Эдуард Медведев, CTO в Tungsten Labs: «Мы доросли до момента, когда технологии могут причинить массовый вред»
Если вдруг вы не знали, сегодня можно поднять сервер, запустить и откатить деплой, заскейлить кластер, просто отправив сообщение телеграм-боту.
Эдуард Медведев, CTO в Tungsten Labs (Германия), выступал на третьем дне Слёрма DevOps с темой «Автоматизация инфраструктуры с ChatOps» и рассказывал об интеграции мессенджеров с пайплайнами. А после выступления за чашкой кофе дал интервью.
Я рассчитывал на рассказ об интересной технологии, а в итоге разговор свернул на тему it-этики. О том, как человек превращается в лабораторную крысу, которая каждый день бежит в лабиринте алгоритмов аддикции и контроля внимания, как автоматизируется война, как торговля оружием и наркотиками выходит на новый уровень анонимности и доступности, как айтишники пишут код, разрушающий общество и личность — и прикрываются старым как мир «мы просто выполняли заказ».
Начнём, как обычно, с самого начала. Жили-были, кодили-деплоили… Расскажи о своём пути, как ты пришёл к тому, где ты сейчас?
Он долгий и запутанный. До того, как я оказался в Германии, я много переезжал, чуть-чуть учился в Норвегии, чуть-чуть работал в стартапе в Штатах, в основном на удалёнке. Немного жил в Таиланде, когда фрилансил — это какая-то совсем типичная история для русских по-моему. В Германию попал почти случайно — и больше по личным обстоятельствам, чем по работе. В итоге оказался в Tungsten Labs в Берлине. Сейчас ненадолго вернулся в Россию, немало времени провожу в Томске — мне там нравится.
Какие значимые этапы ты можешь выделить на пути?
Сложный вопрос.
Начнём с высшего образования?
А вот это простой вопрос. У меня его нет. Я начинал с каких-то мелких подработок еще в старших классах школы, работал как верстальщик, потом как фронтенд-разработчик, потом перешёл на бэкенд, архитектуру. Мне нравится учиться чему-то новому, не получается сидеть на месте. Много фрилансил, потом работал фулл-тайм удаленно на разных проектах. Вообще, когда ты фрилансишь, учишься самодисциплине, потом это помогает, когда устраиваешься на полный рабочий день удалённо.
Сейчас ты CTO в Tungsten Labs?
До недавнего времени, но уже нет. Да, последнее постоянное место работы — СТО в Tungsten Labs, но сейчас я больше консультирую. Tungsten Labs в том числе.
То есть ты решил стать вольным охотником?
Пока так.
Можешь вспомнить череду технологий, через которые ты проходил? Как ступени.
Могу попробовать. Я начинал с вёрстки, так что HTML и CSS. Немного ковырял PHP, который был у нас на бэкэнде. Было много JS на фронтэнде и Node на бэкэнде, был Python. С последними двумя мне до сих пор комфортнее всего, хотя в последнее время часто приходится писать или дописывать что-то на Go.
Сейчас Go считается очень перспективным языком. Как твоё мнение?
Считаю, что вокруг Go очень много хайпа, и только часть его оправдана, но язык при этом всё равно хороший и перспективный. Даже про дженерики шутить не буду сейчас.
Было такое, что ты изучил какую-то технологию, какой-то язык —, а они стали мёртвыми? Как тот же Perl.
Мне кажется, такого нет. Когда я учусь чему-то, всегда стараюсь делать упор на общие концепции, которые в любом случае пригодятся потом. Из-за этого я не очень хорошо знаю языки в глубину, но при этом изучать и использовать что-то новое мне гораздо проще. У меня был небольшой проект на Elixir, я писал что-то на Haskell, переделывал ML-модель с Tensorflow. Для соревнований пришлось писать на Brainfuck однажды. Всё это делать гораздо проще, когда знакомы какие-то общие принципы, структуры, алгоритмы — в общем, база уже заложена. Поэтому я не думаю, что бывают мёртвые знания.
