NPM SUPPLY CHAIN 开发工具扫描 2026-05-19 to 2026-05-19 运行 20260520080120

给 AI 编码会话用的实时 npm 安装防火墙，在供应链攻击劫持 Claude Code、Codex 或 VS Code 之前先拦住。

Claude Code、Codex、VS Code 这类 AI 编码工具，已经成了 npm 供应链攻击的头号目标：恶意包会把 hook 写进 AI 会话启动文件，之后每次新会话都会重新执行载荷。现有软件成分分析工具只看依赖图和已知 CVE，对 AI 会话配置文件、SessionStart hook，或“22 分钟内发布 637 个版本”这种发布时间异常几乎没有可见性。更麻烦的是，一旦开发者机器上的包被攻陷，环境里的整套云凭证都能被拿走，AI 编码代理本身还会反过来变成持久化机制。

Bizidea 研究 2026-05-20

综合评分 3.9 / 5.0

4
市场
$6.4B 的 TAM 加上恶意软件告警 13.6x 的增长，说明这是个快速抬头的赛道；但 5 个可信对手已经在场，抢买方会很激烈。
4
差异化
实时 npm 阻断、AI hook 文件监控和受限凭证这组组合，比围着代码仓库或代理层打的对手更锋利；但其中不少能力也确实可被复制。
3
执行
5 个规划中的关键岗位和清晰里程碑，让 rollout 路径说得通；80% 毛利、6.9x LTV/CAC 和 9 个月回本也很漂亮，但 Y3 仍然亏损。
5
时机
同一天内就爆出 637 个恶意 npm 版本在 22 分钟内被发布，而且攻击还在重复，数百万下游开发者的安装已经暴露了问题的紧迫性。

章节

为何现在

Mini Shai-Hulud 攻击（2026 年 5 月）第一次把 AI 编码会话 hook 证明成可用的持久化向量——22 分钟里推上 637 个恶意 npm 版本，并把 hook 注进开发者机器上的 Claude Code 和 Codex 会话。
被攻陷包的月下载量高达数百万（size-sensor 4.2M、echarts-for-react 3.8M），这意味着一次 npm 账号接管的爆炸半径，已经能覆盖全球开发者中的相当大一部分。
同一套 Mini Shai-Hulud 工具链三周前已经出现在 SAP 攻陷里，说明这是一个持续瞄准 AI 开发工具链、而且大概率还会再来的对手组织。
攻击链会把 AWS、GCP、Azure、GitHub、Kubernetes、Vault、1Password、Bitwarden 一整套云凭证全都扫走；这意味着开发者笔记本上一次受感染的 npm install，现在就等同于一次完整的基础设施失守——这是 DevSecOps 团队会愿意掏预算去防的董事会级事故。

催化因素。 2026 年 5 月的 Mini Shai-Hulud 攻击已经证明：AI 编码会话完全可以通过 npm 被植入后门，而且载荷会在此后的每次 AI 会话里反复执行——这等于出现了一类全新的开发者机器持久化攻陷，而现有 SCA 工具根本抓不到。

章节

创意

产品分三层：（1）一个可直接替换的 CLI shim，包住 npm，专门拦 AI 编码代理发起的安装，在放行前先检查发布速度、账号接管信号和 hook 文件改动；（2）一个会话配置监控器，盯住 AI 会话启动文件，一旦出现未授权改写就告警或回滚；（3）一个凭证范围守护进程，只给 AI 代理进程发短期、进程级的云 token，这样即便软件包彻底失守，也拿不到长期 AWS、GCP 或 GitHub 凭证。整个平台要求在 200 ms 内给出判定，不打断 AI 编码工作流，并能接入现有 SIEM 和 Slack 告警链路。

差异化。 现有 SCA 工具看的还是依赖图和已知漏洞库；没有产品把 AI 编码代理当成“行为主体”，也没有工具去盯这些代理真正使用的会话 hook 文件。这个产品的核心 IP，是把实时发布速度异常检测（抓住 22 分钟 637 个版本这种爆发模式）和专门为 Claude Code、Codex、VS Code AI 扩展配置打造的 hook 文件完整性监控绑在一起。凭证范围守护进程也有防守性，因为它要求深度接入开发者本地 keychain 和云 SDK 的凭证链；部署越深，切换成本越高，时间越久越黏。

创业论点
滩头市场	滩头市场是 Series B–D、工程师规模 100–500 人、已经正式推行 Claude Code 或 Codex，并且由团队统一制定开发者笔记本安全策略的 DevSecOps 团队。
切入点	先上一个轻量 CLI shim：凡是 AI 编码代理触发的 npm install，都先拦截，再实时校验软件包溯源和发布速度异常；只要它想改写 Claude Code hook 或 VS Code tasks.json 这类 AI 会话 hook 文件，就直接阻断或隔离。
非显而易见洞察	AI 编码代理正变成新的浏览器扩展——它们拿着开发者级权限按需吃进不可信的 npm 包，还会改写能跨会话持久化的配置文件；但现有安全工具从来没按这个威胁模型设计，这个盲区已经被攻击者武器化。
风险投资级路径	先从面向 AI 代理会话的 npm shim 切入；等 AI 代理开始大量使用 PyPI、Cargo、Go modules 等其他包管理器后，再扩到多生态；接着把凭证范围控制补上，给 AI 代理进程发临时、最小权限的 token；最后做成面向全公司的开发者机器信任边界平台。

目标用户
主要用户	已在工程团队里落地 Claude Code、GitHub Copilot 或 OpenAI Codex 的中大型软件公司里的平台安全工程师或 DevSecOps 负责人
次要用户	在重视安全的团队里，自行管理 AI 编码环境的高级软件工程师
经济买方	拥有 50+ 名使用 AI 编码助手工程师公司的平台安全负责人或工程副总裁

市场切入种子
首个客户	第一批客户应该是 Series C 的金融科技或 dev-tools 公司：工程师 150–400 人，已经把 Claude Code 作为公司标准，并且有 2–5 人的平台安全团队专门负责开发者笔记本策略。
购买触发点	平台安全团队读到 Mini Shai-Hulud 事故报告后，会意识到：自己推动的 Claude Code rollout，已经打开了一块现有 Snyk 或 Socket.dev 许可证根本看不见的凭证窃取攻击面。
当前替代方案	今天的替代方案通常是用 Snyk 或 Socket.dev 做 SCA，再靠手工政策文件提醒工程师别装不可信的软件包——没有工具会专门盯 AI 会话 hook 文件，或盯 AI 代理发起的安装。
切换理由	Snyk 和 Socket.dev 都不会在安装时监控 AI 会话配置文件，也抓不到发布速度异常；这个产品正好补上这块空白，而且 10 分钟装好 CLI shim 就能用，现有 npm 工作流不用改。
定价假设	按席位收 SaaS 费：每位工程师每月 $15–25；个人开发者有免费档，但限 1 个席位。企业合同如果加上 SSO、SIEM 集成和凭证范围守护进程，价格可到每位每月 $40–60。

