00:00:00Gracias por venir.
00:00:01Gracias por quedarse.
00:00:02Mi nombre es Alex.
00:00:03Trabajo para una pequeña empresa llamada Corridor.
00:00:07Estoy aquí para hablar un poco sobre la
00:00:10"vibe coding"
00:00:11y algunas cosas fascinantes que están sucediendo desde una perspectiva de seguridad.
00:00:16Primero, soy un gran fan de usar la IA para generar código.
00:00:20Creo que es una oportunidad increíble para que la gente utilice los ordenadores de una manera nunca antes vista.
00:00:28Hay muchos desarrolladores de software profesionales en la sala.
00:00:33Aquellos de nosotros que crecimos escribiendo código,
00:00:36usando ordenadores desde la línea de comandos o programando desde una edad temprana,
00:00:42no entendemos realmente lo que esto significa para la gente normal.
00:00:47Pero por primera vez,
00:00:48la gente común podrá utilizar los ordenadores como realmente deberían haber estado disponibles para ellos durante mucho tiempo.
00:00:57Programar es un superpoder.
00:00:59Poder pedir a los ordenadores que hagan cosas sin tener que comprar software,
00:01:04usar código abierto o pedir a otros que escriban código por ti,
00:01:09eso es un superpoder..
00:01:11La "vibe coding" está llevando eso a millones de personas.
00:01:15Es algo increíble.
00:01:16Deberíamos estar muy contentos de estar al principio,
00:01:19al principio mismo de esta revolución que va a traer accesibilidad a todo el mundo.
00:01:24También es un arma de doble filo asombrosa.
00:01:27Y "arma de doble filo" es probablemente un eufemismo.
00:01:30Es como una bazuca que les estamos dando a todas estas personas..
00:01:34Hay un ejemplo tras otro de cosas malas que les están pasando a la gente normal cuando usan
00:01:39"vibe coding"
00:01:40para crear aplicaciones.
00:01:42Algunas son cosas divertidas y pequeñas,
00:01:44como el calendario de la liga infantil de sus hijos,
00:01:47o cosas en las que ponen sus datos personales.
00:01:50Algunas personas están usando "vibe coding" para sistemas de registros médicos o sistemas de Bitcoin,
00:01:56o cosas que contienen datos personales,
00:01:59o que toman números de tarjetas de crédito o almacenan licencias de conducir.
00:02:04Hay muchísimos ejemplos de personas que usan aplicaciones de
00:02:07"vibe coding"
00:02:08para crear cosas importantes.
00:02:10Quizás algunas plataformas competidoras que no mencionaré,
00:02:13pero cuyos nombres son muy visibles y obvios detrás de mí,
00:02:17están empeorando esto porque usan configuraciones predeterminadas muy deficientes y no facilitan las cosas.
00:02:24Y les facilitan mucho el uso de configuraciones predeterminadas realmente malas para cosas como Superbase.
00:02:30Lo cual no es culpa de Superbase..
00:02:33Es solo que la forma en que la plataforma de "vibe coding",
00:02:37y algunas otras plataformas,
00:02:39no configuran estas cosas de forma segura por defecto.
00:02:42Esto no es bueno.
00:02:43Y ni siquiera estamos hablando solo de "vibe coding" directa en una plataforma,
00:02:49sino de profesionales que la utilizan.
00:02:51De hecho,
00:02:52tenemos buenos datos académicos empíricos sobre esto.
00:02:55Hay un excelente artículo que recomiendo leer,
00:02:58llamado Backbench Academic Group.
00:03:00Crearon un montón de indicaciones que,
00:03:03pensaron,
00:03:03podrían generar código de backend con vulnerabilidades de seguridad para agentes de codificación.
00:03:10Luego probaron estas indicaciones con varias herramientas de codificación y LLM para ver.
00:03:16Y luego probaron,
00:03:17primero,
00:03:17si el código generado era correcto.
00:03:20Y segundo, si tenía fallos de seguridad.
00:03:22Y,
00:03:23a su favor,
00:03:23siguen actualizando esto a medida que salen nuevos modelos y lo publican..
00:03:29Pueden echarle un vistazo.
00:03:31Y como era de esperar,
00:03:32los LLM,
00:03:33de hecho,
00:03:34cometen muchos errores,
00:03:35pero también introducen muchos fallos.
00:03:37Ahora, esto está yendo en la dirección correcta..
00:03:41Y no tienen que tomar fotos de esto.
00:03:43Pueden ir a backspends.com y obtener una versión mucho más fácil de leer.
00:03:47Además, todo su código es de código abierto.
00:03:49Así que pueden recrearlo ustedes mismos..
00:03:51Así que, primero, esto va en la dirección correcta, ¿verdad?
00:03:55Si miramos incluso dentro de una familia de productos,
00:03:58como la familia de productos de OpenAI,
00:04:01va en la dirección correcta.
