AI 杀 AI：Socket 一夜成筛子

ONE / 事件复盘Socket 不是被黑了,是被 AI 卸了甲

要看懂这次「筛子」事件,首先得搞清楚一件背景:Socket.dev 是过去两年最被神化的 AI 安全平台,没有之一。它的核心卖点是「在恶意 npm 包发布后 18 分钟内识别」,而过去 60 天里,它真的连续打出过几记漂亮的快拳。3 月 31 日 Axios 被朝鲜国家级黑客组织 Sapphire Sleet 投毒(Axios 是周下载量 1 亿次的 HTTP 库),Socket 的 AI 扫描器在恶意依赖 plain-crypto-js@4.2.1上线第 6 分钟就告警;5 月 11 日 TanStack 被攻陷(84 个恶意版本在 6 分钟内批量推上 npm),TanStack 创始人 Tanner 在事后官方报告中明确写道:「我刚开 war room,几分钟之内就接到 Socket 打来的电话。」这种「分钟级响应」让 Socket 成了大多数中小开发团队唯一能买得起的「AI 海关」。

然而,Theo 这条推文戳破的是一个被掩盖很久的事实:Socket 的护城河,本质是一组「大模型 + 启发式规则」拼出来的概率判断,而不是用形式化、可证明的代码安全模型搭出来的。换句话说,Socket 像一个「全程靠看脸识坏人」的机场安检员——识别速度极快、准确率不低,但它的工作机制是「认脸」,不是「测谎」。一旦攻击者学会化妆——让恶意代码长得像正常代码、让 install 脚本看起来像一次合理的依赖加载——这位 AI 安检员就会笑着把炸弹放进来。Theo 用「sieve」(筛子)这个词非常精确:不是 Socket 被攻陷了,而是它的检测能力本身,从架构上就存在结构性漏洞。

TWO / X 上各方分析:为什么所有人都站出来打 Socket?

这条推文之所以一夜冲上 X 热榜,核心原因不是 Theo 个人影响力大,而是它撕开了一块整个安全行业心照不宣的遮羞布——大家其实早就不信任何单一 AI 扫描器,只是没人愿意第一个说出来。评论区瞬间分成三派,而没有一派是站出来替 Socket 辩护的。这种「全场静默式不辩护」,在传统软件圈几乎不可能出现,只有当一个领域积压了过多被掩盖的真相时才会发生。

这五种声音串起来,你会看到一幅让人脊背发凉的图景:「攻击侧、维护侧、防御侧、舆论侧」四个角色全部承认 AI 安全工具的边界已经溃缩。Curl 在 2025 年初就因为 AI 垃圾报告淹没被迫终止赏金渠道;Node.js 在 2026 年 5 月暂停了 Internet Bug Bounty 接入,部分原因正是 AI 假报告把志愿维护者的精力榨干。而 Socket,这个曾经被誉为「AI 海关界的世界杯冠军」,正在被同一类 AI 技术,从供给侧(攻击伪装)和需求侧(假报告淹没)同时夹击。

更深一层看,这件事暴露了 AI 安全 SaaS 的激励错位:厂商的目标是「展示一个高检测率数字」(可以通过基准测试调优造出来),而客户的真实目标是「我不要被 pwn」。这两个目标在过去几年被混淆为同一件事,但现在被 Theo 一条推文拆开了——这种「神话被拆」往往不是渐变,而是断崖。Cisco UCS 2014 年、SolarWinds 2020 年,都是同一种叙事曲线:神话期 → 单点事件 → 共识崩塌 → 行业重构。Socket 这个时间点,大概率正处在「神话期 → 共识崩塌」的拐点上。

THREE / 杀招AI 攻击者的化妆术:为什么 Socket 注定被穿?

很多人会问一个直觉问题:Socket 每周扫描几亿个包,这么大数据量训练出来的 AI,真的会被骗?答案是,不仅会,而且必然——这是数学层面注定的。讲清这件事,需要一个学术名词:对抗样本攻击(Adversarial Examples)。这个概念其实在 2014 年由 Ian Goodfellow 提出,在图像识别领域折磨了学界十年——你给一张熊猫的图加上肉眼看不见的噪声,AI 就会确信它是长臂猿。2026 年发生的事情,是同一种攻击,被原封不动地搬到了软件供应链上。