待完成任务

任务	当前替代方案	成功指标
当公司把 AI 编码工具全员铺开时，帮平台安全团队把软件包安全策略管起来，避免一次供应链攻陷直接变成整套云凭证外泄。	在 CI 里用 Snyk 或 Socket.dev 设策略闸门，再靠开发者自觉遵守本地安装规范。	部署后 30 天内，AI 会话 hook 文件零次未授权改写，AI 代理进程零次能拿到长期云凭证。
当 npm 出现新的批量发布异常时，帮 DevSecOps 工程师在受感染包装进开发者机器前先发现并控住，避免演变成凭证窃取事故。	手工盯 npm 安全公告和社区披露后的 Slack 告警，通常要晚 24–48 小时。	发布异常发生后 5 分钟内通知 DevSecOps，并在安装时自动拦住受影响的软件包版本。

npm AI Session Guard——价值流

flowchart LR
  DevLaptop["Developer Laptop\n(AI coding session)"]
  NPMShim["npm Shim\n(intercepts install)"]
  ProvenanceEngine["Provenance &\nVelocity Engine"]
  HookMonitor["Session Hook\nMonitor"]
  CredDaemon["Credential\nScope Daemon"]
  SIEM["SIEM / Slack Alert"]
  DevLaptop --> NPMShim
  NPMShim --> ProvenanceEngine
  ProvenanceEngine -->|clean| DevLaptop
  ProvenanceEngine -->|flagged| SIEM
  DevLaptop --> HookMonitor
  HookMonitor -->|unauthorized change| SIEM
  DevLaptop --> CredDaemon
  CredDaemon -->|scoped ephemeral token| DevLaptop

创意评分卡 — 平均4.2 / 5 · 5个维度

信号 · 5/5Mini Shai-Hulud 是一个正在发酵、严重级别高、文档充分的一手事件；它明确证明了 AI 编码工具存在全新的攻击向量，而且波及数百万开发者机器。
痛点 · 5/5开发者笔记本上一条受感染的 npm install，就能把环境里的整套云凭证扫走，还会给之后每次 AI 编码会话埋后门——对创业公司是生死级风险，对错过它的安全负责人则是职业事故。
切入点 · 4/5CLI shim 是一条清楚、10 分钟可部署的技术切口：AI 会话 hook 监控 + 发布速度检测；最大风险在于 Socket.dev 或 Snyk 很快把它补成一个功能。
防御性 · 3/5核心检测逻辑本身，大厂照着做并不难；但 AI 会话 hook schema 库和凭证范围守护进程会形成集成护城河。更重要的是，在一个新攻击类别里先跑出来，能先抢到一段时间窗口。
规模化 · 4/5开发者安全工具已经是验证过的十亿美元市场；而 AI 编码助手的快速普及，又把可覆盖 TAM 继续往外推——每个工程团队都可能成为新的供应链攻击目标。

商业模式画布

关键伙伴

npm 和 GitHub：拿仓库 API 访问和事故披露协同
Anthropic 和 OpenAI：获取 Claude Code、Codex 的 hook schema 文档
SIEM 厂商（Splunk、Datadog、PagerDuty）：做告警集成
云服务商：获取凭证范围控制所需的 API 能力

关键活动

维护实时 npm 仓库监控和 IoC 数据流
随着新 AI 编码工具上线，持续更新 hook 文件 schema 库
构建并调优发布速度异常检测模型
企业销售和 DevSecOps 社区运营

关键资源

发布速度异常检测引擎和实时 IoC 数据流
覆盖 Claude Code、Codex、VS Code、Cursor 的 AI 会话 hook 文件 schema 库
面向 AWS、GCP、Azure、GitHub 的凭证范围集成层
懂 npm 仓库和 AI 编码工具内部机制的工程团队

价值主张

在安装前拦住瞄准 AI 会话的 npm 供应链攻击
实时发现账号接管式的发布速度异常
监控并保护 AI 会话 hook 文件，防止未授权改写
给 AI 代理进程发范围受限的临时云凭证，压缩爆炸半径

客户关系

面向个人和小团队档位的自助式上手
面向企业合同的专属安全工程师导入
社区 Slack 和负责任披露计划

渠道

通过 GitHub 和 npmjs.org 的免费 CLI 档，走开发者自发的自下而上渗透
在 RSA、AppSec 等安全大会上做分享和事故复盘
直接外呼那些已经公开要求工程团队使用 AI 编码工具的公司里的 DevSecOps 负责人
和 Claude、Codex 生态团队做联合市场合作

客户细分

工程师规模 100–500 人、已在全公司铺开 AI 编码助手的 Series B–D 软件公司
使用免费档的个人安全敏感型开发者和开源维护者
已经建立正式开发者笔记本安全计划的企业平台安全团队

成本结构

npm 仓库监控基础设施和 API 成本
核心检测引擎与集成团队的工程薪酬
溯源和发布速度分析服务所需的云基础设施
销售和开发者关系投入

收入来源

覆盖个人、团队、企业档位的按席位 SaaS 订阅
凭证范围守护进程和 SIEM 集成的企业增购包
定制 hook 策略配置的专业服务收入

章节

市场

市场规模

市场规模概览
TAM	$6.4B 保守的自下而上 ARR 代理：以 GitHub 1 亿开发者下限为基数，乘 Stack Overflow 里 70% 的在职占比，再乘专业开发者里 51% 的日常 AI 工具使用率，最后按 Semgrep Supply Chain 每人 $30 的一半，即 $15/月定价（100M × 0.70 × 0.51 × $15 × 12）。
SAM	$960M 滩头市场按 TAM 的约 15% 切出，假设这些组织同时满足“有正式平台安全 owner”和“正在主动 rollout AI 代理”；这一假设也和“71% 已生产使用 AI 代理、但只有 11% 工具成熟”的落差一致。
SOM	$9.6M 第 3 年可触达份额按 SAM 的 1% 建模，假设这家新公司能在现有厂商完全打包这项控制前，先拿下一小批中端和企业共创客户。

高管要点

问题已经不是未来式：最近几次 npm 攻陷，恶意包已经从单纯投毒走到开发者工作站上的 AI 会话持久化。
切口很窄，但时机刚好：安装链路内联拦截加 hook 文件完整性监控，正好卡在传统 SCA 和更宽泛的 agent 治理平台之间。
现有厂商已经证明需求存在，但它们今天的产品要么围着代码仓库，要么围着代理层，要么太偏重企业平台，不像一个轻量工作站控制。
最大的执行风险是误报摩擦，最大的战略风险是 Endor Labs 或 Socket 很快把这块打包进去。

市场定义

这个市场卡在软件供应链安全、开发者工作站防护和 AI 代理治理的交叉点上。短期切口是拦住恶意软件包安装，并阻止开发者笔记本上的 agent 会话配置文件被未授权改写。

用户与买方

核心买方是负责开发者笔记本策略和 AI 工具 rollout 的平台安全、DevSecOps 负责人。日常 champion 往往是负责加固 Claude Code、VS Code 和 CI 工作流的 staff engineer 或安全工程师。

