Checkmarx 已收购一家由 Medallia 前安全负责人创办的人工智能安全初创公司,旨在加速推进其 AI 驱动的自主应用安全产品路线图。
延伸阅读:《点播专题 | 以卓越的发现与防御能力重塑 API 安全》
这家总部位于纽约地区的应用安全厂商表示,收购硅谷初创企业 Tromzo 将大幅减少人工工作量,并提升安全软件开发效率。Checkmarx 首席执行官桑迪普・乔里(Sandeep Johri)指出,此次交易将进一步强化 Checkmarx 的核心愿景:赋能开发人员、为应用安全(AppSec)团队实现漏洞修复自动化,以及应对 AI 与智能代理(Agent)应用引发的新型漏洞。
“对于企业而言,不能简单地搭建一个 GPT 包装层,在基础功能上叠加大型语言模型(LLM)就期望其发挥作用,”Tromzo 联合创始人哈希尔・帕里赫(Harshil Parikh)向《信息安全媒体集团》(Information Security Media Group)表示,“企业需要解决复杂场景下的核心问题。借助 AI 技术,我们的架构能够深度整合企业全域的业务上下文信息,从而以高效方式攻克这些难题。”
Tromzo 成立于 2021 年,现有员工 10 人,累计融资 1110 万美元 —— 其中最新一轮为 2023 年 8 月完成的 800 万美元种子轮融资,由 Venture Guides、Alumni Ventures 及 Uncorrelated Ventures 联合领投。公司自创立以来一直由哈希尔・帕里赫掌舵,他曾在客户体验管理软件公司 Medallia 任职 6 年半,最终升任安全高级总监(相关报道:《Checkmarx 首席执行官:供应链威胁演变亟需采取行动》)。
智能代理 AI 技术:Tromzo 的差异化优势何在?
Checkmarx 早已前瞻性地规划了应用安全的 “AI 优先” 未来,并制定了自主智能代理的研发计划。但乔里表示,Tromzo 在成熟智能代理解决方案领域已积累 18 个月的先发优势,这将帮助 Checkmarx 显著加速产品落地进程。Checkmarx 此前曾针对 Tromzo 与其他合作伙伴或潜在收购目标开展价值验证,最终 Tromzo 脱颖而出,成为明确的首选目标。
“我们偶然接触到 Tromzo,了解到他们正在开发及已落地的技术,与我们的规划高度契合,” 乔里向《信息安全媒体集团》(ISMG)表示,“我们的核心动机是加速产品发布,并吸纳一支具备顶尖 AI 技术能力的团队 —— 他们已在该领域深耕 18 个月,而我们的相关研发仅启动了几个月。”
帕里赫指出,Tromzo 的差异化优势在于将 AI 与专为应用安全态势管理(AppSec Posture Management)设计的数据架构深度融合,这使其能够获取精准决策所需的业务上下文信息。他强调,这一特性让 Tromzo 的智能代理不仅能识别漏洞,还能采取实质性行动,例如自动编写安全代码并提交 GitHub 拉取请求(Pull Request)。
“在 AI 领域,各家企业使用的模型大同小异,” 帕里赫表示,“因此,真正的差异在于你能为模型输入多少上下文信息、多少高质量数据,从而引导其得出正确结果。”
帕里赫称,不同于依赖表层集成或仅在语言模型外简单包装的轻量化工具,Tromzo 构建了以应用安全态势管理为核心的数据密集型、上下文感知架构。该平台从设计之初就致力于整合业务上下文并应用于漏洞管理,从而实现更智能、更具针对性的决策。
“大多数同类工具缺乏真正的核心技术,即便有所谓的‘AI 功能’,也未实现企业级规模化应用,” 帕里赫说,“Tromzo 之所以能够脱颖而出,是因为其拥有最成熟的落地技术,这也是我们最终达成合作的关键原因。”
智能代理如何助力软件开发生命周期(SDLC)全流程?
大型企业通常面临数千个漏洞的积压问题。帕里赫表示,对这些漏洞进行分类优先级排序是一项耗时的手动工作,让安全团队和开发人员都不堪重负。如今已集成至 Checkmarx 生态的 Tromzo 智能代理,能够自动过滤误报、优先处理关键漏洞,甚至通过生成代码修复方案来自动修复问题。
“现在,智能代理可以深入查看企业的其他配置信息 —— 例如部署文件、持续集成 / 持续部署(CI/CD)流程、生产环境架构 —— 并判断‘这个漏洞是真实存在的,那个是误报’,” 帕里赫解释道,“如果确认是真实漏洞,代理会自动为该企业在 GitHub 中编写修复代码并创建拉取请求。这一过程将原本需要数月的漏洞修复周期,缩短至几分钟内完成。”
帕里赫描绘了一幅未来图景:智能代理将覆盖软件开发生命周期(SDLC)的每个阶段 —— 从架构设计、代码开发到运行时环境,实现持续安全防护,而无需在每个环节依赖人工干预。乔里表示,Checkmarx 希望通过这一技术确保 AI 生成的代码在创建之初就具备安全性,同时优化漏洞积压处理优先级、实现自动修复,并应对新型攻击面。
“我们将智能代理与 AI 对应用安全(AppSec)的影响分为三个维度,” 乔里说,“第一是面向开发人员:如何确保他们使用 AI 生成的新代码从一开始就是安全的?第二是面向应用安全团队:这些智能代理能够对漏洞进行优先级排序和修复,有时甚至是全自动完成。第三是保护 AI 环境本身的安全 —— 因为智能代理和大型语言模型(LLM)已成为新的攻击面。”
近年来,Checkmarx 在并购领域相对低调,乔里此前的战略重点是提升盈利能力、完善云平台成熟度并巩固市场领导地位。如今,凭借健康的息税折旧摊销前利润(EBITDA)利润率以及 75% 的客户已迁移至云原生平台,Checkmarx 已准备好重返并购市场,并正在评估更多潜在目标 —— 尤其是那些能够增强公司在大型企业市场创新优势的企业。
“Tromzo 是其中之一,后续还会有更多并购动作,” 乔里表示,“我们的核心聚焦于应用安全领域,但在这一领域内仍有许多可补充的技术和能力。因此,我们始终保持开放态度,预计在年底前还会有更多收购案例公布。”
发表评论
您还未登录,请先登录。
登录