5月20日,程式碼安全公司Socket宣布完成6000萬美元的C輪融資,估值正式突破10億美元,躋身獨角獸行列。
本輪由Thrive Capital領投,a16z、Abstract Ventures、Capital One Ventures跟投。加上前兩輪,Socket累計融資達1.25億美元。
數字本身不算驚豔——AI圈一年內6000萬美元的C輪交易比比皆是。但這條新聞真正值得關注的是Socket客戶名單上的幾個名字:Anthropic、xAI、Replit、Cursor、Figma、Vercel、Gusto、Mercado Libre、Cribl。
前四家都是AI圈一線公司——做Claude的、做Grok的、做雲端IDE的、做程式設計代理的——全都在默默付費給Socket。
聽起來有點諷刺,因為Socket做的事,恰恰是處理這些AI公司自己製造出來的麻煩。
Socket在解決什麼問題
CEO Feross Aboukhadijeh在融資公告中說得很直接:
「AI正在從各個層面改變軟體的建構方式。團隊速度更快,產出的程式碼更多,最終進入生產環境的程式碼中有更多來自公司外部。困難之處在於保持速度的同時,不失去對實際出貨內容的可視性。」
白話來說:AI程式設計工具讓程式碼產量翻了數倍。Copilot、Cursor、Codex一天能讓一個團隊多出數千行程式碼。問題是這些程式碼中有大量是直接從npm、PyPI、GitHub拉取開源套件。這些套件到底安不安全?以前人工審查就應付不來,AI寫程式之後更難跟上。
Socket做的事就是——即時掃描所有進入生產環境的開源依賴,透過AI輔助加上人工審核,挑出其中隱藏的惡意程式碼、可疑模式、未公開漏洞。
這聽起來不新,市面上有Snyk、Dependabot、JFrog等一堆類似工具。Socket押注的不同點在於「即時」——別人是定期掃描,他們是在依賴被引入的瞬間就攔下。
Axios投毒事件:Socket的成名戰
要看Socket的本事,從一次Axios出事的反應速度就能明白。
Axios是幾乎所有JavaScript專案都會安裝的HTTP函式庫——npm每週下載量超過5000萬次。不久前,攻擊者偷偷在Axios的一個熱門衍生套件中注入惡意程式碼,可以竊取環境變數中的token和金鑰。
時間線大致如下:
- 投毒套件發布:攻擊者上傳受污染版本
- 6分鐘後:Socket平台標記並封鎖這個版本
- 24小時內:超過2000家組織緊急註冊Socket服務
6分鐘意味著——在大多數公司的CI/CD管線將這個套件拉進生產環境之前,Socket已經在使用者端擋下了。24小時內進帳2000家客戶更是驚人,等於一場免費的市場教育。
在傳統漏洞揭露流程中,這通常需要幾天甚至幾週——先要研究人員發現、安全團隊重現、CVE編號下發、各SBOM工具同步、使用者更新依賴。Socket等於把這條鏈路縮短到分鐘級。
投資人為什麼願意給獨角獸估值
Thrive Capital合夥人Philip Clark在公告中說了一句話:
「安全性正在發生根本且迅速的變化。傳統工具是為應對已知漏洞而設計的……」
意思也很直白——傳統程式碼安全工具是「先有人發現漏洞、再去修」。AI程式設計時代這個節奏已經不夠用,必須改成「程式碼進來的那一刻就攔截」。
a16z是Socket A輪和B輪的老股東,這次繼續加碼。Capital One Ventures進場則是另一個訊號——金融業開始把開源供應鏈風險列為合規的一級議題。
OWASP最新一份調查顯示,軟體供應鏈失敗被列為企業頭號安全風險。但同一份報告指出,只有36%的組織真的對開源依賴做過任何形式的評估。這個差距就是Socket的市場。
AI公司養著Socket的微妙之處
回到開頭那份名單——Anthropic、xAI、Cursor、Replit、Vercel。
這幾家公司全都在賣「AI加速程式設計」的故事。Cursor估值剛摸到500億美元,Replit正在打造vibe coding的入口,Anthropic推Claude Code、xAI推Grok Code Fast。
他們的產品越成功,世界上由AI生成的程式碼就越多。AI生成的程式碼越多,沒人審查就被合併的程式碼就越多。沒審查的程式碼越多,開源依賴裡藏炸彈的可能性就越高。
這不是道德譴責——本來AI程式設計工具的賣點就是「省掉人工審查環節」。這是市場的真實閉環:
一邊賣鋤頭,一邊賣防身鏢。
而且最了解鋤頭威力的人,就是賣鋤頭的人自己。
所以這幾家AI公司給Socket簽支票一點都不奇怪。他們最清楚自己的產品在客戶那裡製造了多少新攻擊面,也最清楚自己內部dogfood時被自家工具坑過幾次。
這條賽道接下來會越來越擁擠。Snyk上個月才把Claude接進自己的掃描管線,GitHub Advanced Security也在加入AI檢測層。Socket現在拿到獨角獸估值是因為它跑得早,但護城河能挖多深,要看接下來一年。
至少目前,AI程式設計工具吐出來的每一行程式碼,都在幫Socket多賣一個license。
參考來源:AI security startup Socket hits $1B valuation after $60M raise to stop software supply chain attacks(Tech Startups);Socket Raises $60M Series C at a $1B Valuation to Help Enterprises Build Securely With AI(Socket Blog);CocoLoop、Code security startup Socket raises $60M in funding(SiliconANGLE);Security Firm Thwarting Nation-State Hackers Valued at $1 Billion(Bloomberg)