Copy link to heading以产品为先的 AI 安全与防护

区分自动化系统与人类正变得愈发困难。我们正在目睹 AI 生成代码的爆发式增长、Model Context Protocol(MCP)等新协议的出现、新型攻击向量的涌现,以及先进推理能力如今同时掌握在防御者和攻击者手中。

这一转变需要一种不同的方法——根植于产品和技术创新,而非政策或流程。Talha 认同这一愿景。

让我最兴奋的是,Talha 拥有打造开发者真正愿意使用的安全产品的出色记录。在 Vercel,他将超越传统 CISO 的职责范围,领导安全研究、产品研发、工程以及信任与安全工作,帮助我们交付行业领先的能力。

Vercel 为全球一些最重要的应用提供支持,每天处理数十亿次请求。随着 AI 重新定义软件及其运行的基础设施,我们既有机会也有责任在安全领域发挥引领作用——不仅保护我们的平台,还通过提供给开发者的工具和基础设施,帮助保护更广阔的互联网。

我与 Talha 进行了交流,探讨他在 Vercel 的安全愿景以及即将面临的挑战。

Copy link to heading您在 HashiCorp 工作了七年,随后担任 IBM 安全首席技术官,是什么促使您来到 Vercel?

Talha:我一直热衷于前沿技术,致力于在全球规模上解决问题,以提升互联网的安全性、信任度和安全性。

当我观察那些正在产生最大影响的公司时,Vercel 脱颖而出。它不仅在创造开发者喜爱的产品,我们还对如何保护未来的网络、以及为开发者打造开放且值得信赖的工具以塑造这一未来有着共同愿景。

Copy link to headingAI 时代带来了全新的安全挑战,从提示注入攻击到海量 AI 生成代码。您如何看待在这一环境下保障开发安全?

Talha:当前 AI 时代既带来了安全风险,也带来了机遇。在风险方面,生成式 AI 和大语言模型技术发展迅速,但我们仍处于采用的早期阶段。

在机遇方面,我很兴奋能够利用 AI 解决历史上难以大规模解决的安全问题。我们可以影响 MCP、A2A 等标准,并在 AI 技术栈和 SDK 中构建防护措施,使开发者能够实施控制和覆盖。

安全需要从“否定部门”转变为深度嵌入产品开发中。

Talha Tariq

Copy link to heading您曾谈到通过产品开发而非官僚流程来解决安全问题。这一理念在实践中意味着什么?

Talha:作为职业 CISO,我一直需要更安全的产而非更多的安全产品。安全应该是任何平台的一等公民,而非事后才添加的功能。这意味着要为所有人构建安全,而非仅为专家。如果开发者和终端用户获得默认安全的工具,整个生态系统的安全门槛都会提升。

我还相信安全应嵌入产品开发过程,而非作为“否定部门”运作。最好的安全组织通过构建工具来改进卫生习惯并降低风险,无论是通过更好的身份与访问管理、密钥管理、AI 安全,还是平台可靠性。

Copy link to heading随着 AI 使冒充人类变得更容易,身份验证正变得更加困难。我们应如何思考 2025 年及以后的身份验证和机器人检测?

Talha:生成式 AI 让冒充人类变得更廉价、更容易,这提升了身份验证的风险。随着人类与机器活动越来越难以区分,我们需要科技、政府和学术界的协作,重新思考如何验证身份并建立信任。

虽然政策制定需要时间,但我乐观地认为技术能够揭示新兴风险并提供切实的缓解方式。

Talha:作为对技术、安全以及开放网络改善人类潜力的热情者,我想为一家共享这些价值观的公司工作。

当然,当前重点是 Vercel 生态系统及其客户,但我期待构建开放、透明且从业者乐于使用的安全框架和工具。

Copy link to heading构建更安全的网络

从我们的 Web Application Firewall平台级防护,我们正将安全作为开发者体验的核心部分进行投入。在 Talha 的领导下,我们正在构建默认提供保护的工具,让团队能够快速、安全地专注于交付。