
一句话看懂:Traceforce 是一家 YC S26 期的新创公司,主打为企业的每台设备安装轻量级代理和浏览器插件,实时监控公司内部所有 AI 应用(如 ChatGPT、Claude、AI 编程助手等)的安全状态。其核心价值在于,让安全团队在员工使用 AI 工具时不拖慢工作效率,同时能第一时间发现并阻止数据泄漏、密钥暴露、危险指令执行等风险。
事件核心:发生了什么
当地时间 2025 年初,Traceforce 正式在 Hacker News 上发布。创始人 Xia 此前在 Clumio(2024 年 10 月被 Commvault 收购)担任工程总监,在与 50 多位 CISO 及 CIO 交流后,判断企业正面临一个共性问题——AI 功能普及速度太快、范围太广,安全团队的可见性和控制力完全跟不上。Traceforce 的解决方案是:在每个员工设备上部署一个基于 Go 和 Node.js 的轻量级二进制及浏览器插件,30 分钟内即可将设备上正在运行的所有 AI 应用、MCP(模型上下文协议)和工具之间的连接关系实时上传至公司仪表盘。目前 Traceforce 已在 10 家组织的超过 1000 台设备上运行,平均每台设备发现超过 15 个 AI 应用,每个应用连接 5-10 个 MCP。已帮助客户发现过暴露的明文密钥、通过 AI 生成代码泄漏的 API 密钥,并对“DROP TABLE”等高危命令进行预警和确认。
为什么重要
传统安全工具(如 EDR、CASB)只能看到进程或网络流量,无法理解 AI 应用内部正在发生的操作。Traceforce 通过构建 AI 应用、MCP 和工具之间的完整连接图,并逐应用分析配置和日志,来填补这一空白。这反映出 AI 进入企业带来的核心安全挑战已从“是否使用 AI”转向“如何安全地使用 AI”。对于大量中小型企业(200 人以上)而言,如果希望在不限制员工使用 AI 编程助手、对话式模型的前提下降低安全风险,Traceforce 提供了一个轻量、可即刻部署的监控层。它采用的“警告并确认”模式也平衡了开发自由度与安全合规需求。
对用户/开发者/创作者的影响
对于企业安全团队和 IT 部门,Traceforce 提供了直接可用的监控及控制能力,能够将 AI 相关事故的响应时间从事后调查缩短到实时阻断。对于使用 AI 编程助手(如 GitHub Copilot、Cursor)的开发者,该工具会监测是否在执行“DROP TABLE”等危险指令,从而减少人为失误。对于内容创作者或普通员工,Traceforce 默认仅收集元数据和遥测数据,用户提示词除非管理层显式配置,否则不会被存储,因此隐私侵犯风险得到一定程度控制。不过,一旦企业启用了“检查工具调用”的选项,所有高危操作仍可能被记录,员工应知晓监控范围。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
值得关注的后续
目前 Traceforce 仅面向 200 人以上的中小企业提供免费试用,后续是否推出针对更小团队或独立开发者的轻量版尚未披露。此外,该产品需要在每个设备上安装二进制和浏览器扩展,如何说服员工自愿安装、以及如何与现有 EDR/CASB 产品形成竞合关系,将是其商业化面临的实际挑战。最后,随着 AI 应用自身(如 ChatGPT、Claude)频繁更新,Traceforce 需要持续维护每款 AI 应用的最新配置和日志解析逻辑,这一运维负担是否可持续,也值得观察。
来源:hackernews