00:04:02GPT-5 lo está haciendo mucho mejor que GPT-4.1,
00:04:05GPT-4.0,
00:04:06y así.
00:04:06Menos vulnerabilidades usando las mismas indicaciones..
00:04:10Ahora,
00:04:10uno de los problemas aquí es que estas indicaciones y las pruebas son ahora de código abierto.
00:04:14Así que podría haber un problema de sobreajuste para las pruebas.
00:04:17Aunque hemos visto lo mismo,
00:04:19lo que hemos hecho en nuestra empresa es traer esto internamente,
00:04:22y ahora estamos usando algunas de nuestras propias pruebas.
00:04:25Y vemos los mismos resultados.
00:04:27En nuestras propias pruebas,
00:04:28de hecho,
00:04:29el ganador es Claude Sonnet 4.5,
00:04:31que no han lanzado públicamente.
00:04:32Pero Anthropic ha tomado la delantera,
00:04:34solo un poquito mejor que GPT-5.
00:04:36Pero de todos modos, va en la dirección correcta..
00:04:39Pero aún así,
00:04:40incluso en la cima,
00:04:41de las cosas que pasan sus pruebas de regresión del código realmente correcto,
00:04:46si el 20% de ellas tienen algún tipo de vulnerabilidad de seguridad,
00:04:50eso no es fantástico.
00:04:52Eso no es lo que yo consideraría,
00:04:53como profesional de la seguridad,
00:04:55lo que realmente querría ver.
00:04:56Soy un gran fan de la serie Fallout.
00:04:59La guerra nunca cambia, ¿verdad?
00:05:01Y a mí me parece un poco que lo que estamos haciendo aquí es que a estos "vibe coders",
00:05:06especialmente a los que no han escrito software profesionalmente antes,
00:05:11les estamos dando como el arma básica.
00:05:13Les estamos dando como una honda y una mochila.
00:05:17Y luego los estamos empujando a un mundo lleno de mutantes con palos afilados.
00:05:22Y se los comen inmediatamente, ¿verdad?
00:05:24Porque no es que los malos estén inventando su código desde cero.
00:05:28Durante más de 20 años,
00:05:30hemos tenido atacantes profesionales descubriendo cómo irrumpir en aplicaciones web,
00:05:35cómo irrumpir en aplicaciones móviles,
00:05:38cómo hacer ingeniería inversa de estas cosas,
00:05:41y especialmente cómo construir modelos financieros para hacer cosas maliciosas.
00:05:46Y así tenemos una generación completamente nueva de personas que ahora tienen,
00:05:51milagrosamente,
00:05:52acceso a usar ordenadores de una nueva manera,
00:05:55enfrentándose a profesionales cuyo único trabajo es monetizar los errores en el software.
00:06:01Esto se refleja en la industria de la seguridad en las formas en que calificamos y cuantificamos estas vulnerabilidades.
00:06:09Uno de esos marcos que usamos se llama el marco MITRE ATT&CK.
00:06:13En seguridad,
00:06:13robamos esta idea de la cadena de eliminación del ejército,
00:06:17pero es básicamente la idea de los pasos que hay que dar para tener una intrusión efectiva como atacante.
00:06:24Esos son los pasos de izquierda a derecha: reconocimiento,
00:06:28desarrollo de recursos,
00:06:29acceso,
00:06:30ejecución,
00:06:30persistencia,
00:06:31y similares.
00:06:32Y hacia abajo están las diferentes categorías de técnicas.
00:06:36Y para cada una de estas,
00:06:37a veces hay docenas o cientos de técnicas diferentes para cada categoría.
00:06:42Esto es solo el nivel superior de MITRE,
00:06:45que es una organización a la que el gobierno de EE.
00:06:48UU.
00:06:49paga para crear este gráfico excesivamente complicado,
00:06:52para categorizar todas estas cosas y poder rastrear a diferentes actores de amenazas en la comunidad de seguridad y tener un lenguaje estándar para hablar sobre lo que vemos en la naturaleza.
00:07:05Así que tenemos a nuestros dulces pequeños moradores de la bóveda a quienes les damos estas herramientas y les decimos: "Oye,
00:07:13buena suerte".
00:07:14Y a lo que salen es a un mundo lleno de malos que hacen todo esto.
00:07:18Si van a attack.mitre.org,
00:07:20verán la lista de cadenas de exploits conocidas,
00:07:23cosas conocidas que han sucedido en la naturaleza de diferentes grupos de amenazas,
00:07:28los AP-228 y 29,
00:07:29UNC-3886.
00:07:30Así que esto es como el Ministerio de Seguridad del Estado de la República Popular China o el SVR ruso o una lista completa de grupos profesionales con motivaciones financieras como Lapsys y otros.
00:07:42Y luego aquí están las técnicas que han utilizado para atacar a diferentes víctimas.
00:07:48La idea de que los
00:07:49"vibe coders"
00:07:50van a entender todo esto es simplemente ridícula.