购买触发点

TanStack 的复盘把 .claude 和 .vscode 检查直接写进了事故响应任务，原本看不见的风险一下变成了安全团队必须执行的检查项。 [2][47]
最近几次 npm 攻击已经证明：就算有 trusted publishing 和 provenance，只要工作流或信任边界被拿下，恶意制品照样能发出去。 [3][14][15]
随着恶意开源告警和确认事故一起上升，安全团队已经在为“恶意开源防护”单独编预算。 [43]
AI 编码用得越来越广，但 AI 安全成熟度还很低；平台安全团队现在面对的是一个肉眼可见、必须补上的控制缺口。 [44][45]

支付意愿

相邻的 AppSec 工具已经把买方训练到愿意接受每位 contributor 每月约 $30 的定价；而 Endor 和 Socket 也在把供应链控制打包进更大平台。只要能明确挡住现有席位挡不住的事故，买方就有预算为一条更窄的控制线单独付费。 [37][39][41]

品类动态

增长信号自 2024 年 1 月以来，开源恶意软件告警增长 13.6x

顺风因素

AI 工具在开发者中的使用已经很广，直接把“需要 agent 感知安全控制”的表面积往外推大。
安全负责人普遍反馈 AI 代理已经进入生产，但 AI 安全工具仍远未成熟。
买方正在优先投入恶意开源防护，而且很多团队预期安全预算还会继续涨。

逆风因素

开发者对 AI 输出依旧保持怀疑，也会刻意避开某些高责任工作流；这可能拖慢围绕 agent 的安全控制标准化。
相邻现有厂商可以比创业公司更快把这条切口打包进更宽的平台。
如果 lifecycle script 拦截过于激进，而效果又没有明显好于人工策略，用户反弹会很强。

验证信号

TanStack 明确要求用户在受攻击后检查 .claude 和 .vscode，这说明买方已经把这块表面视为安全相关。
TanStack 和 AntV 两波事件都说明，恶意软件是通过 hook 和 task 文件写入实现持久化，不只是藏在依赖树里。
Endor 和 Socket 在同一个时间窗口里都推出了相邻控制，进一步证明预算和紧迫性确实存在。
Endor 的恶意软件报告显示，买方已经把恶意 OSS 列为 2026 年的头号优先级之一，而且预期投入更高。

监管与技术约束

有 provenance 声明和 trusted publishing 只能降低一部分风险；只要攻击者控制的工作流还在信任边界内，它就证明不了代码安全。
Claude Code 的原生 hook 很有价值，但有些利用链会早于 hook 执行启动，所以还得有 wrapper 层加固。
npm access token 现在虽然有过期和作用域限制，但 CI 和工作流 token 依旧让开发者机和构建机在安装时握着高价值 secret。
VS Code 的 tasks.json 本身就是另一条持久化表面；只守 Claude hook 远远不够。

AI 代理安装安全市场地图

章节

竞争

最接近的直接入局者是 Endor Labs：它把基于 hook 的 agent 治理和 package firewall 放在一起卖。最强的相邻现有厂商是 Socket，它占住了 registry 和 proxy 这一层。对大多数买方来说，Snyk 和 Semgrep 仍是默认替代预算，而 Chainguard 更像预防层方案，不是工作站层控制。

竞争对手	阶段	切入点	定价	优势	相对劣势
Endor Labs	scale-up	通过企业策略和端点渠道部署的 hook 治理 + package firewall。	开发者免费档；更完整的平台通过 Core 和 Pro 企业套餐出售。	产品邻接性最强，类目 framing 很清楚，而且有企业级治理叙事。	部署更重、平台更宽，给了更快、更轻的工作站优先产品留空间。
Socket Security	scale-up	围绕 registry intelligence、GitHub 集成和跨包生态的企业级 firewall proxy。	面向创业公司和企业的定制定价；开源使用免费。	在 npm 包安全层的买方信任和心智最强，而且有很深的 npm 专业积累。	现有产品更偏代理、代码仓库或建议式流程，而不是直接盯 .claude 和 .vscode 的持久化。
Snyk	incumbent	面向开发者的一体化 AppSec 套件，核心覆盖 SCA、SAST、IaC 和平台集成。	团队版和企业版按贡献开发者收费，个人和小团队有免费入口。	它本来就在预算线上，而且部署面广，是采购时最自然的替代项。	它仍以代码仓库和 CI 扫描为中心，不会在本地安装发生时对 agent 发起的动作做内联拦截。
Semgrep	incumbent	代码、secret 和供应链扫描结合的产品，按 contributor 定价，并深度嵌进开发者工作流。	Supply Chain Teams 起价是每位 contributor 每月 $30；企业版定制定价。	价格锚清楚，而且非常贴工程团队的安全工作流。	供应链能力仍以扫描为主，没有专门覆盖 AI 会话持久化文件。
Chainguard	scale-up	以 SLSA 为导向、重建后的可信软件包目录，主打 zero-known-vuln 和 provenance。	企业定制定价。	对愿意统一切到加固制品的组织来说，预防叙事非常强。	它改变的是制品来源，不是在开发者工作站上实时约束 AI 代理做了什么。

为什么现有厂商不会默认胜出

原生平台能力. GitHub 和 npm 提供了 provenance、依赖和 secret scanning 这些原语，但它们不会监控本地 AI 会话配置的写入，也不会在工作站边缘拦下恶意 lifecycle script。
大而全的 SCA 套件. Snyk 和 Semgrep 用的是同一条预算线，但它们的核心姿态仍是代码仓库和 CI 扫描，不是在开发者机器上做内联的 agent 会话执法。
代理型防火墙. Socket Firewall 和 Endor Package Firewall 更接近替代品，但两者强调的还是代理或企业集中部署，不是轻量级的本地 hook 文件防护。
AI 代理治理平台. Endor 的 agent governance 发布反而证明了赛道成立；但它也提醒我们，除非聚焦产品能在部署速度和工作站特异检测上赢得足够明显，否则买方会更偏好更宽的策略平面。

章节

商业计划

npm AI Session Guard 应该先做成一条面向 AI 触发 npm 安装的工作站控制线，而不是一开始就铺成完整的软件供应链套件。第一批客户应是 Series B-D 的软件、基础设施或开发工具公司：工程师 100–500 人，已经正式 rollout Claude Code 或 Cursor，并且有平台安全团队统一管理开发者笔记本策略。买单触发点通常是刚发生的 npm 攻陷、内部红队发现，或 AI rollout 审查——这些事件会把 .claude 和 .vscode 持久化这块缺口直接暴露出来，而现有的 Snyk、Semgrep、Socket 预算填不上。研究支持这是一个大市场：估算 TAM 为 $6.4B，滩头 SAM 为 $960M，第 3 年 SOM 模型值为 $9.6M；但公司该死守的，只是“先审计再拦截”的 npm 安装拦截 + hook 文件完整性这一窄切口，别急着扩到更宽的 agent 治理或多仓库策略。产品节奏上，应先把 Claude Code 和 VS Code 表面做透，默认审计模式；只有 pilot 证明误报低、部署快，才有资格加 blocking 和凭证范围控制。最强的战略资产，是围绕发布突发、Bun 载荷和未授权 hook 文件写入形成的差异化工作站遥测——这些都是传统 SCA 工具采不到的数据。最有可能推翻故事的风险，一是 Endor 或 Socket 很快打包跟进，二是本地 blocking 带来的摩擦大到工程师直接关掉产品。至于企业里 AI 编码工具的准确席位数，以及 managed hooks 相比文件系统级控制到底能管到什么程度，这两块输入还不够清楚，所以第 1 年必须先把这些不确定性打穿。