Какие проекты и задачи в последнее время стали для тебя профессиональным вызовом? Что тебе принесло особое удовольствие при решении и реализации?
Я много участвую в соревнованиях по информационной безопасности, CTF (Capture the Flag) и подобных. Даже небольшая команда раньше была. Как-то раз занял первое место в одной из игр на DEF CON в Лас-Вегасе. А DEF CON — одна из самых крупных и известных конференций такого плана. Почти 30 000 человек посетителей, серьезно огромная. Несколько сотен человек участвовали в соревнованиях. И вот я первый. Неожиданно было и очень круто. Теперь всегда могу проходить на DEF CON бесплатно, такая вот небольшая привилегия для победителей.
И в чём задача была? Если кратко.
Если кратко, то это не одна задача, а десятки разных: уязвимости в веб-приложениях, бинарные эксплойты, анализ трафика и экстракция ключей из образов диска или памяти. Взлом Wi-Fi сетей, захват беспроводного трафика. Криптография. В общем, надо за очень короткое время впитать в себя и применить много разноплановых знаний. Всё как я люблю, мы уже говорили об этом.
Что для тебя является ценностью, показателем успеха?
Для меня важным показателем личного успеха является такой вопрос: «Что бы изменилось, если бы меня здесь не было?» То есть, если бы меня не было, случилось бы что-то, что я сделал, например, в своей работе или нет. Если бы без меня это сделал кто-то ещё, то моё присутствие вроде и не так важно. А вот если я сделал что-то, чего без меня не появилось бы или что другие люди сделали бы хуже… Другое дело.
Как ты считаешь, сейчас стало легче выйти на западный IT-рынок из России или сложнее?
Довольно легко выйти, если переезжать. Вакансий очень много, а специалистов пока еще мало, поэтому часто готовы помогать с визой, оплачивать переезды. Сложнее, если ты на удаленке — можно столкнуться с тем, что на тебя часто смотрят, как на «чувака из России». Это значит, что тебе можно платить меньше — ты же в относительно бедной стране живёшь, много ли тебе надо? Это значит, что у тебя нет какого-то профессионального и культурного контекста, который есть у людей на Западе — все эти митапы, сообщества, конференции — и ты немного на другом языке говоришь, оперируешь другими понятиями, ценностями. Это не кажется таким уж важным, потому что вроде пишешь ты код и пишешь, но когда ты полноценный член команды, это сказывается. В России этот контекст всё-таки совсем другой, особенно если не в Москве или в Питере. В Томске, где я родился и вырос, особо нет айтишного сообщества. Есть несколько хороших компаний, какие-то отдельные люди, редкие мероприятия. Но митапов или сообществ, которые встречались бы регулярно, мало. Конференций — одна или две за год.
Не думал что-нибудь организовать?
Регулярно организовываю или помогаю, но обычно не в Томске. Проблема не в том, чтобы организовать, а скорее в том, чтобы собрать заинтересованных людей. А еще, опять же, в контексте. Когда ты постоянно ездишь на такие мероприятия, ты накапливаешь определённый контекст, и когда ты передаёшь знания, ты исходишь из того, что люди тоже находятся в этом контексте. Поэтому сейчас мне выступать в России сложнее, чем в Европе — контекст совсем другой, и надо прикладывать усилия, чтобы понять, что нужно объяснить подробнее, что пропустить, на чем делать акцент. Самое сложное — рассказывать что-то людям, у которых этого контекста нет вообще, которые раньше не участвовали ни в каких сообществах. Восхищаюсь людьми, которые умеют хорошо рассказывать новичкам. В целом, примерно та же проблема, что и с удалёнкой — всё от разницы в контекстах.
Как ты считаешь, в сфере безопасности, насколько вероятно появление ИИ для решения ряда задач? Ты, как консультант по информационной безопасности, что видишь на этом направлении?
