Pada 20 Mei, perusahaan keamanan kode Socket mengumumkan penyelesaian pendanaan Seri C sebesar $60 juta, dengan valuasi resmi menembus $1 miliar dan masuk ke jajaran unicorn.
Putaran ini dipimpin oleh Thrive Capital, dengan partisipasi dari a16z, Abstract Ventures, dan Capital One Ventures. Termasuk dua putaran sebelumnya, total pendanaan Socket mencapai $125 juta.
Angkanya sendiri tidak terlalu mengejutkan—di dunia AI, deal Seri C senilai $60 juta cukup umum dalam setahun. Namun yang membuat berita ini menarik adalah daftar pelanggan Socket: Anthropic, xAI, Replit, Cursor, Figma, Vercel, Gusto, Mercado Libre, dan Cribl.
Empat yang pertama adalah perusahaan AI kelas atas—satu membuat Claude, satu membuat Grok, satu membuat IDE cloud, satu membuat agen pemrograman—semuanya diam-diam membayar Socket.
Agak ironis, karena tugas Socket justru menangani masalah yang diciptakan oleh perusahaan AI itu sendiri.
Apa masalah yang dipecahkan Socket?
CEO Feross Aboukhadijeh mengatakan secara langsung dalam pengumuman pendanaan:
"AI mengubah cara perangkat lunak dibangun di setiap level. Tim bergerak lebih cepat, lebih banyak kode dihasilkan, dan lebih banyak kode yang masuk ke produksi berasal dari luar perusahaan. Bagian tersulit adalah mempertahankan kecepatan itu tanpa kehilangan visibilitas terhadap apa yang benar-benar dikirim."
Sederhananya: alat pemrograman AI telah melipatgandakan produksi kode. Copilot, Cursor, dan Codex dapat menghasilkan ribuan baris kode per tim per hari. Masalahnya, banyak dari kode ini langsung menarik paket sumber terbuka dari npm, PyPI, dan GitHub. Apakah paket-paket ini aman? Review manual sudah kewalahan; setelah AI menulis kode, semakin tidak terkendali.
Yang dilakukan Socket adalah memindai secara real-time semua dependensi sumber terbuka yang masuk ke lingkungan produksi, dengan bantuan AI dan review manual untuk mendeteksi kode berbahaya, pola mencurigakan, dan kerentanan yang tidak diungkapkan.
Ini bukan hal baru—ada Snyk, Dependabot, JFrog, dan banyak alat serupa. Yang membedakan Socket adalah "real-time"—yang lain memindai secara berkala, Socket memblokir dependensi saat diperkenalkan.
Insiden peracunan Axios: Momen kejayaan Socket
Kemampuan Socket terlihat jelas dalam insiden Axios. Axios adalah library HTTP yang digunakan hampir di semua proyek JavaScript—dengan unduhan mingguan npm lebih dari 50 juta. Baru-baru ini, penyerang menyuntikkan kode berbahaya ke dalam paket turunan Axios yang populer, dirancang untuk mencuri token dan kunci dari variabel lingkungan.
Linimasa:
- Paket beracun dirilis: Penyerang mengunggah versi terkontaminasi
- 6 menit kemudian: Platform Socket menandai dan memblokir versi ini
- Dalam 24 jam: Lebih dari 2.000 organisasi mendaftar Socket secara darurat
Enam menit berarti bahwa sebelum pipeline CI/CD sebagian besar perusahaan menarik paket itu ke produksi, Socket sudah memblokirnya di sisi pengguna. Mendapatkan 2.000 pelanggan dalam 24 jam adalah bukti kuat—pada dasarnya edukasi pasar gratis.
Dalam proses pengungkapan kerentanan tradisional, ini biasanya memakan waktu berhari-hari hingga berminggu-minggu: peneliti menemukan, tim keamanan mereproduksi, CVE diterbitkan, alat SBOM sinkron, pengguna memperbarui dependensi. Socket memampatkan rantai itu menjadi hitungan menit.
Mengapa investor bersedia membayar valuasi unicorn
Partner Thrive Capital, Philip Clark, mengatakan dalam pengumuman:
"Keamanan berubah secara radikal dan cepat. Alat warisan dirancang untuk bereaksi terhadap kerentanan yang diketahui..."
Pesan jelas: alat keamanan kode tradisional bersifat reaktif—mereka menunggu kerentanan ditemukan lalu memperbaikinya. Di era AI, kecepatan itu tidak cukup; pendekatan harus berubah menjadi "blokir kode saat tiba."
a16z, investor kembali dari Seri A dan B Socket, berpartisipasi lagi. Masuknya Capital One Ventures menandakan tren lain: industri keuangan mulai memperlakukan risiko rantai pasokan sumber terbuka sebagai masalah kepatuhan prioritas utama.
Menurut survei OWASP terbaru, kegagalan rantai pasokan perangkat lunak dinilai sebagai risiko keamanan nomor satu bagi perusahaan. Namun laporan yang sama menunjukkan hanya 36% organisasi yang pernah melakukan penilaian terhadap dependensi sumber terbuka mereka. Kesenjangan inilah pasar Socket.
Ironi halus: Perusahaan AI memberi makan Socket
Kembali ke daftar pelanggan—Anthropic, xAI, Cursor, Replit, Vercel. Perusahaan-perusahaan ini semua menjual cerita "pemrograman yang dipercepat AI." Valuasi Cursor baru-baru ini mencapai $50 miliar; Replit membangun pintu masuk untuk vibe coding; Anthropic mendorong Claude Code; xAI mendorong Grok Code Fast.
Semakin sukses produk mereka, semakin banyak kode yang dihasilkan AI di dunia. Semakin banyak kode hasil AI, semakin banyak kode yang digabungkan tanpa review. Semakin banyak kode tanpa review, semakin tinggi kemungkinan bom tersembunyi di dependensi sumber terbuka.
Ini bukan kecaman moral—poin jual alat pemrograman AI justru menghilangkan review manual. Ini adalah lingkaran umpan balik pasar yang nyata:
Satu tangan menjual sekop, tangan lainnya menjual perisai.
Dan yang paling tahu kekuatan sekop adalah yang menjualnya.
Jadi tidak mengherankan perusahaan AI ini menulis cek untuk Socket. Mereka paling tahu berapa banyak permukaan serangan baru yang diciptakan produk mereka bagi pelanggan, dan kemungkinan besar mereka pernah digigit oleh alat mereka sendiri saat dogfooding internal.
Ruang ini akan semakin ramai. Snyk bulan lalu mengintegrasikan Claude ke dalam pipeline pemindaiannya; GitHub Advanced Security juga menambahkan lapisan deteksi AI. Valuasi unicorn Socket sekarang mencerminkan keunggulan penggerak awal, tetapi seberapa dalam paritnya akan diuji dalam setahun ke depan.
Untuk saat ini, setiap baris kode yang dimuntahkan oleh alat pemrograman AI membantu Socket menjual lisensi lagi.
Sumber: AI security startup Socket hits $1B valuation after $60M raise to stop software supply chain attacks (Tech Startups); Socket Raises $60M Series C at a $1B Valuation to Help Enterprises Build Securely With AI (Socket Blog); CocoLoop; Code security startup Socket raises $60M in funding (SiliconANGLE); Security Firm Thwarting Nation-State Hackers Valued at $1 Billion (Bloomberg)