问题

如今瞄准 AI 会话的 npm 攻击，会直接把持久化写进开发者机器上的 .claude 和 .vscode 文件；一次安装，就可能把之后的每次编码会话一起拖下水。
现有 SCA、代理和代码仓库安全工具，大多盯依赖、CI 或 registry，很难稳稳拦住 agent 发起的本地安装，或者发现 hook 文件被未授权改写。
安全团队需要的是一条能快速铺到托管笔记本上的控制，而且不能频繁误伤正常安装，否则开发者很快就会绕开它。

解决方案

先发一套本地优先的 npm shim，专门拦 agent 发起的安装；它会给发布速度突发、provenance 缺口和已知攻击指纹打分，默认先审计，之后再逐步 selective blocking。
盯住 .claude 和 .vscode 这些持久化表面；每次改写都追溯到触发它的软件包或进程，并把回滚动作和可进 SIEM 的证据一起产出。
等 pilot 先把信任跑出来，再加凭证范围守护进程，让 AI 代理进程拿到的是短期、受限的云凭证和 Git 凭证，而不是开发者的整套 secret。

为什么我们会赢

产品直击 TanStack、AntV 事故已经验证过的工作站盲区——买方现在已经把 .claude 和 .vscode 认成真正的安全表面。
轻量本地 shim + 可托管的部署路径，比那些偏代理或更宽泛的 agent 治理平台更快跑出证明。
被拦的安装突发、Bun bootstrap 模式、hook 文件写入以及 override 决策，会逐步沉淀成自有的检测和策略数据集。

战略选择
滩头市场	滩头市场是工程师规模 100–500 人的软件、基础设施和开发工具公司里的平台安全、DevSecOps 团队：它们已经正式 rollout Claude Code 或 Cursor，JavaScript/TypeScript 工作流里 npm 使用很重，而且能通过 managed hooks 或端点工具去执行笔记本策略。
切入点理由	这条切口比“做一个宽泛的 AI 安全平台”更快拿到证明：一个付费 pilot 就能护住单个工程组织真实运行的 npm 安装链路和会话文件，几周内就能给出“拦住了什么/标记了什么”，也能和现有 SCA 预算共存，而不是要求客户替换整套平台。
推进顺序	先从 Claude Code 和 VS Code 上的“只审计 npm 拦截 + hook 文件完整性”做起，因为这两块表面已被事故直接验证，而且产品面最窄、最好落地。等误报调到可信，再加 selective blocking；再往后，等买方对这条工作站控制平面真正信了，再把凭证范围控制和更多包管理器覆盖叠上去。
暂不进入	第一年不要一口气覆盖 PyPI、Cargo、Go modules 以及所有 CI 环境的多仓库能力 · 先不要做包安装和持久化控制之外、面向所有 AI 工作流的宽泛 agent 治理策略 · 不要把面向消费者或独立开发者的商业化当成核心业务 · 在 Claude Code + VS Code 的托管部署模式还没跑顺前，先不要深挖 Windows-first 端点覆盖

进入市场
切入点	卖一个 45–60 天的付费 pilot：保护单个工程组织托管下的 Claude Code 和 VS Code 安装链路；在 npm 事故或 rollout 审查后以审计模式上线，等团队对证据、例外处理和 blocking 准确度有信心后再转正。
渠道	在公开 AI 工具 rollout、供应链事故或内部加固审查之后，由创始人直接外呼平台安全和 DevSecOps 负责人 · 免费个人 CLI 档，先做自下而上的种子用户，也顺带积累早期真实安装工作流遥测 · 和 managed-hook 厂商、工作站管理工具、制品管理生态合作——它们本来就触达企业开发者设备
漏斗目标	目标漏斗：目标账户对话→合格付费 pilot 为 20–30%；pilot→生产转化 50%+；生产→第二团队或更大范围 rollout 在 9 个月内达到 60%+。
定价	核心产品应该按“受保护的 AI 编码席位”定价，因为相邻买方已经接受按 contributor 计费的 AppSec 逻辑，而且价值也确实对应托管开发者 rollout。一个可信的起步结构是：shim + hook 监控每席位每月 $20–30；企业策略、SIEM 集成和凭证范围控制每席位每月 $40–60；pilot 总预算控制在 $15k–$30k，让团队无需等到年度安全规划也能拍板。

产品路线图
MVP	MVP 要覆盖：针对 Claude Code、VS Code 驱动会话的 npm 拦截、发布突发与软件包指纹打分、审计优先的策略判定、.claude/.vscode 完整性监控，以及 Slack/SIEM 告警。先别碰全量多仓库，也别急着做全端点治理；目标就是把最近攻击里那种持久化路径拦住，至少要先把它亮出来。
6 个月	前 6 个月要拿下 3–5 个付费 pilot：提供只审计的 npm 拦截、软件包和 hook 文件证据链、针对 TanStack/AntV 风格载荷做过红队验证的检测，以及安全团队无需工程支持就能调的例外流程。
12 个月	12 个月内，把最好的 pilot 转成生产：加上 selective blocking、托管策略 rollout、SIEM 集成，以及在支持环境里接上首版面向 GitHub 和主流云凭证链的凭证范围守护进程。
24 个月	只有当 npm 留存和部署速度都被验证后，才扩到更多 AI 编码表面和相邻包管理器；再把工作站策略、持久化监控和凭证范围控制并成更宽的开发者机器信任边界产品。
关键押注	只审计模式能保住足够的开发者信任，让团队先收集到打开 blocking 前必须要的调优数据。 · 只靠 Claude Code + VS Code 覆盖，就足够拿下第一批账户，在更广的 agent 碎片化真正成为问题前先跑出重复销售。 · 复现出的基于 Bun 的攻击链，能在本地安装链路上足够早地被拦下，避免在支持环境里形成持久化。 · 买方愿意为一条新的工作站控制单独买单，而不是等现有 AppSec 厂商把功能补齐。

商业模式
收入来源	面向受保护 AI 编码席位的年订阅，含托管安装策略执行 · 包含凭证范围控制、SIEM 集成和集中式策略管理的企业增购包 · 沿更多包管理器、业务单元和相邻工作站信任控制扩出来的增购收入
价值单位	受保护的 AI 编码席位，包含被纳入策略的安装事件和持久化策略执行。
目标毛利率	80%
扩张杠杆	在已有账户里，从审计模式扩到 blocking 和凭证范围控制 · 等 npm 证明跑顺后，再加 pnpm、Yarn，之后再扩到非 JavaScript 生态 · 从单个工程组织扩到公司级开发者笔记本策略和事故证据工作流