00:07:53Pero esa ha sido,
00:07:54en efecto,
00:07:55la suposición hasta este momento.
00:07:57Entonces, ¿qué podemos hacer mejor.
00:07:59Bueno,
00:08:00lo primero que podemos hacer es empezar a,
00:08:03ya saben,
00:08:03cuando queremos resolver problemas como ingenieros,
00:08:06empezamos a dividir el problema en piezas,
00:08:09¿verdad.
00:08:10Y la verdad es que tenemos dos categorías de problemas totalmente diferentes aquí?
00:08:15La primera es que tenemos que dividir el uso de estas herramientas en dos categorías principales?
00:08:21La primera es la "vibe coding" real, ¿verdad.
00:08:24Cuando hablo de "vibe coding",
00:08:26me refiero a personas que no son ingenieros de software profesionales,
00:08:31gente normal,
00:08:32¿verdad.
00:08:32Así que personas que tienen pasatiempos normales?
00:08:35Así que esto serían personas que no están en esta sala,
00:08:39¿verdad?
00:08:39Que hacen cosas como no venir a esta conferencia un jueves por la tarde,
00:08:44tienen cosas mejores que hacer,
00:08:46sin ofender,
00:08:47que estar en Chip AI.
00:08:48Y esto está bien?
00:08:49Es genial estar aquí.
00:08:51Yo estoy aquí.
00:08:52Pero, si estás aquí, no eres un "vibe coder", ¿verdad.
00:08:55Ya sabes,
00:08:56nosotros somos personas que trabajamos,
00:08:58cuando usamos IA,
00:08:59probablemente estamos haciendo ingeniería asistida por IA,
00:09:03¿verdad?.
00:09:09Así que la "vibe coding" serían personas que,
00:09:11por primera vez,
00:09:12pueden acceder a este tipo de capacidad con nuevas herramientas creadas solo para ellos.
00:09:17Entonces,
00:09:18lo primero que tenemos que hacer es separar las clases de problemas y la forma en que la gente usa estas herramientas.
00:09:24Y creo que tenemos que dejar de llamar
00:09:27"vibe coding"
00:09:27a la ingeniería asistida por IA.
00:09:29Quizás la ingeniería asistida por IA es,
00:09:31podemos encontrar un término mejor aquí.
00:09:34Pero esto abarca desde personas que autocompletan,
00:09:37completan con tabulador y cursor,
00:09:38hasta,
00:09:39ya saben,
00:09:39ahora un ingeniero profesional despachará cuatro o cinco agentes diferentes en segundo plano para hacer diferentes trabajos mientras él hace lo que quiere.
00:09:48Y aunque esos agentes actúen de forma autónoma,
00:09:51el ingeniero sigue al mando y sabe lo que quiere.
00:09:54Eso sigue siendo muy diferente de la "vibe coding".
00:09:57El "vibe coder" a menudo se basa en una plataforma completa,
00:10:00¿verdad?
00:10:01Necesitan una plataforma que haga prácticamente todo por ellos de principio a fin.
00:10:05No están uniendo las cosas pieza por pieza.
00:10:08Están describiendo un resultado.
00:10:09Tienen un resultado que quieren.
00:10:11Pueden hacerlo en inglés o en el idioma que hablen.
00:10:14Podrían estar haciéndolo de forma visible, ¿verdad?
00:10:17Hay un montón de estas plataformas que te permiten diseñarlo con interfaces gráficas y demás.
00:10:22Obviamente, V0 es un gran ejemplo de ello.
00:10:25Y así tienen un resultado que quieren.
00:10:27No están necesariamente,
00:10:28es poco probable que describan cómo intentan llegar allí.
00:10:31A menudo empiezan de cero..
00:10:34Así que tienen el beneficio de no tener que encajar lo que sea que la plataforma de "vibe coding" esté haciendo en algún tipo de base de código existente o alguna arquitectura existente,
00:10:43lo cual desde una perspectiva de seguridad es realmente genial.
00:10:46Podemos hablar de eso en un segundo.
00:10:48Pero esto le da muchos beneficios desde una perspectiva de seguridad a la plataforma de "vibe coding" en el sentido de que no tiene que encajar en algún tipo de AWS existente o,
00:10:57Dios no lo quiera,
00:10:58una arquitectura autoalojada..
00:11:00La desventaja aquí es que tienen poca capacidad por sí mismos para asegurar el resultado.
00:11:05Así que aquí es donde terminas con esos problemas sobre los que vemos a la gente tuitear,
00:11:11como: ¿por qué veo este error o adónde fue todo mi Bitcoin?
00:11:14Que si buscas en X "adónde fue todo mi Bitcoin",
00:11:17obtienes muchos tuits,
00:11:18¿verdad?
00:11:19Porque resulta que,
00:11:20quiero decir,
00:11:21lo obtienes por muchas razones,
00:11:23pero la "vibe coding" resulta ser una de las razones por las que la gente tuitea eso ahora.