В 2016 году проводились соревнования Cyber Grand Challenge, которые финансировало американское агентство DARPA (Defense Advanced Research Projects Agency). Я уже рассказывал чуть-чуть о CTF, когда командам даются образы систем с заранее запланированными уязвимостями, и задача — эксплуатировать эти уязвимости друг у друга, как можно быстрее обнаружив и пропатчив свои. Так вот CGC — такие же соревнования, но в них участвуют ИИ без какого-либо человеческого вмешательства вообще. То есть появление ИИ не просто «вероятно», оно уже развивается и очень активно — роботы ломают роботов, роботы защищаются от роботов. Очень много уязвимостей эксплуатируются и находятся просто автоматически, широким сканом. Фаззинг — тестирование с передачей на вход неправильных данных для поиска уязвимостей — тоже автоматизирован почти полностью. Есть очень много таких вещей, в которых ИИ используется и для атаки, и для защиты. Но при этом информационная безопасность — это история настолько же о людях, насколько и о машинах.
Ты имеешь в виду социальный инжиниринг?
Я имею в виду не только социальный инжиниринг, но и любой человеческий фактор. Мы сейчас живем в такое время, когда в современных системах самое уязвимое место — не софт и не машина, а человек, который всё это эксплуатирует, и ошибки, которые он при этом совершает.
Какие тенденции ты видишь в сфере, которой сейчас занимаешься?
Я вижу очень сильное влияние морально-этических вопросов на всю среду в целом. Когда люди не просто пишут код, но и задумываются о том, для чего этот код будет применяться. И то, для чего он будет применяться, становится для людей гораздо более важным вопросом, чем раньше. Потому что есть вероятность, вполне осязаемая, что твой код будет убивать людей, что твой код будет использоваться для дискриминации или ущемления чьих-то прав, что ошибка в твоём коде может лишить человека дома или посадить в тюрьму. Раньше люди меньше думали о таких вещах, мне кажется потому, что мы не полагались на технологии настолько, чтобы принимать с их помощью решения такого плана. Поэтому люди начинают задумываться об этих вопросах гораздо больше. Не так давно сотрудники Google массово протестовали против участия в Project Maven (проекте по разработке AI для Минобороны США) — и в итоге контракт отменили.
При этом руководство Google, как пишут в некоторых СМИ, сотрудничает со спецслужбами. И реальная конфиденциальность информации на тех же почтовых сервисах Google вызывает порой вопросы.
Речь скорее не о руководстве, а о разработчиках, об обычных «рядовых» сотрудниках. Я знаю людей, которые принципиально не станут участвовать (и уже отказывались от участия) в подобных проектах.
То есть ты считаешь, что сеть постепенно взрослеет. Беззаботное и бесшабашное детство проходит.
Да. Мы доросли до того момента, когда технологии могут принести очень реальный, очень ощутимый, очень массовый вред. И до момента, когда IT-корпорации выросли настолько, что вполне могут сделать это без посторонней помощи.
Я давно уже интересуюсь вопросами манипуляции, аддиктивных сценариев и этики социальных сетей. Крупные социальные сети используют ряд технологий, влияющих на захват внимания, на удержание… В некоторых случаях они могут сформировать зависимость у человека, которая в дальнейшем может привести к дофаминовому выгоранию, к депрессии и в итоге к суициду. То есть код может привести к реальной смерти. Я обратил внимание, что американский сенатор-республиканец Джош Хоули недавно предложил законопроект Social Media Addiction Reduction Technology Act (SMART). Хоули потребовал чтобы социальные сети перестали «эксплуатировать человеческую психологию или физиологию мозга» в своих целях. В законопроекте перечислены четыре «запрещенных приема», которые практикуют крупные соцсети: автоматическая загрузка данных в ленте публикаций и невозможность долистать ее до конца, атака избыточным количеством контента, награды за активность в социальных сетях, а также функция автоматического воспроизведения музыки и видеороликов. Как тебе кажется, сетевая этика 21 века будет сформирована в ближайшее время? Или крупные компании будут всячески сопротивляться и заблокируют подобные инициативы?