战略地图
北极星指标	在生产环境里运行、并开启 blocking 或审计策略、且零次未授权 hook 文件持久化事件的受保护 AI 编码席位数。
输入指标	付费 pilot 到生产环境的转化率 · 被标记安装中，后续被确认恶意或违反策略的占比 · 受保护席位上的开发者 override/disable 比例 · 首批 100 个托管席位的部署中位耗时 · 模拟 TanStack/AntV 风格载荷在持久化前被拦住的比例 · 来自席位扩张和增购模块的净收入留存
待构建护城河	把发布突发、Bun bootstrap 行为、hook 文件改写和最终分析师判定串起来的工作站遥测语料库 · 由真实企业开发者设备上的 override 和例外数据塑形出来的策略调优引擎 · 跨 managed hooks、MDM 和制品管理生态的部署 playbook，把价值兑现速度拉开到宽平台前面
终止标准	在滩头市场里，40 次目标账户对话之后仍拿不到 5 个付费 pilot · 前 6 个付费 pilot 跑完后，pilot→生产转化率仍低于 50% · rollout 后 30 天内，超过 15% 的受保护席位选择关闭、绕过，或必须长期挂例外 · 产品做满 6 个月后，受控复现的 TanStack/AntV 风格载荷在支持环境里仍有超过 20% 能完成持久化

里程碑

0-12 个月

在首批 AI 工具 rollout 滩头市场里拿下 3–5 个付费 pilot。
至少把 2 个 pilot 转成年框生产部署。
在支持环境里证明能拦住受控复现的 TanStack/AntV 风格载荷，同时把首月席位禁用率压到 15% 以下。

12-24 个月

做到 8–10 个生产客户，且托管设备部署能稳定压在 30 天以内。
把凭证范围控制和 selective blocking 做成可增购的生产模块。
在现有客户里，从单个工程组织顺利扩到更多席位或第二团队部署。

24-36 个月

只有在 npm 留存和扩张得到证明后，再扩到相邻包管理器或更多 agent 表面。
沉淀出一套明显优于现有替代品的工作站威胁情报和策略数据集。
用证据证明自己已具备往更大平台扩张、或推进 seed-to-series A 融资的 readiness。

战略地图

flowchart LR
  Wedge[AI session npm wedge] --> MVP[Audit-first shim and hook monitor MVP]
  MVP --> Proof[Blocked payloads and trusted pilots]
  Proof --> Expansion[Credential scope and wider workstation policy]

创始团队

角色	入职时间	理由
安全产品创始人	第 0 个月	负责共创客户销售、买方洞察、定价和产品边界，让公司始终聚焦在一块最紧迫的工作站控制缺口上。
创始工程师	第 0 个月	尽快把 npm shim、hook monitor、实验室 harness 和第一版策略引擎做出来，撑起付费 pilot。
检测工程师	第 2 个月	pilot 一旦开始产生遥测，就由他负责攻击信号调优、误报压降，以及后续的凭证范围守护进程。
解决方案工程师	第 4 个月	把共创客户打磨成可复制部署，扛托管设备 rollout，并沉淀例外处理 playbook。
GTM 负责人	第 9 个月	等第一批 pilot 真正转化、事件驱动的销售动作跑出重复性后，再补 pipeline 产能。

实验路线图

阶段	实验	假设	成功指标	负责人
0-90 天	ICP 和买方触发访谈	刚启动的 AI 工具 rollout 加上新近 npm 事故，足以制造付费工作站控制 pilot 的紧迫性。	完成 20 次目标账户访谈，其中至少 8 个合格潜在客户确认存在明确触发点，且 5 个要求继续跟 pilot。	安全产品创始人
0-90 天	在受控实验室里复现 TanStack 和 AntV 风格载荷	本地 shim + hook 文件监控能在未授权写入落地前拦下持久化。	在支持环境里，至少 80% 的测试样例能在持久化前被阻断或完全暴露出来，同时判定延迟中位数低于 200 ms。	创始工程师
90-180 天	只审计的托管设备 pilot	只要告警说得清、例外处理贴近平台安全工作流，买方就能接受审计优先的部署方式。	上线 3 个付费 pilot，中位 rollout 时间低于 30 天，首月被禁用或被绕过的席位占比低于 15%。	解决方案工程师
90-180 天	定价与打包测试	围绕托管开发者席位定价，再叠企业增购包，会比单纯按量或 proxy 风格定价更容易转化。	同一套首选定价在 10 场定价访谈中至少赢下 6 场，并进入 2 份已签 pilot scope。	安全产品创始人
6-12 个月	Selective blocking 和 SIEM 工作流 rollout	只要例外处理足够准，告警又能直接接进现有 incident pipeline，客户就愿意从审计模式切到 blocking。	至少 2 个 pilot 在生产环境开启 blocking，并出现已确认的恶意或违规事件，同时手工 override 占比低于 10%。	检测工程师
12-18 个月	凭证范围守护进程增购测试	给 GitHub 和云凭证换成短期、受限版本，会明显拉高 pilot→生产转化和账户扩张。	3 个生产客户启用守护进程，并在转化率、席位扩张或 secret 暴露发现上，至少有一项优于只上 shim 的部署。	检测工程师

风险评估

商业计划风险 — 4 已映射

影响 →

高

R1 R2

中

低

中

高

可能性 →

R1Endor、Socket 或其他现有厂商，会在公司建立市场可信度前就把 hook 文件监控和本地软件包控制打包进去。 · High可能性 / High影响 — 尽快拿下前 10 个生产客户，优先走最快的部署路径，沉淀差异化工作站遥测，而不是做通用扫描功能。
R2误报或安装延迟会制造足够强的工程摩擦，逼客户关闭执法。 · High可能性 / High影响 — 先从审计模式起步，用红队语料库和 pilot 数据调优，并把 blocking 绑定在清晰的精度阈值和客户复核流程之后。
R3managed hooks 或 wrapper 层控制，可能来不及在持久化或外传发生前拦住部分攻击链。 · Medium可能性 / High影响 — 先把支持环境收窄，在复现的 Bun 载荷上把第一条路径跑通，再考虑更深的端点措施。
R4目标 100–500 人市场里，真实的 AI 编码席位数或集中策略控制能力，可能低于模型假设。 · Medium可能性 / Medium影响 — 尽早核实席位规模和部署权；如果中端市场 rollout 太不成熟，就把滩头往更大、集中管理更强的团队上移。

风险	可能性	影响	缓解措施
Endor、Socket 或其他现有厂商，会在公司建立市场可信度前就把 hook 文件监控和本地软件包控制打包进去。	High	High	尽快拿下前 10 个生产客户，优先走最快的部署路径，沉淀差异化工作站遥测，而不是做通用扫描功能。
误报或安装延迟会制造足够强的工程摩擦，逼客户关闭执法。	High	High	先从审计模式起步，用红队语料库和 pilot 数据调优，并把 blocking 绑定在清晰的精度阈值和客户复核流程之后。
managed hooks 或 wrapper 层控制，可能来不及在持久化或外传发生前拦住部分攻击链。	Medium	High	先把支持环境收窄，在复现的 Bun 载荷上把第一条路径跑通，再考虑更深的端点措施。
目标 100–500 人市场里，真实的 AI 编码席位数或集中策略控制能力，可能低于模型假设。	Medium	Medium	尽早核实席位规模和部署权；如果中端市场 rollout 太不成熟，就把滩头往更大、集中管理更强的团队上移。