00:11:28Porque no tienen la capacidad de mirar el resultado y luego averiguar si es seguro o no.
00:11:33Mientras que un ingeniero de software que usa IA para mejorar su trabajo,
00:11:38es un profesional que supervisa a un agente..
00:11:41Y de nuevo,
00:11:42eso podría ser tan simple como: "He empezado una función y quiero que la termines por mí".
00:11:46Podría ser tanto como:
00:11:47"Tengo este error y quiero que trabajes en él y lo arregles"
00:11:50.
00:11:51Y eso podría ser que estás enviando un agente para que trabaje para ti durante 30 minutos.
00:11:55Pero al final,
00:11:56probablemente están describiendo un componente que quieren con una solicitud mucho más específica.
00:12:01Y así tienen mucha más especificidad y no tanto el resultado que quieren,
00:12:04sino más bien: "Aquí está la capa de pasos que quiero".
00:12:07Y también pueden establecer, "vale, primero dame un plan".
00:12:10Tú editas el plan y luego se lo devuelves al agente y dejas que lo ejecute paso a paso.
00:12:14Ahora,
00:12:15la desventaja para estas personas es que a menudo trabajas con una base de código existente y,
00:12:20a menudo,
00:12:20con requisitos,
00:12:21requisitos de cumplimiento,
00:12:22requisitos de arquitectura.
00:12:23Normalmente no empiezas de cero si estás haciendo ingeniería asistida por IA.
00:12:27Así que no es tan fácil para ti simplemente idear algún tipo de plan de seguridad si eres este tipo de persona.
00:12:33Pero es de esperar que tengas algunas habilidades de seguridad e incluso podrías tener un equipo de seguridad dedicado en el que puedas confiar si eres esta persona.
00:12:41Así que estas personas tienen requisitos de seguridad muy diferentes con los que podemos ayudarles.
00:12:46Necesitan sus propias soluciones.
00:12:47Entonces,
00:12:48¿cuáles son algunas soluciones que podemos hacer como grupo para ayudar a estas personas,
00:12:52especialmente a las que trabajan en plataformas de codificación de IA??
00:12:56Entonces, ¿qué necesitan los "vibe coders"?
00:12:58Lo primero es que las cosas sean seguras por diseño..
00:13:01Así que cuando hablamos de seguridad por diseño,
00:13:03a menudo nos referimos al producto final,
00:13:04¿verdad?
00:13:04A menudo hablamos de que una plataforma SaaS debería tener buenas opciones de autenticación por defecto,
00:13:09que todas las configuraciones deberían ser seguras por defecto y que hay que desactivar intencionadamente esas configuraciones seguras,
00:13:15y así.
00:13:16Desde la perspectiva de la codificación con IA,
00:13:18lo que realmente queremos es que la configuración de la "vibe coding",
00:13:21la arquitectura y el código tengan una opinión.
00:13:24Que el agente de codificación de IA tenga una opinión muy clara sobre cuáles son los componentes que se deben usar y cómo deben configurarse para hacer las cosas correctamente la primera vez.
00:13:33Hablé de ese ejemplo de Superbase o de cualquier tipo de base de datos.
00:13:36Debería tener una opinión sobre la seguridad a nivel de rol..
00:13:39Debería tener una opinión sobre,
00:13:40bueno,
00:13:41por defecto,
00:13:42tus usuarios deberían tener muy poco o ningún acceso a los datos y luego deberíamos darles acceso explícitamente a los datos a medida que lo necesiten,
00:13:50¿verdad?
00:13:50No deberíamos tener simplemente una base de datos de backend a la que puedas acceder a cualquier cosa y luego bloquearla.
00:13:57Debería tener una opinión sólida al respecto y luego tomar esas decisiones en nombre del usuario,
00:14:03porque es poco probable que un "vibe coder" en este escenario pueda tomar esas decisiones por sí mismo.
00:14:08Probablemente también debería detectar si un proyecto que se le pide está fuera del alcance de lo que se siente cómodo haciendo.
00:14:16Hay varias plataformas de "vibe coding" donde puedes pedirle: "Por favor,
00:14:20constrúyeme un sistema de registros médicos" y lo hará y luego dirá: "Aquí tienes.
00:14:24Aquí tienes un sistema de registros médicos".
00:14:27Nuestro CEO,
00:14:28Jack Cable,
00:14:28que está aquí,
00:14:29hizo esto en una plataforma de "vibe coding" y dijo: "Aquí está tu sistema de registros médicos.
00:14:34Es compatible con HIPAA".
00:14:36Sí, pues, noticia de última hora.
00:14:38Eso no era compatible con HIPAA..
00:14:40Permítanme decirles como profesional,
00:14:42como CSO de una empresa pública,
00:14:44que eso no era cierto.
00:14:45Decir que algo cumple con HIPAA no lo hace mágicamente compatible con HIPAA.
00:14:48Así no funciona.
