AI写代码15倍爆发，安全工具开始"外挂"求生

「2025年的代码产量是2024年的15倍，大部分不是人写的。」Boost Security创始人Zaid Al Hamami这句话，把AI编程时代的安全焦虑摊在了桌面上。

这家2020年成立的应用安全公司，刚刚宣布连收两家初创企业、再拿400万美元融资。动作背后是一套新逻辑：当代码生成速度突破人类审查极限，安全工具必须从"事后检查"变成"前置拦截"。

一张图看懂：Boost在拼什么版图

这次收购的核心，是把三条技术线拧进同一个平台。

第一条线来自SecureIQx——MIT孵化的软件成分分析（SCA）可达性引擎。传统SCA工具的问题是"狼来了"：扫描出一堆漏洞依赖，安全团队分不清哪些真能被攻击者触及。SecureIQx的技术能同时分析二进制文件和源代码，覆盖十几种编程语言，判断"这个漏洞组件在生产环境里到底能不能被调用"。

第二条线来自Korbit.ai——基于数亿行代码训练的AI代码审查系统。它干的事是在开发者提交代码（pull request）阶段就拦截安全问题、性能缺陷和编码错误，而不是等代码合并后扫描。

第三条线是Boost原有的底子：开发者终端保护、软件供应链安全、AI原生应用安全态势管理，三件事打包成一个产品。

三条线拼在一起，目标场景很明确：防御AI编程工具链——包括各种编码智能体（coding agents）——在机器速度下可能引入的漏洞。

为什么是"可达性分析"和"AI审查"

这两个收购标的的选择，暴露了Boost对当前安全痛点的判断。

先看SecureIQx的可达性分析。软件成分分析（SCA）是个老赛道，Snyk、Synopsys、Mend（前身WhiteSource）都做了多年。但传统SCA的痛点是噪音：一个中型项目可能依赖上千个开源包，扫描器报出几百个"漏洞"，其中大部分根本不会被实际执行到。

安全团队被迫在"漏报风险"和"开发阻塞"之间走钢丝。可达性分析的技术价值，是把"这个漏洞存在"降级成"这个漏洞可被利用"——只拦真狼，不喊假警报。

再看Korbit.ai的AI审查。它的差异化在于训练数据规模和介入时机。数亿行代码的训练量，意味着它对"AI生成的代码长什么样"有统计层面的识别能力；pull request阶段的介入，则把安全左移到了代码合并前的最后一刻。

这里有个微妙的产品逻辑：当AI开始写代码，人类审查者的注意力成了瓶颈。Korbit.ai的角色不是替代人，而是把"明显有问题"的代码先筛掉，让人类专注看真正需要判断的变更。

融资背后的资本判断

这400万美元是原有资本基础的延伸轮，投资方包括White Star Capital、Amiral Ventures、Accelia Capital和Sorensen Capital。没有新机构进场，说明老股东在加注同一个判断。

White Star Capital合伙人Catherine Ouellet-Dupuis的表述很直接：「更深层的风险在于，全球每个工程团队现在都在发布由AI智能体编写的代码，这些代码可能在机器速度和机器规模下 unknowingly 引入漏洞。你不能让写bug的那个智能体当你的最后一道防线。」

这句话点出了Boost的产品定位——"sit outside that loop"（坐在那个循环之外）。意思是，安全工具必须独立于代码生成智能体运行，而不是依附于同一个AI系统。逻辑类似于：你不能让考试出题人同时当监考。

这个定位把Boost和一类竞品区分开：那些直接在IDE或代码编辑器里提供安全建议的工具，本质上还是和AI编码助手共享上下文。Boost想做的是更底层的拦截——在包被 ingestion 之前阻断供应链威胁，在代码进入仓库之前自动修复漏洞。

赛道格局：老对手和新变量

Boost把自己摆在和Snyk、Endor Labs、Apiiro竞争的位置。这三家的共性是都试图覆盖"开发者安全"全链路，但技术路线各有侧重。

Snyk是市值最高的玩家之一，SCA、SAST（静态应用安全测试）、容器安全、IaC（基础设施即代码）安全都有布局，强项是开发者体验和开源情报。Endor Labs由前Synopsys高管创立，核心卖点是"依赖生命周期管理"，同样强调可达性分析来减少噪音。Apiiro被Palo Alto Networks以6亿美元收购，主打的是代码风险图谱和开发者行为分析。

Boost的差异化标签是"AI原生"——不是把AI当功能叠加，而是从架构设计上假设"代码主要由AI生成"。这个假设改变了产品优先级：传统工具优化的是"人类开发者怎么更快修复问题"，Boost优化的是"机器生成的漏洞怎么被机器自动拦截"。

但"AI原生"也是个正在被稀释的概念。Snyk在2024年推出了AI代码修复功能，Endor Labs也在强化对AI生成代码的检测。Boost的先发窗口期有多长，取决于这次收购的技术整合速度。

技术整合的挑战

收购价格未披露，说明要么是金额不大，要么是涉及股权结构复杂。对Boost来说，真正的成本在技术整合。

SecureIQx的可达性引擎需要接入Boost现有的软件供应链安全模块，处理十几种语言的二进制和源码分析，计算资源开销不低。Korbit.ai的AI审查模型需要持续训练，以适应新的编程语言特性和AI代码生成模式的变化。

更深层的问题是数据流设计。Boost的平台承诺"自动修复漏洞"，这意味着可达性分析的结果、AI审查的标记、自动修复的建议，需要在同一个工作流里闭环。三个原本独立的技术栈要变成"一个产品"，UI一致性、API兼容性、性能调优都是硬仗。

400万美元的新资金，量级上更像是运营补充而非大规模扩张。Boost的下一步，可能是用整合后的平台能力去打几个标杆客户，验证"AI原生防御"的付费意愿。

一个值得观察的指标

Al Hamami提到的"15倍代码增长"来自"some estimates"（某些估算），没有给出具体出处。这个数字本身可能混合了GitHub Copilot、Cursor、Devin等工具的代码生成量，以及传统开发的自然增长。

但不管精确数字是多少，趋势方向是确定的：AI编码工具的渗透率正在跨过从"辅助"到"主导"的临界点。GitHub 2024年的报告显示，Copilot生成的代码占某些项目新增代码的40%以上；Cursor的月活开发者数在2024年增长了数十倍。

代码生成规模的指数级增长，和安全审查能力的线性增长之间，裂缝正在扩大。Boost的赌注是，这个裂缝足够大，能容下一个专门为此设计的平台。

数据收束：400万美元延伸轮、两家收购、15倍代码增长估算、数亿行代码训练量、十几种编程语言覆盖——这些数字勾勒出一个正在成型的细分市场：不是"AI for Security"，而是"Security for AI-generated Code"。两者的商业逻辑完全不同，前者卖的是效率工具，后者卖的是风险保险。Boost选的是后者，而保险的价值，要等到出险时才被真正定价。