首个客户
标题	一家 150–400 人、已启用 AI 编码的软硬件公司的平台安全负责人
画像	一家 Series B-D 的软件、基础设施或开发工具公司，开发者笔记本以托管的 macOS 或 Linux 为主，已经正式 rollout Claude Code 或 Cursor，内部 npm 工作流很重。
触发点	最近一次 npm 攻陷、内部红队发现，或 AI rollout 安全审查，让团队意识到 .claude 和 .vscode 的持久化已经落在现有控制之外。
买方	平台安全负责人或工程副总裁
初始合同	先卖一个 $15k–$30k、覆盖 100–250 名受保护工程师、周期 45–60 天的付费 pilot；等托管策略、blocking 和 SIEM 流程扩到整个组织后，再转成约 $50k–$120k 年度 ACV。

必须成立的条件

至少三分之一的合格滩头账户，必须把“工作站级 AI 会话持久化”视为当下就有预算要补的控制缺口，而不是未来路线图需求。
只审计 pilot 必须在 30 天内产出有行动价值的检测或拦住红队载荷，而且禁用/绕过比例不能超过 15%。
shim 和 hook monitor 必须在支持环境里，于持久化发生前拦住复现的 TanStack/AntV 风格载荷。
客户必须愿意为有意义规模的生产部署支付每席位每月高于 $20，或年 ACV 高于 $50k 的有效价格。
在公司拿下至少 10 个生产客户并沉淀出差异化遥测之前，Endor、Socket、Snyk、Semgrep 都不能把这条切口彻底中和。

待尽调问题

在 100–500 人的目标账户里，已经有多少集中托管的 Claude Code、Cursor、Codex 席位？
要在 lifecycle script 运行前执行产品，managed-hook 或 MDM rollout 到底够不够，还是必须更深的端点控制？
什么样的误报率和额外延迟，会逼工程团队关闭或绕过工作站控制？
在真实对比测试里，哪些检测结果能明显优于 Endor、Socket、Snyk 或内部脚本？
公司能不能在不破坏买方期待的本地优先隐私姿态下，收集到足够的安装和 hook 遥测来持续优化检测？

投资人判断
结论	Watch
信心	痛点足够重，切口也够克制，这个机会值得持续跟；但在公司证明自己能低摩擦部署、并且在 Endor 或 Socket 打包前确实有时间窗之前，判断不该拉得太满。
相信的理由	公司抓住了一块刚刚显形的工作站控制缺口，而且第一批客户、购买触发、部署路径和证明点都能讲圆。
怀疑的理由	时间窗口可能很短，因为现有厂商本来就在卖给同一批买方；而误报带来的日常打扰，也可能把一个真实问题迅速变成大家不能忍的负担。
下一步尽调	重点尽调 3–5 个付费 pilot：能否复现近期攻击、在 30 天内铺到托管 AI 工具设备上，并把 disablement 控在既定阈值以下。

章节

财务模型

三年合计
第 1 年收入	$185K EBITDA $-976K · 期末现金 $1.62M
第 2 年收入	$1.04M EBITDA $-913K · 期末现金 $712K
第 3 年收入	$2.08M EBITDA $-422K · 期末现金 $290K

单位经济
年 ARPU	$108K
毛利率	80%
CAC	$65K 回本期 9.0 个月
LTV / CAC	6.9x 生命周期价值 $450K

融资需求
轮次	种子前轮 · $2.6M
跑道	22 个月
里程碑	在下一轮 seed 前，做到 10–12 个生产客户、部署周期压到 30 天以内，并把 blocking 或凭证范围控制的增购跑成可重复动作。

模型合理性

收入引擎. base 案例的收入来自：Y1 落下 6 个活跃账户，Q4Y2 扩到 12 个活跃组织，再靠席位扩张和高级模块在 Y3 做到 $2.1M 收入。
必须跑顺的地方. 模型要求只审计 pilot 的禁用率低于 15%，这样转化才能发生，而公司也不用提前搭一支重实施服务团队。
模型会在哪儿断. 下行情景已经说明：即便没有明显的招聘失误，只要销售周期变慢、ARPU 再降一些，下一轮融资前现金就可能轻微跌破 0。
下一轮证明点. 只要公司做到 10–12 个生产客户、部署周期小于 30 天，并把 blocking 或凭证范围控制的增购跑成可复制动作，下一轮融资故事就会最强。

营收、现金与 EBITDA — 12 个月的 Y1 + 8 个季度的 Y2/Y3

营收（线/面积）
期末现金（虚线）
EBITDA（柱，灰色为亏损）

资金用途 — $2.6M 种子前轮

按角色的人力增长 — 峰值8 FTE

创始人/高管
工程
解决方案
销售
G&A

第3年情景：基准 / 下行 / 上行

	第3年营收	第3年 EBITDA	现金最低点	说明
下行	$1.55M	-$742K	-$95K	pilot 转化整体慢约两个季度，而且现有厂商打包压价，导致高级模块增购始终有限。
基准	$2.08M	-$422K	$290K	审计优先的 pilot 按计划转化，早期客户内的席位逐步扩张，高级模块也缓慢挂上去。
上行	$2.56M	-$85K	$430K	共创客户转化更快，且凭证范围控制或 blocking 模块提前一个季度挂上去，同时不需要额外大幅扩招。

敏感性——第3年现金与营收影响（按幅度排序）

变量	下行	上行	现金影响	营收影响
ARPU	退出期混合 ACV 掉到约 $102K，因为买方只停留在核心档。	在席位扩张更强、高级模块挂得更顺的情况下，退出期混合 ACV 达到约 $132K。	-$250K	-$312K
销售周期	事故紧迫性消退后，转化周期会从约 6 个月拖到 9 个月。	参考客户一旦形成，整体销售周期可大致缩短一个季度。	-$210K	-$255K
招聘节奏	在收入重复性还没被证明前，就把 1 名工程和 1 名 GTM 招聘提前拉前。	等扩张经济性跑顺后，再补那些非刚需岗位。	-$210K	-$40K
CAC	更多 pilot 需要创始人和工程团队深度介入，CAC 升到 $80K。	如果事故驱动的定向获客和客户转介绍更有效，CAC 可降到约 $55K。	-$180K	$0K
流失率	如果切口始终偏窄，月流失率会漂到 2.2%。	一旦客户叠上 blocking 和凭证范围控制，月流失率有机会降到约 1.2%。	-$170K	-$228K
毛利率	如果部署仍需要更重的人力分析和支持，毛利率会停在约 75%。	如果 rollout 和证据工作流更早标准化，毛利率可升到 82%。	-$155K	$0K