00:14:49Y él lo señaló.
00:14:50"No creo que eso cumpla con HIPAA".
00:14:52Y yo dije: "Oh, no, tienes razón.
00:14:53No creo que lo sea".
00:14:54E hizo un par de cambios.
00:14:55"Ahora cumple con HIPAA".
00:14:57Todavía no lo era, ¿verdad?
00:14:58Este es el tipo de cosas que si yo estuviera construyendo una plataforma de "vibe coding",
00:15:02si me pidieran que construyera un sistema de registros médicos,
00:15:05probablemente diría: "No,
00:15:06no voy a hacer eso.
00:15:07Es una mala idea.
00:15:08Está en el lugar equivocado para eso, señor".
00:15:10Lo mismo con: "Por favor,
00:15:12constrúyeme un sistema para almacenar mi Bitcoin".
00:15:14Yo diría: "No, no voy a hacer eso.
00:15:16No es una buena idea.
00:15:17No voy a almacenar Bitcoin para ti.
00:15:18Eso será robado.
00:15:19Ese Bitcoin irá directamente a Corea del Norte y se usará para comprar cohetes.
00:15:23Deberías hacer otra cosa con tu Bitcoin"..
00:15:26Las plataformas de
00:15:27"vibe coding"
00:15:28deberían conocer sus límites.
00:15:29Y debería haber algo intermedio que,
00:15:31si le pides que haga algo como almacenar información personal,
00:15:35te permita hacerlo,
00:15:36pero activará un montón de funciones de seguridad y,
00:15:39si es posible,
00:15:40traerá agentes de seguridad,
00:15:41al igual que en muchas plataformas de "vibe coding".
00:15:44Si quieres almacenar datos,
00:15:46dirá: "Genial,
00:15:47necesito un servidor de base de datos".
00:15:49Si quieres reproducir video,
00:15:50dirá: "De acuerdo,
00:15:51necesito una CDN de video",
00:15:53¿verdad?
00:15:53Así que hay cosas intermedias,
00:15:55pero hay algunas cosas que simplemente deberían ser como: "Sí,
00:15:59esa es una mala idea.
00:16:00Simplemente no voy a hacer eso por ti".
00:16:02Y finalmente,
00:16:03lo que necesitan es tener ese tipo de compromisos con socios que le permitan hacer revisiones de código,
00:16:08porque un "vibe coder" no va a decir: "Oh,
00:16:11ya tengo una relación con una herramienta de revisión de software"..
00:16:15Eso simplemente no es algo que vayan a traer.
00:16:18Así que quieres que eso esté integrado en el producto base,
00:16:21al igual que tienes esa relación base con un socio de base de datos o algo así..
00:16:25El paternalismo o maternalismo de seguridad,
00:16:28si lo prefieren,
00:16:29está bien.
00:16:29Está bien tomar decisiones en nombre de usuarios que no tienen la capacidad de hacerlo.
00:16:34Creo que esto es algo que la industria de la seguridad ha tenido miedo de hacer porque,
00:16:39como personas de seguridad,
00:16:40tememos ser responsables de las decisiones que tomamos en nombre de otros.
00:16:44Este es un problema común con la gente de seguridad: lo que haremos es crear una cuerda floja.
00:16:49Y si alguien se cae de la cuerda floja,
00:16:51decimos: "Oh,
00:16:52mierda,
00:16:53lo siento.
00:16:53Supongo que no sabes cómo balancearte en cuerdas flojas.
00:16:56Es tu culpa, ¿verdad?"?
00:16:57Eso no está bien.
00:16:58Es mejor que hagamos lo mejor que podamos para dar a la gente una forma segura de cruzar ese abismo y asumir cierta responsabilidad si la gente se cae.
00:17:06No está bien que hagamos las cosas tan difíciles.
00:17:09Está bien ser un poco paternalista en estos casos y tomar decisiones,
00:17:13especialmente si estás construyendo productos que sabes que van a ser utilizados por no expertos.
00:17:18Ahora, ¿qué pasa si alguien es un experto.
00:17:20¿Qué pasa si estás construyendo un producto que usan expertos?
00:17:24Esto sería más como un
00:17:25"cloud code"
00:17:26o un
00:17:26"cursor"
00:17:27o un producto en el que esperas que la gente sea más?
00:17:30Ahora,
00:17:30"cloud code" es un desafío interesante porque es utilizado tanto por gente normal como por gente de aquí,
00:17:36¿verdad.
00:17:36Y entonces,
00:17:37si eres como un gerente de producto para Anthropic,
00:17:40se vuelve más como: ¿queremos tener un modo,
00:17:42un modo de "vibe code"?
00:17:43¿Quieres detectar si,
00:17:44por ejemplo,
00:17:45quieres hacer una prueba de antemano??
00:17:48No estoy seguro de cómo quieres involucrarlo exactamente,
00:17:51pero creo que hay un desafío interesante desde la perspectiva de un gerente de producto.
