभी कोडिंग एजेंटों के पास यह जानने की क्षमता होती कि हर कोई क्या कर रहा है। वह सिर्फ़ पहला कदम है। यह किसी भी सुरक्षा समाधान का पहला कदम है,
00:24:52बस यह जानना कि क्या हो रहा है। और यह वास्तव में अच्छा होगा यदि इसे MDM,
00:24:58डिवाइस प्रबंधन द्वारा कॉन्फ़िगर किया जा सके। तो एक एंटरप्राइज़ CISO के रूप में,
00:25:04आप अपने MDM प्रदाता का उपयोग करके हर किसी की मशीन पर बस यह भेज सकते हैं,
00:25:10खैर,
00:25:11हमें सुरक्षा एजेंटों और सॉफ्टवेयर एजेंटों के लिए एक-दूसरे से बात करने के मानक तरीकों की आवश्यकता है ताकि वे उन चीजों को दोहरा सकें जो इंसान पहले करते थे। और इसे कुछ हद तक नियतात्मक होना चाहिए।
00:25:20तो फिर,
00:25:23हम अभी अपने उत्पाद के साथ ऐसा करते हैं,
00:25:37लेकिन हमें इसे किसी तरह उसमें धकेलना पड़ा। और यह गैर-नियतात्मक है। यह इस बात पर आधारित है कि LM कैसा महसूस कर रहा है। और यह अच्छा होगा कि यदि आप जारी करते हैं,
00:26:33यदि आप एक कोडिंग एजेंट से पृष्ठभूमि में 30 मिनट के लिए कुछ करने के लिए कहते हैं,
00:27:02तो वह आपके सुरक्षा एजेंट से बात करता है और कहता है,
00:27:22वह ठीक है। हम इस तरह का काम करने वाले बहुत से लोगों द्वारा इस क्षेत्र के 'क्लीनेक्स' बनकर खुश हैं। लेकिन मुझे लगता है कि यह कोडिंग एजेंटों और सुरक्षा एजेंटों के बीच यहाँ एक संबंध होने का भविष्य होने वाला है,
00:27:34ठीक वैसे ही जैसे सुरक्षा इंजीनियरों और सॉफ्टवेयर इंजीनियरों के बीच आजकल पूरी तरह से मैत्रीपूर्ण और बिल्कुल भी प्रतिस्पर्धी या कठिन संबंध नहीं होते हैं।
00:27:42हमने आज इसे गर्व से GA में जारी किया,
00:27:45और हमने इसे वर्सेल के AI एजेंट मार्केटप्लेस पर शिप किया।
00:27:48तो हम ठीक शीर्ष पर हैं। आप हमें देखने के लिए corridor.dev पर जा सकते हैं या हमें वर्सेल के मार्केटप्लेस पर ढूंढ सकते हैं। हम वहाँ एकमात्र सुरक्षा उत्पाद हैं। तो हम वर्सेल को उनकी साझेदारी के लिए बहुत-बहुत धन्यवाद देते हैं और आज मुझे यह समय देने के लिए उन्हें धन्यवाद देते हैं। यदि आप हमसे बात करना चाहते हैं,
00:28:05तो जैक और मैं,
00:28:06हमारे सीईओ और सह-संस्थापक,
00:28:07उस बारे में बात करने के लिए कॉरिडोर में होंगे। वैसे भी,
00:28:11मुझे लगता है कि हम यहाँ मिलकर बहुत कुछ कर सकते हैं ताकि AI कोडिंग एजेंटों की इस महाशक्ति को लाखों लोगों तक पहुँचाया जा सके और साथ ही उन्हें उन खलनायकों से भी बचाया जा सके जो वहाँ मौजूद हैं। वैसे भी,
00:28:22मैं एलेक्स हूँ,
00:28:22alex@corridor.dev। यदि आप कभी बात करना चाहते हैं,
00:28:25तो मैं कॉरिडोर में मिलूंगा या मुझे एक ईमेल भेजें। बहुत-बहुत धन्यवाद। वर्सेल का बहुत-बहुत धन्यवाद। आपका दिन शुभ हो।