Cloudsmith 募得 7200 萬美元,押注 AI 時代的軟體供應鏈
Cloudsmith 近日完成 7200 萬美元 Series C 融資,這家來自北愛爾蘭貝爾法斯特的雲端平台,正把焦點放在 AI 時代最容易被忽視、卻越來越關鍵的環節:artifact management。簡單來說,它不只管理程式碼,也管理軟體專案中各種「建構材料」,例如設定腳本、AI 模型、作業系統與容器等,讓企業能以更集中、更一致的方式掌控軟體供應鏈。Cloudsmith 的定位,已不只是儲存庫,更像是面向企業的軟體資產管理中樞。
這輪融資由 TCV 領投,Insight Partners 參與投資,反映出市場對這個賽道的重新評估。隨著 AI coding agents 以更快速度產生程式碼,企業不只要面對更多程式碼,還要面對更多依賴項、第三方套件與內部套件所構成的複雜網路。對資安、合規與治理部門來說,這已經不只是技術議題,而是需要被納入管理層視野的風險課題。
從容器到 AI 模型,Cloudsmith 想管的不只是套件
Cloudsmith 的核心價值,在於把原本分散於 GitHub、Hugging Face 與其他來源的軟體建構元件,集中到同一個雲端平台中管理。對開發者而言,這能降低搜尋與整合成本;對管理者而言,則能更容易確認每個元件是否符合資安要求。文章資料指出,Cloudsmith 可儲存的不只有程式碼,還包括配置腳本、AI 模型與作業系統,這種廣義的 artifact 管理能力,正是它與傳統套件倉庫的差異所在。
特別值得注意的是,Cloudsmith 也支援容器管理,而容器往往包含數十個獨立 artifact,每一個都可能帶來潛在資安風險。為了解決這種複雜性,平台會自動產生 SBOM(Software Bill of Materials,軟體物料清單),讓企業清楚知道一個工作負載包含哪些元件。這種可視性對於供應鏈安全非常重要,因為只有先看得見,才有辦法管得住。
資安、合規與治理,成為 AI 開發工具的必修題
根據相關報導,Cloudsmith 平台不僅提供可視性,還能自動找出套件中的漏洞與惡意程式碼,並透過政策控制套件發布流程:核准可信套件、阻擋可疑或未授權的內容。這種機制對企業尤其重要,因為當 AI 代理開始參與寫碼,組織需要的不只是更快的開發速度,還要有能夠驗證安全性的「護欄」。SecurityWeek 的報導也提到,Cloudsmith 能幫助客戶建立 chain of custody,並在包、容器與 ML 模型之間提供一致的管理能力。
從更大的產業趨勢來看,這筆融資說明 artifact management 正從後端基礎設施,變成 AI 開發流程中的核心層。企業面臨的不只是更多依賴項,還有更嚴格的法規壓力,必須證明 AI 產出的軟體是「secure by design」。換句話說,當程式碼生成速度被 AI 拉高,治理速度也必須同步升級,否則風險只會在供應鏈中快速擴散。
為何投資人看好 Cloudsmith?因為市場正在改寫
TCV 與 Insight Partners 之所以持續加碼,關鍵在於它們看見 Cloudsmith 所處的市場正在被 AI 重塑。官方資訊顯示,這輪投資發生在一個「定義性時刻」:AI agentic software development 已經改變 artifact management 的需求結構。對企業來說,現在要管理的是更大規模的軟體供應鏈,範圍涵蓋開源函式庫、內部套件與第三方依賴,且這些元件的風險可能遠比單一程式碼片段更難追蹤。
Cloudsmith 也表示,將把新資金投入產品開發,並擴大 go-to-market 能力。對於一家雲原生平台而言,這意味著它不只要補強功能,還要讓更多企業客戶理解:在 AI 驅動的開發模式下,artifact management 已不是附加工具,而是維持規模化開發、合規與資安控制的必要基礎設施。Cloudsmith 的下一步,不只是擴張,而是爭取成為企業在 AI 軟體供應鏈上的標準入口。
結語:AI 寫碼越快,供應鏈治理就要越精準
Cloudsmith 這筆 7200 萬美元 Series C,表面上是一次成功募資,實際上更像是市場對 AI 時代軟體治理方式的一次投票。當 AI coding agents 讓程式產出速度大幅提升,企業真正缺少的,不是更多代碼,而是能夠確認來源、追蹤依賴、控制發布並持續稽核的治理能力。
從容器、SBOM、ML 模型到跨來源的開源元件,Cloudsmith 所處理的是一條越來越長、也越來越難管理的供應鏈。它的故事提醒我們:在 AI 加速開發的年代,真正決定企業能否安全擴張的,往往不是寫出多少程式,而是能否把每一個 artifact 都納入可見、可管、可審的框架之中。