00:17:55¿En qué punto activas un modo de
00:17:56"vibe code"
00:17:57donde realmente estás haciendo cosas en nombre de un usuario versus darles más capacidades??
00:18:01Así que,
00:18:02ciertamente,
00:18:02un
00:18:03"cursor"
00:18:03probablemente solo debería ser usado por ingenieros profesionales.
00:18:05Así que,
00:18:06los ingenieros profesionales también necesitan seguridad por diseño.
00:18:10Ahora, es de una manera diferente, ¿verdad?
00:18:12Si estás haciendo seguridad por diseño para un ingeniero profesional,
00:18:17probablemente no estás tomando decisiones arquitectónicas amplias y generales.
00:18:21Pero lo que sí estás haciendo es no cometer esos errores de los que acabamos de hablar,
00:18:26el 20% de las veces en GPT-5 y el 60% de las veces o algo así en la situación de Grok,
00:18:32donde simplemente estás cometiendo errores de seguridad tontos,
00:18:35¿verdad?
00:18:36Necesitas hacer y escribir código que no tenga fallos por defecto.
00:18:40Y necesitas al menos preguntar al usuario y cuestionarlo: "Oye,
00:18:44¿puedo hacer esto mejor para ti por defecto?"?
00:18:46Luego,
00:18:47intentar tomar decisiones por defecto que no sean una buena idea.
00:18:51Algo en lo que estos agentes son bastante malos es en tener una visión general..
00:18:56Creo que todos han visto esto: si le pides a un agente de codificación: "Me gustaría construir un sistema increíblemente complejo que haga muchas cosas",
00:19:06te dice: "Genial,
00:19:07voy a empezar a escribir código ahora mismo".
00:19:10Así no es como construimos software, ¿verdad?
00:19:13No consigues que 20 personas construyan un sistema distribuido increíblemente complejo y empiecen simplemente abriendo un archivo y escribiendo código,
00:19:23¿verdad?
00:19:23Tienes un PRD.
00:19:24Tienes una reunión de diseño..
00:19:26Piensas en cuáles son nuestros requisitos.
00:19:29Haces mucha gestión de producto.
00:19:30Hay un par de excepciones,
00:19:31pero en su mayor parte,
00:19:33los agentes de codificación solo quieren empezar a escribir código.
00:19:36Eso es lo que saben.
00:19:37Simplemente se lanzan a ello inmediatamente.
00:19:39Y por eso creo que sería bueno que estas cosas empezaran a ir más despacio y tuvieran los pasos de planificación y fueran mucho más reflexivas sobre: "Diseñemos una arquitectura y un diseño",
00:19:49y luego hagan cosas como documentar APIs,
00:19:51documentar cómo vamos a hacer la validación de entradas.
00:19:53¿Cómo vamos a prevenir fallos comunes en este tipo de arquitectura?
00:19:57¿Cómo vamos a hacer la autenticación entre,
00:19:59"Estás diseñando algo que definitivamente va a tener diferentes servicios.
00:20:02¿Cómo vamos a autenticar esos diferentes servicios?"?
00:20:05Este es el tipo de cosas en las que casi ninguno de los agentes de codificación piensa nunca y sería realmente sensato hacer de antemano cuando estás empezando,
00:20:13incluso si eres un ingeniero profesional..
00:20:16Y luego también necesitamos la capacidad de tener agentes de seguridad de IA.
00:20:20Una de las cosas curiosas que está pasando es que si trabajas en una pequeña startup o tienes 22 años,
00:20:26piensas que las únicas personas que escriben software son los ingenieros de software,
00:20:30pero veo a muchos profesionales en esta sala..
00:20:33Cuando eres un profesional,
00:20:34y especialmente si trabajas en una empresa regulada o que hace algo importante como construir aviones o algo así,
00:20:41te das cuenta de que hay ingenieros de software,
00:20:43pero también hay ingenieros de seguridad,
00:20:46y arquitectos de seguridad,
00:20:47e ingenieros de privacidad,
00:20:49y gente de cumplimiento,
00:20:50y abogados.
00:20:51Lo sé.
00:20:51No somos super fans de toda esta gente,
00:20:53pero en realidad tienen trabajos importantes.
00:20:56Hay una razón por la que estas personas existen,
00:20:59y hay una razón por la que influyen en la base de código,
00:21:02porque han ocurrido cosas malas con el software,
00:21:05y por eso hemos ideado todo tipo de reglas sobre por qué escribimos software y por qué tenemos que tener reglas de cumplimiento y por qué tenemos gestión de productos,
00:21:14por qué tenemos leyes de privacidad y demás.
00:21:17Lo que hemos hecho es tomar el trabajo del ingeniero de software,
00:21:20y hemos tomado una semana laboral de 40 horas,
00:21:23y la hemos convertido en 20 minutos de tiempo de GPU.
