Os agentes de IA estão agora a escrever o seu código. Não o ajudam a escrevê-lo, mas sim a elaborar especificações, a conceber sistemas, a criar a estrutura da infraestrutura e a enviar pull requests. O trabalho de um programador está a transformar-se em revisão e orientação, em vez de escrever código linha a linha.
É para isso que o AWS Kiro foi concebido.
E isso levanta uma questão incómoda: se é um agente de IA que está a gerar o seu código, quem é responsável por garantir a sua segurança?
Passámos os últimos dois anos Aikido integrar Aikido ambientes Aikido os programadores realmente trabalham (integrações IDE, pipelines de CI/CD, verificações de segurança na nuvem). Acompanhámos a evolução da cadeia de ferramentas e fomos criteriosos na escolha das nossas apostas. Hoje, estamos a fazer uma grande aposta.
Aikido o primeiro fornecedor independente de software (ISV) de segurança a nível mundial com quem a AWS vai lançar o Kiro no mercado e a primeira empresa de segurança da nossa região selecionada para fazer parte deste programa piloto.
O que é o Kiro (e por que razão a segurança não pode ser uma preocupação secundária)
O Kiro é o novo ambiente de desenvolvimento baseado em agentes da AWS. Não se trata de um assistente de código integrado a um IDE. É um sistema autónomo: basta definir um objetivo e ele gera os requisitos, concebe o sistema, escreve o código, executa os testes e atualiza a documentação. Orientado por especificações e executado por agentes.
Embora seja poderoso, o desenvolvimento baseado em agentes aumenta a superfície de ataque.
Quando a geração de código representava 10% do fluxo de trabalho, era possível detetar problemas de segurança durante a revisão. Quando os agentes geram cerca de 60 a 70% do código (incluindo configurações de infraestrutura, seleção de dependências e integrações de API), «detetá-los durante a revisão» deixa de ser viável. É necessário que a segurança faça parte do ciclo em que os agentes já se encontram.
A integração: Segurança no ciclo do agente
Aikido diretamente no fluxo de trabalho dos agentes do Kiro. Cada alteração que esses agentes produzem é automaticamente analisada quanto a:
- Vulnerabilidades no código das aplicações em todas as principais linguagens e estruturas
- secrets credenciais expostos detetados antes mesmo de serem submetidos
- Configuração insegura da infraestrutura: varredura IaC a primeira linha
O que obtém não é uma verificação pós-implementação, mas sim uma análise contínua executada no ambiente de desenvolvimento, que integra o contexto de segurança no mesmo fluxo de trabalho que os agentes utilizam para a compilação.
Os ganchos do agente do Kiro incluem agora verificações Aikido . O resultado é o que designamos por ambiente de desenvolvimento auto-protegido: o Kiro cria a funcionalidade; Aikido e protege-a.
«A engenharia de agentes está a mudar a forma como as startups desenvolvem os seus produtos e está a mudar a forma como estas têm de encarar a segurança. Não é possível rever manualmente o que um agente produz ao ritmo a que o faz. A integração Aikido com o Kiro resolve esse problema na origem, e é por isso que são o primeiro parceiro de segurança com quem vamos entrar no mercado a nível global.»
– Siddharth Iyer, Diretor de Estratégia de Lançamento no Mercado de Engenharia de Agentes, AWS Startups EMEA
Quando Aikido algo, os agentes da Kiro podem agir diretamente.
Velocidade segura: eliminar o compromisso
A ideia generalizada sempre foi que a segurança atrasa o processo. Lançar rapidamente, reforçar a segurança mais tarde. Lançar o produto e só depois preocupar-se com as vulnerabilidades (CVEs). Nunca concordámos com essa abordagem, e o desenvolvimento agente torna-a completamente obsoleta.
Com os seus poderes combinados, Aikido o Kiro põem fim ao conflito entre segurança e velocidade. Juntos, obtém o melhor de ambos.
O Kiro proporciona agilidade: as equipas poupam entre 5 a 7 vezes mais tempo na fase de desenvolvimento ao definirem os requisitos na fase de planeamento, antes de escreverem qualquer código.
Aikido oferece segurança: análise e correção automatizadas em código, nuvem e tempo de execução, para que a segurança nunca se torne um obstáculo (os nossos clientes, como a n8n, comprovaram isso em primeira mão).
Em conjunto, proporcionam aquilo a que chamamos de «velocidade segura»: a capacidade de lançar software gerado por IA a toda a velocidade, com mecanismos de segurança integrados que acompanham o ritmo do desenvolvimento.
O que isto significa para as equipas que desenvolvem com o Kiro
Se estiver a desenvolver aplicações nativas da nuvem com o Kiro, dispõe agora de uma cobertura de segurança que acompanha o ritmo dos seus agentes:
- Sem mudança de contexto: as informações de segurança são apresentadas diretamente no seu fluxo de trabalho de desenvolvimento, em vez de apenas num painel separado
- Sem fadiga causada por falsos positivos: reachability analysis Aikido reachability analysis os alertas irrelevantes, revelando apenas os riscos que podem ser explorados
- Sem surpresas de última hora: as vulnerabilidades foram detetadas durante o desenvolvimento, e não durante a revisão de segurança antes do lançamento
- Conformidade sem o trabalho manual: relatórios automatizados para SOC2, ISO 27001, PCI, DORA, NIS2, HIPAA e muito mais
- Integração rápida: os programadores ficam operacionais em poucos minutos através de integrações com IDE, CI/CD e gestão de issues
Por que estamos entusiasmados com a parceria com a Kiro
O setor está a avançar numa única direção: a segurança tem de ser parte integrante do desenvolvimento baseado em IA, e não algo acrescentado a posteriori. O facto de termos sido selecionados como o primeiro parceiro global de segurança da AWS para entrar no mercado em conjunto com a Kiro é um sinal de que estamos no caminho certo.
As equipas que terão sucesso nos próximos cinco anos serão aquelas que descobrirem como fornecer aos agentes de IA o contexto de segurança de que necessitam para criar soluções de forma correta, e não aquelas que continuam a realizar revisões de segurança manuais em código gerado por IA.
«A segurança costumava seguir o desenvolvimento. Primeiro na CI/CD, depois no IDE. Com o Kiro, passa diretamente para o agente: o elemento que escreve o código. É aí que deve estar. Foi para isso que criámos esta parceria.»
– Johan De Keulenaer, Diretor de Parcerias e Canais
Se está a desenvolver no Kiro, adoraríamos mostrar-lhe como Aikido nesse fluxo de trabalho. E se ainda não utiliza o Kiro, talvez devesse prestar atenção.
Quer saber mais sobre como Aikido o código gerado por IA? Consulte a nossa página de integração do Kiro.