FOUR / 真正的恐怖:AI 在写代码 / 攻代码 / 审代码 / 报漏洞,同时叛变

如果说第三段讲的是 Socket 单点被穿,这一段要讲的是:整个软件生命周期上,AI 同时扮演四个角色,而且这四个角色其实是同一种技术、同一类模型、同一份训练数据。这才是 Theo「筛子」一词背后真正的恐怖——你的代码所处的世界,从「人写人审」变成了「AI 写 AI 审 AI 攻 AI 报」,而四个 AI 之间没有任何「独立观察者」。这就像一场足球赛,主队、客队、裁判、VAR 全是同一个人——任何「公平判罚」的承诺都是空话。

把哥德尔推论落到现实:Google Threat Intelligence Group 在 5 月 11 日刚发的报告里点名,黑客已经开始用 AI 模型(包括 OpenClaw)寻找并利用 0day,「计划用于一次大规模漏洞利用事件」,被 Google 主动反制才没成功。Anthropic 的 Mythos 模型在 Mozilla Firefox 150 上跑出 271 个新漏洞——其中很多潜伏 10–15 年没被人类发现。这意味着 AI 不只是在和 Socket 这种 AI 扫描器对赌,它在和整个人类安全社区的 30 年存量代码对赌,而且赢面巨大。Mandiant 测算:从 2020 年的 700 天「平均利用窗口」,缩短到 2025 年的 44 天,再到 2026 年的「负值化」——攻击者已经跑赢了防御者的 OODA 循环。

FIVE / fenz.ai 视角:为什么「单 AI 防线」必须被砍掉?

站在 fenz.ai 长期做企业级 AI 审计的角度,Socket 这次事件其实没有任何「偶然」。我们内部早在 2025 Q4 就把它作为「必然在 12 个月内塌房」的代表案例写进了客户白皮书。原因很简单——任何只靠「一个大模型 + 一组启发式规则」做安全决策的产品,在 2026 年都是结构性脆弱的。这种脆弱性,既不是工程问题,也不是数据问题,而是架构问题。架构问题不会随着模型升级而解决,它只会随着模型升级而恶化(因为攻击者的 LLM 也在同步升级)。

为什么单 AI 防线必死 · 三条第一性原理

fenz.ai 把上面三条原理落地成「四道闸门」模型——这是我们给所有客户的最小可行 AI 审计架构:

SIX / 给每个开发者的 7 条求生清单 + 2026–2027 黑暗预测路线图

Theo 那条推文值得每一个开发者转发,不是因为它在吃 Socket 的瓜,而是因为它把一个早就该被讨论的事实拍在了所有人脸上:在 AI 攻防进入「分钟级」对抗的 2026,你不能再把全部安全寄托给任何一个 SaaS 工具,哪怕它叫 Socket、Snyk、Dependabot 还是 fenz.ai 自己。安全是一种「纵深 + 人类」的组合艺术,任何宣称「一键搞定」的工具,都是在赌你不会成为下一个 Axios。下面这份清单是 fenz.ai 整理的明天上班就能落地的最小可行集——哪怕你只是个独立开发者,做对其中 3 条,被供应链攻击 pwn 的概率就会下降一个数量级。

如果你只能从这篇文章带走一句话,那就是这句:AI 时代的安全,不是「找一个更聪明的 AI」,而是「不再相信任何一个 AI」。Socket 的故事还会重演,只是名字会变成下一家;真正能救你的,从来不是某个魔法工具,而是你愿不愿意承认这件事——然后从今天起,在你自己的代码、CI、组织流程里,埋进至少 3 层「人和 AI 互相牵制」的设计。

📣 如果这篇长文帮你看清了「AI 杀 AI」的暗战

关于 fenz.ai

fenz.ai 是一家总部在硅谷的 AI security 团队，成员来自加州伯克利大学，斯坦福大学，和清华大学。Fenz通过蒸馏创造了一套性能逼近Claude mythos的安全审计大模型。专注于 smart contract、cross-chain infrastructure、restaking/LRT 协议和 RWA 平台的 agentic audit 与 continuous monitoring。我们的 stack 覆盖 Layer 1 到 Layer 5 的全栈威胁建模，已经协助若干头部协议识别并修复了 pre-deployment 阶段的结构性 misconfig。

如果你是协议创始人、安全工程负责人、或者在评估 DeFi / infrastructure 类标的的投资人，对你所负责的系统的真实攻击面有兴趣做一次深度评估——我们愿意聊。