00:21:26Bueno,
00:21:26todas esas otras personas todavía trabajan semanas laborales de 40 horas e interactúan entre sí en salas de conferencias y no a través de MCP y no pueden operar a la misma velocidad que un ingeniero de software que tiene 10 agentes operando en segundo plano,
00:21:41escupiendo código.
00:21:42Lo que también necesitamos hacer es construir mecanismos para que todas las demás personas que todavía tienen trabajos importantes puedan ser tan eficientes como un ingeniero de software en la era de la codificación con IA,
00:21:55porque al final,
00:21:56todavía hay humanos en las empresas que tienen responsabilidades reales.
00:22:00De hecho,
00:22:00algunas de estas personas podrían ir a la cárcel si los ingenieros de software con sus agentes de codificación hacen un mal trabajo.
00:22:08He sido CISO de una empresa pública tres veces.
00:22:10Ese es un trabajo aterrador,
00:22:12como un chiste que me gusta decir,
00:22:14y no es cierto,
00:22:15pero se siente un poco cierto que la palabra CISO es griega para la cabra que es sacrificada primero,
00:22:20¿verdad?
00:22:21Pero es realmente aterrador ser un CISO hoy en día,
00:22:24porque te culpan por lo que cientos o miles o decenas de miles de otras personas podrían estar haciendo sobre lo que realmente no puedes tener control o ni siquiera entender,
00:22:34y eso era cierto antes de que cada una de esas personas tuviera cinco agentes en segundo plano escribiendo código para ti.
00:22:41Y así necesitamos encontrar formas para que estos humanos que tienen trabajos increíblemente importantes en torno al cumplimiento,
00:22:48la privacidad,
00:22:49la seguridad y la protección,
00:22:50puedan entender y tener alguna idea de que las reglas que tienen que cumplir en el mundo físico todavía se están aplicando.
00:22:57Así que en Corridor,
00:22:59creemos que hay dos áreas en las que empezar,
00:23:01habrá más,
00:23:02pero hay al menos dos áreas en las que tenemos que empezar donde necesitamos tener cierta estandarización para que la codificación con IA esté lista para la empresa.
00:23:11Primero,
00:23:12telemetría,
00:23:12y luego en el flujo de trabajo de seguridad.
00:23:15Así que en el lado de la telemetría,
00:23:17vamos a escribir una entrada de blog sobre esto.
00:23:19Probablemente saldrá la próxima semana.
00:23:22Creemos que los agentes de seguridad necesitan estar enviando todo lo que están haciendo,
00:23:27todas sus interacciones con los usuarios,
00:23:29que este es el tipo de cosas que si eres una empresa,
00:23:32necesitas poder ver en un lugar central lo que la gente está haciendo con sus agentes,
00:23:37quién ha iniciado sesión como quién,
00:23:39tener visibilidad completa de las indicaciones y visibilidad completa de las herramientas que el agente está llamando,
00:23:46y luego especialmente en qué código se está generando.
00:23:49Nuestro producto en realidad nos proporciona esta visibilidad,
00:23:52pero tenemos que hacerlo mediante ingeniería inversa de cómo funcionan todos los agentes de codificación.
00:23:58Es un poco chapucero.
00:23:59No es muy divertido.
00:24:00Sería mucho mejor si el agente de codificación lo soportara..
00:24:07Así que la empresa que ha llegado más lejos aquí es Anthropic.
00:24:10Claude Code soporta un estándar basado en telemetría,
00:24:13por lo que es un estándar abierto y agradable.
00:24:15Es bastante limpio.
00:24:16En su versión actual, tiene el 70% de lo que necesitan.
00:24:19En una versión futura,
00:24:20parece que van a enviar el 90% de lo que todos necesitamos.
00:24:23Así que sería genial si,
00:24:24primero,
00:24:24Anthropic lo envía todo,
00:24:25y luego,
00:24:26segundo,
00:24:26si todos los demás los copian.
00:24:28Pero sería realmente genial si todos los agentes de codificación tuvieran la capacidad de obtener telemetría de lo que todos están haciendo.
00:24:35Ese es solo el primer paso.
00:24:36Es el primer paso de cualquier solución de seguridad,
00:24:39solo para saber qué está pasando.
00:24:40Y sería realmente genial si esto pudiera configurarse mediante MDM,
00:24:44mediante la gestión de dispositivos.
00:24:45Así,
00:24:46como CISO de una empresa,
00:24:47podrías simplemente enviar,
00:24:48usando tu proveedor de MDM,
00:24:50a la máquina de todos: "Oye,
00:24:51envíame toda la telemetría a este lugar".
00:24:53Entonces no tendrías que tener agentes yendo a todas estas máquinas para intentar extraerla.
00:24:58La segunda área,
00:24:58creo que más importante y más interesante,
00:25:00es que necesitamos un mecanismo para estandarizar esa conversación.
00:25:04Como hablamos,
00:25:04los ingenieros de software y los ingenieros de seguridad solían reunirse para tomar un café y conversar..
