本周看到了一份报告,研究人员记录了首例真正的、完全自动化的、依赖 AI 的勒索软件攻击案例。AI 代理自主处理了侦察、凭证窃取和横向移动,适应了失败的情况,没有人控制每一步。让我思考了一个更小的问题:开发应用的第一版时,安全性通常被视为一个后续问题。早期应用的一个模式是:鉴于认证只是为了让登录工作而不是真正保护用户数据。API密钥有时会被硬编码或提交到仓库,以便快速发布 MVP。创始人认为安全可以“以后添加”,但在发布后进行重新设计通常比早期实施更昂贵。不是说每个应用都需要在第一天就拥有企业级安全性。然而,随着攻击变得更加自动化,跳过基本预防措施早期感觉比以往更具风险。其他人如何处理这个问题?您从一开始就构建基本安全性,还是通常会推迟到后期阶段?