情景

情景	第 3 年收入	第 3 年 EBITDA	现金低点	说明	关键变化
下行	$1.55M	$-742K	$-95K	pilot 转化整体慢约两个季度，而且现有厂商打包压价，导致高级模块增购始终有限。	Q4Y3 的活跃客户数从 20 家降到 15 家。退出期混合 ACV 从 $120K 掉到约 $102K。毛利率停在约 75%，因为部署仍更偏服务密集。
基准	$2.08M	$-422K	$290K	审计优先的 pilot 按计划转化，早期客户内的席位逐步扩张，高级模块也缓慢挂上去。	base 案例直接采用 A1-A20，不再额外加情景修正。
上行	$2.56M	$-85K	$430K	共创客户转化更快，且凭证范围控制或 blocking 模块提前一个季度挂上去，同时不需要额外大幅扩招。	Q4Y3 的活跃客户数从 20 家升到 24 家。退出期混合 ACV 提升到约 $132K。由于部署 playbook 更早标准化，毛利率提升到约 82%。

敏感性

变量	下行情景	基准情景	上行情景
ARPU	退出期混合 ACV 掉到约 $102K，因为买方只停留在核心档。	随着高级模块适度增购，退出期混合 ACV 达到 $120K。	在席位扩张更强、高级模块挂得更顺的情况下，退出期混合 ACV 达到约 $132K。
CAC	更多 pilot 需要创始人和工程团队深度介入，CAC 升到 $80K。	每拿下一个新客户，平均 CAC 为 $65K。	如果事故驱动的定向获客和客户转介绍更有效，CAC 可降到约 $55K。
流失率	如果切口始终偏窄，月流失率会漂到 2.2%。	月流失率维持在 1.6%。	一旦客户叠上 blocking 和凭证范围控制，月流失率有机会降到约 1.2%。
销售周期	事故紧迫性消退后，转化周期会从约 6 个月拖到 9 个月。	pilot 到生产的时间，维持在第 1 年 funnel 目标假设内。	参考客户一旦形成，整体销售周期可大致缩短一个季度。
毛利率	如果部署仍需要更重的人力分析和支持，毛利率会停在约 75%。	第 1 年之后，毛利率达到 80%。	如果 rollout 和证据工作流更早标准化，毛利率可升到 82%。
招聘节奏	在收入重复性还没被证明前，就把 1 名工程和 1 名 GTM 招聘提前拉前。	第 2 位 GTM 在 Q2Y2 入职，第 3 位工程师在 Q3Y2 入职，G&A 要等到 Q4Y3。	等扩张经济性跑顺后，再补那些非刚需岗位。

关键假设 (22)

ID	名称	数值	单位	来源
A1	模型启动月份	2026-06	YYYY-MM	在 2026-05-20 这版 business-plan 之后的第一个完整月份启动。
A2	起始现金与本轮交割	2600	USDK	[BP fundingAsk targetFundingRangeUsd $2-4M; BP fundingAsk runwayMonths 18] base 案例假设模型启动时完成 $2.6M 的 pre-seed，以跑到 Y2 证明点并多留约 6 个月缓冲。
A3	起始客户数（M1）	0	organizations	[BP executiveSummary; BP milestones 0-12 个月] 公司从 0 收入起步，必须先拿到付费 pilot 才能转生产。
A4	pilot 定价锚	15-30	USDK per 45-60 day pilot	[BP gtm.pricing; BP investorMemo.firstCustomer.initialContract] 付费 pilot 必须卡在 $15k-$30k 预算带内，团队才能在年度规划前拍板。
A5	首批生产环境 ACV	72	USDK per customer per year	[BP investorMemo.firstCustomer.initialContract $50k-$120k 每年 ACV] base 案例从给定量产区间的偏下中位数起步。
A6	退出期混合 ACV	120	USDK per customer per year	[BP gtm.pricing $40-$60 premium tier; BP businessModel.expansionLevers] Y3 的 ACV 提升来自受保护席位增加，以及 blocking、SIEM、凭证范围控制的增购。
A7	收入确认规则	新 logo 在落地当月按半个月计收入；季度收入按活跃客户平均数乘混合月收入计算。	policy	[Startup-finance heuristic] 让收入和客户数能对得上，同时反映期中落单。
A8	Y1 客户爬坡	第一个付费 pilot 在 M4 落地，到 M12 时共有 6 个活跃付费组织。	organizations	[BP milestones 0-12 个月; BP experimentRoadmap audit-only managed-fleet pilot] 对应第 1 年 3–5 个付费 pilot，以及最早一批生产转化。
A9	Y2 客户爬坡	Q1Y2 为 8 家、Q2Y2 为 9 家、Q3Y2 为 11 家、Q4Y2 为 12 家活跃组织。	organizations	[BP milestones 12-24 个月] 把“8–10 个生产客户”解释成约 10 个量产账户，外加少量重叠的 pilot 或扩张。
A10	Y3 客户爬坡	Q1Y3 为 14 家、Q2Y3 为 16 家、Q3Y3 为 18 家、Q4Y3 为 20 家活跃组织。	organizations	[BP milestones 24-36 个月; research market.som] base 案例到 20 个账户，仍明显小于研究里的第 3 年 $9.6M SOM，假设的是专注扩张而不是赛道通吃。
A11	混合月收入阶梯	Y1：M4-M6 为 $7K，M7-M9 为 $7.5K，M10-M12 为 $8K；Y2：按季度从 $8.5K 升到 $10K；Y3：按季度从 $10K 升到 $11.5K。	USDK per active customer 每月	[BP gtm.pricing; BP investorMemo.firstCustomer.initialContract; research reportMemo.willingnessToPay] 把席位定价折算成组织级的混合收入曲线，并假设适度扩张。
A12	毛利率目标	80	百分比	[BP businessModel.targetGrossMarginPct] 模型在 Y1 用 79%，Y2 起用 80%，因为部署流程会更标准化。
A13	核心招聘顺序	模型启动时配创始人和创始工程师；M2 补检测工程师，M4 补解决方案工程师，M9 补 GTM 负责人。	timing	[BP team] 直接沿用 business-plan 第 1 年的招聘顺序。
A14	验证后再补的招聘	Q2Y2 补第 2 位 GTM，Q3Y2 补第 3 位工程师，Q4Y3 再补第 1 位 G&A。	timing	[BP milestones 12-24 个月; heuristic: add capacity only after the pilot motion is repeatable and keep post-Y1 hiring lean] 只有当 pilot 动作跑顺后才补产能，Y1 之后继续维持精简扩张。
A15	fully loaded 月薪带宽	Executive $18K; Engineering $17K; Solutions $14K; GTM $15K; G&A $11K	USDK per FTE 每月	[BP team; startup-finance heuristic] 对应美国资深安全软件人才的现金薪酬 + 人力附加成本，但仍保持 pre-seed 的精简水位。
A16	非人力运营支出	研发工具和实验室支出起步约每月 $11K-$15K，销售市场从创始人主导的每月 $3K-$13K 起步，G&A 一直精简到 Y3 后段。	USDK	[BP operations; BP gtm.channels; heuristic: local-first security software with limited implementation services] 这是一种本地优先、安全软件、且实施服务占比有限的支出结构。
A17	稳态 CAC	65	USDK per new customer	[BP gtm.funnelTargets; BP gtm.channels; research reportMemo.competitiveLandscape] 早期企业安全销售要靠付费 pilot 和创始人亲自打单，因此 CAC 偏高是合理的。
A18	用于单位经济模型的月流失率	1.6	百分比	[Startup-finance heuristic] 这种按年合同卖的早期安全基础设施，流失率应低于 SMB SaaS；但切口仍会受现有厂商打包和部署摩擦影响。
A19	现金转换简化假设	期末现金 = 期初现金 + 累计 EBITDA。	policy	[Startup-finance heuristic] 这里把营运资本波动、债务和 capex 视为对早期软件模型不重要。
A20	融资规模规则	融到的钱要足够把公司送到 10–12 个生产客户的证明点，并额外留出约 6 个月现金缓冲。	policy	[BP fundingAsk.runwayMonths 18; model requirement] base 案例的融资规模锚定的是下一轮可融资证明点，而不是一次性覆盖完整 3 年现金消耗。
A21	下行情景变量	生产转化整体晚两个季度，退出期 ACV 掉向 $102K，毛利率则落在约 75%。	scenario	[BP risks; research sensitivityCases] 反映价格承压、rollout 变慢，以及部署更像服务项目时的下行。
A22	上行情景变量	扩张提前一个季度落地，退出期 ACV 提到约 $132K，毛利率改善到 82%。	scenario	[BP businessModel.expansionLevers; BP experimentRoadmap credential-scope daemon attach test] 上行情景假设高级模块顺利增购，而且不用再额外大幅扩招。