00:25:10Bueno,
00:25:11necesitamos formas estándar para que los agentes de seguridad y los agentes de software hablen entre sí para replicar lo que solían hacer esos humanos.
00:25:19Y tiene que ser algo determinista..
00:25:20Así que,
00:25:21de nuevo,
00:25:21hacemos esto ahora mismo con nuestro producto,
00:25:24pero tuvimos que meterlo a la fuerza.
00:25:26Y no es determinista.
00:25:27Se basa en cómo se siente el LLM.
00:25:28Y sería bueno que si le pides a un agente de codificación que haga algo en segundo plano durante 30 minutos,
00:25:34vaya y hable con tu agente de seguridad y diga: "Aquí está mi plan".
00:25:37Recibe comentarios sobre el plan.
00:25:39Dice: "Aquí está mi código".
00:25:41Se revisa el código.
00:25:42Se revisan todos los errores.
00:25:43Y luego se corrigen todos los errores.
00:25:45Y todo eso se hace sin que el ingeniero se involucre.
00:25:48Y luego el equipo de seguridad ve en esta lista de verificación: "Sí,
00:25:51todo esto se arregló",
00:25:52lo cual sería increíble.
00:25:53Así que lo que tenemos ahora mismo es Corridor.
00:25:56De hecho, lo lanzamos hoy a disponibilidad general (GA).
00:25:59Hemos tenido clientes empresariales,
00:26:01pero lo que lanzamos hoy para GA es que nos conectamos con un plugin de VR ID,
00:26:05y nos conectamos a través de MCP a tu agente de codificación para que,
00:26:08cuando le pides que haga algo,
00:26:10nos envíe un plan.
00:26:11Y luego podemos usar eso para proporcionar un contexto de seguridad específico para una base de código.
00:26:16Y eso proporciona tanto consejos de seguridad genéricos,
00:26:19como también permite a una empresa tener sus reglas de seguridad específicas para esa empresa.
00:26:24Así que,
00:26:24digamos que eres un gran banco y tienes,
00:26:26así es como manejamos los números de seguridad social,
00:26:29o así es como tokenizamos los números de tarjetas de crédito.
00:26:32Ese es el tipo de contexto que podemos proporcionar a ese agente de seguridad para asegurarnos de que el agente de codificación haga su trabajo en primer lugar.
00:26:40Y luego escaneamos ese código en el backend para asegurarnos de que se proporcionó esa regla.
00:26:45Y luego también recopilamos telemetría de nuestros plugins IDE.
00:26:48Así podemos ver toda esta interacción y asegurarnos de que el plugin está haciendo su trabajo.
00:26:53Y luego también ver todas las herramientas de codificación no autorizadas que todo el mundo está usando.
00:26:58No es que alguno de ustedes traería una herramienta de codificación al trabajo que no estuviera autorizada por su equipo de seguridad.
00:27:05Veo a muchos que siguen las reglas en esta sala, sin duda.
00:27:08Y así que ya estamos haciendo esto,
00:27:10pero sería súper genial si esto se convirtiera en algo estándar que muchos agentes de codificación diferentes soportaran,
00:27:16y luego mucha gente pudiera competir contra nosotros y copiar nuestro producto..
00:27:22Está bien.
00:27:22Estamos felices de ser el Kleenex del sector,
00:27:25con mucha gente haciendo este tipo de trabajo.
00:27:27Pero creo que este va a ser el futuro de la relación entre los agentes de codificación y los agentes de seguridad,
00:27:34al igual que los ingenieros de seguridad y los ingenieros de software tienen una relación totalmente amistosa y para nada competitiva o difícil hoy en día..
00:27:42Orgullosamente lanzamos esto a disponibilidad general hoy,
00:27:45y lo publicamos en el mercado de agentes de IA de Vercel.
00:27:48Así que estamos justo ahí, en la cima.
00:27:50Pueden ir a corridor.dev para conocernos o encontrarnos en el marketplace de Vercel.
00:27:55Somos el único producto de seguridad allí.
00:27:57Así que agradecemos mucho a Vercel por su colaboración y por darme este tiempo hoy.
00:28:02Si quieren charlar con nosotros,
00:28:03Jack y yo,
00:28:04nuestro CEO y cofundador,
00:28:05estaremos en el pasillo para hablar de ello.
00:28:07De todos modos,
00:28:08creo que hay mucho que podríamos hacer juntos aquí para dar este superpoder de los agentes de codificación de IA a millones de personas,
00:28:16al mismo tiempo que los protegemos de esos villanos que también están ahí fuera.
00:28:20De todos modos, soy Alex, alex@corridor.dev.
00:28:22Si alguna vez quieren charlar,
00:28:24estaré en el pasillo o envíenme un correo electrónico.
00:28:27Muchas gracias.
00:28:28Muchas gracias a Vercel.
00:28:29Que tengan un excelente resto del día..