Мне кажется, что крупные компании всегда будут сопротивляться. Это же бизнес, и основной целью в нем всегда будет заработок денег. Конечно, проще всего заработать больше денег, если люди будут пользоваться твоим продуктом много и часто, и да, будут от него зависимы.
Только, получается, есть конфликт между разработчиками, которые работают на эти крупные компании, но формируют новую этику разработчика, и самими крупными компаниями, которых интересует только прибыль.
Уже есть довольно громкие, массовые случаи, когда разработчики переставали работать на конкретные компании из-за этических разногласий — тот же Maven. Они пока редкие. Но мне кажется, их станет больше. Потому что у хороших разработчиков всегда есть выбор, и IT сейчас — это такой рынок, где скорее не компании, а разработчики диктуют свои условия. И такое форсирование морально-этических норм может начаться снизу, а затем пойти вверх, что сейчас, в целом, и происходит.
Разработчики сейчас могут диктовать условия, потому что на рынке присутствует большой дефицит на талантливых и опытных разработчиков. С увеличением количество разработчиков, дефицит будет снижаться, значит корпорации смогут диктовать.
Возможна да, возможно и нет. Будет повышаться количество опытных разработчиков. Но разработчики, опытные в настоящий момент, тоже будут расти. И спрос на такой уровень тоже появится. Профессия относительно молодая всё-таки. Но поворотный момент, да, именно сейчас. Возможно, скоро кончится этот период.
И какие тенденции ты видишь?
Вижу в целом тенденцию на движения, которые идут снизу вверх, исходят от сотрудников. Они пытаются заставить руководство принять какие-то их цели, которые связаны не только с получением прибыли. И компаниям приходится менять что-то не только потому, что это хорошо и правильно, но ещё и потому, что тогда к ним пойдут люди, и существующие сотрудники останутся, а не уйдут куда-то ещё. Я думаю, что до какого-то момента это будет набирать обороты, и в итоге сформируются какие-то морально-этические стандарты и нормы, которые будут приняты у всех. В практиках найма, касательно той же дискриминации. Если говорить о diversity, что сейчас постоянно обсуждается на Западе, то большая часть инициативы как раз исходит снизу. Люди говорят: «Я не буду наниматься на работу в компанию, где нет никого, кто понял бы меня, кто выглядел бы как я, кто прошел через те же проблемы, что и я». Или говорят: «Я вряд ли вынесу много полезного из конференции, где все спикеры обладают бэкграундом, максимально похожим друг на друга и сильно отличающимся от моего». И компаниям приходится меняться. Это во многом опять вопрос культурного контекста, в России сейчас такого меньше.
Слышал ли ты о сообществах, которые уже пытаются сформировать новую этику для разработчиков в частности и сети в целом?
Есть очень много групп, которые борются за diversity, очень много людей, которые занимаются онлайн-активизмом, борьбой с цензурой и с политическими преследованиями в сети. В основном это люди, близкие к журналистике, к некоммерческим организациям. Internet Freedom Festival — хорошая конференция на эту тему, например. Но я, к сожалению, не знаю крупных сообществ, которые занимались бы конкретно вопросами новой морали и этики в сети. Подозреваю, что они есть, потому что их не может не быть. Но то, что я о них не знаю, хотя интересовался вопросом, всё-таки говорит о чем-то.
P.S. От разговора осталось интересное впечатление: чтобы свободно поговорить об этих темах, нужен человек, живущий в Европе или США. Одна, местечковая часть меня в процессе интервью думала: «IT-этика, диверсити… Малость зажрались они там». А другая, общечеловеческая, отвечала ей: «Может, и мы когда-нибудь до этого дорастем».
