发布 HN:Traceforce (YC S26) —— 面向AI应用的全公司安全监控

Traceforce 是一家 YC S26 期的新创公司,主打为企业的每台设备安装轻量级代理和浏览器插件,实时监控公司内部所有 AI 应用(如 ChatGPT、Claude、AI 编程助手等)的安全状态。其核心价值在于,让安全团队在员工使用 AI 工具时不拖慢工作效率,同时能第一时间发现并阻止数据泄漏、密钥暴…

发布 HN:Traceforce (YC S26) —— 面向AI应用的全公司安全监控

一句话看懂:Traceforce 是一家 YC S26 期的新创公司,主打为企业的每台设备安装轻量级代理和浏览器插件,实时监控公司内部所有 AI 应用(如 ChatGPT、Claude、AI 编程助手等)的安全状态。其核心价值在于,让安全团队在员工使用 AI 工具时不拖慢工作效率,同时能第一时间发现并阻止数据泄漏、密钥暴露、危险指令执行等风险。

事件核心:发生了什么

当地时间 2025 年初,Traceforce 正式在 Hacker News 上发布。创始人 Xia 此前在 Clumio(2024 年 10 月被 Commvault 收购)担任工程总监,在与 50 多位 CISO 及 CIO 交流后,判断企业正面临一个共性问题——AI 功能普及速度太快、范围太广,安全团队的可见性和控制力完全跟不上。Traceforce 的解决方案是:在每个员工设备上部署一个基于 Go 和 Node.js 的轻量级二进制及浏览器插件,30 分钟内即可将设备上正在运行的所有 AI 应用、MCP(模型上下文协议)和工具之间的连接关系实时上传至公司仪表盘。目前 Traceforce 已在 10 家组织的超过 1000 台设备上运行,平均每台设备发现超过 15 个 AI 应用,每个应用连接 5-10 个 MCP。已帮助客户发现过暴露的明文密钥、通过 AI 生成代码泄漏的 API 密钥,并对“DROP TABLE”等高危命令进行预警和确认。

为什么重要

传统安全工具(如 EDR、CASB)只能看到进程或网络流量,无法理解 AI 应用内部正在发生的操作。Traceforce 通过构建 AI 应用、MCP 和工具之间的完整连接图,并逐应用分析配置和日志,来填补这一空白。这反映出 AI 进入企业带来的核心安全挑战已从“是否使用 AI”转向“如何安全地使用 AI”。对于大量中小型企业(200 人以上)而言,如果希望在不限制员工使用 AI 编程助手、对话式模型的前提下降低安全风险,Traceforce 提供了一个轻量、可即刻部署的监控层。它采用的“警告并确认”模式也平衡了开发自由度与安全合规需求。

对用户/开发者/创作者的影响

对于企业安全团队和 IT 部门,Traceforce 提供了直接可用的监控及控制能力,能够将 AI 相关事故的响应时间从事后调查缩短到实时阻断。对于使用 AI 编程助手(如 GitHub Copilot、Cursor)的开发者,该工具会监测是否在执行“DROP TABLE”等危险指令,从而减少人为失误。对于内容创作者或普通员工,Traceforce 默认仅收集元数据和遥测数据,用户提示词除非管理层显式配置,否则不会被存储,因此隐私侵犯风险得到一定程度控制。不过,一旦企业启用了“检查工具调用”的选项,所有高危操作仍可能被记录,员工应知晓监控范围。

GamsGo AI

AI 工具推荐

想把多个 AI 模型放在一个入口?

GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。

了解 GamsGo AI

推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。

值得关注的后续

目前 Traceforce 仅面向 200 人以上的中小企业提供免费试用,后续是否推出针对更小团队或独立开发者的轻量版尚未披露。此外,该产品需要在每个设备上安装二进制和浏览器扩展,如何说服员工自愿安装、以及如何与现有 EDR/CASB 产品形成竞合关系,将是其商业化面临的实际挑战。最后,随着 AI 应用自身(如 ChatGPT、Claude)频繁更新,Traceforce 需要持续维护每款 AI 应用的最新配置和日志解析逻辑,这一运维负担是否可持续,也值得观察。

来源:hackernews

celebrityanime
celebrityanime
文章: 13699

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注