单位经济模型流转

flowchart LR
  Leads[Triggered target accounts] --> Pilots[Paid pilots]
  Pilots --> Customers[Production customers]
  Customers --> Revenue[Seat and module revenue]
  Revenue --> GrossProfit[Gross profit after hosting and support]
  GrossProfit --> Cash[Cash runway]

警示项: base 案例到 Y3 仍是 EBITDA 亏损，因此公司大概率会在真正盈亏平衡前先做一轮后续融资。 · 现金最低点只有 $290.1K；只要 pilot 转化再慢一点，或遇到一个实施特别重的大客户，跑道就会很快吃紧。 · 模型默认现有厂商不会把价格压到每个活跃组织每月大致 $8.5K-$10K 以下；一旦切口更显眼，这个前提就可能失效。

章节

主要风险

现有厂商快速补功能. 一旦这个方向公开，Socket.dev 或 Snyk 可能在 6–12 个月内就把 AI 会话 hook 监控和发布速度检测补成现有产品的一项功能。 缓解措施: 尽快签下 10+ 家付费企业客户，在现有厂商反应过来前先把凭证范围守护进程做出来；同时争取和 npm、AI 工具厂商签排他性数据共享协议。
误报摩擦. 如果把正常 npm 包也拦得太狠，开发者信任会立刻崩；只要一次误报拖慢生产部署，平台安全团队就可能把工具直接关掉。 缓解措施: 默认以只审计模式上线，先跑 30 天校准期；把误报率作为核心产品指标重点投入，并公开放到准确率仪表盘上。
AI 工具 API 碎片化. Claude Code、Codex、Cursor 以及未来更多 AI 编码工具，各自的会话 hook schema 和配置文件路径都不同；市场一旦碎片化，维护负担会持续抬升。 缓解措施: 把 hook schema 库开源，吸引厂商共同维护；前 12 个月优先把 Claude Code 和 VS Code 做透，再有节奏地扩到其他工具。

章节

证据

引用来源 (28)

Socket Security. AntV npm Packages Compromised in Mini Shai-Hulud Supply-Chain Attack · https://socket.dev/blog/antv-packages-compromised
Socket Security. TanStack npm Packages Compromised in Ongoing Mini Shai-Hulud Supply-Chain Attack · https://socket.dev/blog/tanstack-npm-packages-compromised-mini-shai-hulud-supply-chain-attack
Endor Labs. Mini Shai-Hulud: npm Worm Hits SAP Developer Packages · https://endorlabs.com/learn/mini-shai-hulud-npm-worm-hits-sap-developer-packages
Endor Labs. Shai-Hulud: The Third Coming — Inside the Bitwarden CLI 2026.4.0 Supply Chain Attack · https://endorlabs.com/learn/shai-hulud-the-third-coming-bitwarden-cli
Socket Security. The Hidden Blast Radius of the Axios Compromise · https://socket.dev/blog/hidden-blast-radius-of-the-axios-compromise
Wiz. TeamPCP Attack on Checkmarx KICS GitHub Action and OpenVSX Extensions · https://www.wiz.io/blog/teampcp-attack-kics-github-action
npm. Generating provenance statements · https://docs.npmjs.com/generating-provenance-statements
npm. About access tokens · https://docs.npmjs.com/about-access-tokens
GitHub. About supply chain security for your software · https://docs.github.com/en/code-security/supply-chain-security/understanding-your-software-supply-chain/about-supply-chain-security
Anthropic. Claude Code Hooks Reference · https://docs.anthropic.com/en/docs/claude-code/hooks
Microsoft. VS Code Tasks — tasks.json Format Reference · https://code.visualstudio.com/docs/editor/tasks
Phoenix Security. Three CVEs in Claude Code CLI: Chain from Environment Variable to Credential Exfiltration · https://phoenix.security/claude-code-leak-to-vulnerability-three-cves-in-claude-code-cli-and-the-chain-that-connects-them/
Endor Labs. When the Guardrails Slip: The Case for Hook-Based Governance Across Agent Platforms · https://endorlabs.com/learn/when-the-guardrails-slip-the-case-for-hook-based-governance-across-agent-platforms
Endor Labs. Introducing Agent Governance: Using Hooks to Bring Visibility to AI Coding Agents · https://endorlabs.com/learn/introducing-agent-governance-using-hooks-to-bring-visibility-to-ai-coding-agents
Endor Labs. Introducing Security for AI Coding Agents and Workstations · https://endorlabs.com/learn/introducing-security-for-ai-coding-agents-and-workstations
Endor Labs. Introducing the Endor Package Firewall · https://endorlabs.com/blog/introducing-package-firewall
Socket Security. Socket Firewall Enterprise: HTTPS Proxy Mode and Policy Engine · https://socket.dev/blog/socket-firewall-enterprise
Socket Security. Socket MCP: Real-Time Dependency Checks for AI Assistants · https://socket.dev/blog/socket-mcp
Snyk. Snyk Pricing · https://snyk.io/pricing/
Semgrep. Semgrep Pricing · https://semgrep.dev/pricing
Chainguard. Chainguard Libraries: Hardened JavaScript Packages · https://www.chainguard.dev/libraries
Endor Labs. Endor Labs Product Tiers · https://endorlabs.com/product
Endor Labs. 2026 Open Source Malware Research Report · https://endorlabs.com/research-report/2026-open-source-malware-research
Stack Overflow. Stack Overflow Developer Survey 2025 — AI · https://survey.stackoverflow.co/2025/ai
Socket Security. Socket Named to Rising in Cyber 2026 — Report Statistics · https://socket.dev/blog/rising-in-cyber-2026
TanStack. npm Supply Chain Compromise Postmortem · https://tanstack.com/blog/npm-supply-chain-compromise-postmortem
GitHub. Octoverse 2024 · https://github.blog/news-insights/octoverse/octoverse-2024/
Stack Overflow. Stack Overflow Developer Survey 2025 — Work · https://survey.stackoverflow.co/2025/work