AI 数据安全本质是从合规配角变成 AI 主控制面:Copilot、Unity Catalog、Horizon 把权限与检索授权前置到调用链。评级跟踪。
矛盾在叙事强、收入证据少。一边驱动在发生:Copilot 只返回用户有权限看的内容,RAG 与 Agent 不重建权限,只放大 SharePoint、邮件、CRM 的过度共享;机器身份对人类已到 82:1,CrowdStrike 7.4 亿收 SGNL 把 AI 身份纳入连续控制。另一边多数公司没单列 AI 数据安全收入,只能从发布侧推,易把"发布"误当"收入"。
风险有三:平台原生功能下沉吃掉单点工具、AI 项目投产推迟、分类精度不够误阻断。真正利润池留在控制平面——权限图谱、策略引擎、AI Gateway;纯度最高的公开标的是 Varonis 与 Elastic。
核心结论
数据安全正在从“合规配角”变成企业 AI 落地的主控制面。 Microsoft 365 Copilot、Copilot connectors、Azure AI Search、Databricks Unity Catalog、Snowflake Horizon、AWS Bedrock Guardrails、Google Cloud DSPM 都在把“数据权限、标签、分类、审计、过滤”前置到 AI 调用链,而不是把安全留到模型之后再补。微软明确写到 Copilot 只会返回用户“至少有查看权限”的组织数据;连接器与 Azure AI Search 也都把 ACL、权限过滤、token-based authorization 放到检索阶段。
企业 AI、RAG、Agent 普及后,最先暴露的不是“模型能力”瓶颈,而是“过度共享的数据面”和“失控的权限面”。 Copilot、RAG 和 Agent 并不会重新定义一套企业权限体系,而是放大原有 SharePoint、OneDrive、邮件、工单、CRM、数据库、数据湖、知识库里的错误共享与过宽授权;微软、Azure AI Search、Elastic、Databricks、Snowflake 都在官方文档里把 document-level security、row filters、column masks、ACL/DLS、ABAC、sensitivity labels 作为前提能力强调出来。
DSPM、DLP、DDR、数据访问治理、RAG 权限治理不是平行赛道,而是在 AI 时代串成一条链。 DSPM负责发现“哪里有敏感数据、谁能访问、是否暴露”;DLP负责拦截“流出”;DDR负责发现“异常访问/异常移动”;访问治理和 RAG 权限控制负责“只让该看的人和代理看到该看的内容”。Google Cloud DSPM、IBM Guardium、Rubrik DSPM、OpenText、Thales、Broadcom、Cloudflare、Microsoft Purview 都在向这条链条靠拢。
AI Agent 安全本质上是“身份安全 + 数据权限 + 工具调用治理”的交叉问题。 AI agent 会新增大量 machine / non-human identities;CyberArk 报告称机器身份已达 82:1,且其 2025 身份安全报告称 AI 将成为新增高权限身份的头号来源;CrowdStrike 以 7.4 亿美元收购 SGNL,直接把 human、NHI、AI identities 放进连续身份控制框架;Microsoft、Databricks、Cloudflare、Anthropic 也都把 agent、MCP 或 connector 的权限与审计视为核心要素。
最先落地的预算,不是“纯 AI 安全故事”,而是与现有数据面强绑定的四类预算: Microsoft 365 / SharePoint / OneDrive 权限清理与分类;多云/SaaS DSPM;GenAI DLP / prompt DLP;高价值 RAG / enterprise search 的 document-level security。因为这些预算可以直接对接已上线的 Copilot、知识库助手、客服助手、开发助手、内部搜索与合规审计。
平台型赢家与 AI 原生挑战者将同时存在。 平台型赢家主要是 Microsoft、Google/Wiz、AWS、Snowflake、Databricks、Oracle、IBM、Palo Alto、CrowdStrike、Cloudflare;AI 原生挑战者主要是 Cyera、BigID、Sentra、Concentric AI、Securiti、Privacera、Veza、Noma Security、Lasso Security 等。前者依靠分发、身份、云、数据平台与现有客户基础;后者依靠更强的数据发现、数据图谱、跨云跨 SaaS 覆盖、AI 原生治理和更快迭代。
直接受益且已有财务验证的上市公司并不多。 Varonis、CyberArk(已被 Palo Alto 收购完成)、Snowflake、MongoDB、Elastic、Trend Micro、Cloudflare、CrowdStrike、Palo Alto、Microsoft、Google Cloud 都有更明确的产品—客户—平台链路;但其中不少公司并未单列“AI 数据安全收入”,更多体现为平台扩张、RPO/cRPO、客户大单和产品附加率提升。
“AI 数据安全叙事强、但收入证据不足”的公司数量明显多于真正可量化受益者。 Cloudflare 的 AI-SPM / prompt protection、Palo Alto 的 Prisma AIRS、CrowdStrike 的 Falcon Data Security、BigID 的 AI governance、Noma/Lasso/Prompt Security 一类公司,产品节奏很快,但多数并未公开单列 ARR / revenue contribution;投资上更应看“是否嵌入现有大平台的强分发链路”,而不是只看发布数量。
收入弹性最大的赛道是:多云 DSPM、企业知识库权限治理、Agent 数据访问控制、GenAI DLP、数据访问治理。 这些赛道与存量预算距离最近,且与 Copilot、内部搜索、数据湖仓、SaaS 外接系统的真实落地绑定最紧。相比之下,向量数据库安全、AI memory 安全、隐私计算、confidential computing 在很多企业仍偏概念验证或专项采购。
利润率最好的长期环节,不是扫描本身,而是“控制平面”。 具体包括:权限图谱、标签/分类引擎、策略引擎、检索授权、访问审计、密钥与加密编排、统一 AI Gateway/Policy plane。这些层天然更软件化、更平台化,也更容易复用到多个 use case。Databricks Unity Catalog、Snowflake Horizon、Microsoft Purview、Oracle Deep Data Security、Thales CipherTrust 都体现了这一点。
估值最容易泡沫化的是: 只讲“AI security”但没有清晰收入归因的高增长安全平台;以及未上市 AI 原生安全公司里“高融资 + 低透明度”的标的。Cyera 已在 2026 年初升至 90 亿美元估值,Databricks 在 2025 年 Series K 的估值已超过 1000 亿美元;这类标的的基本面可能优秀,但市场已经提前支付了大量预期。
平台挤压会非常明显。 Google Cloud 已把 DSPM 内置到 Security Command Center;Microsoft 把 Purview、Copilot、Graph connectors、Azure AI Search 绑成一体;Snowflake、Databricks、Oracle 也在把向量检索、目录、标签、权限、审计、AI Gateway 统一到数据平台内。独立工具若不能跨云、跨 SaaS、跨数据面提供更好的图谱、精度和 remediation,就会被平台吸收。
被冲击风险最高的是传统单点 DLP、静态数据治理和弱图谱型合规工具。 Broadcom Symantec DLP、传统邮件/终端 DLP、只做 catalog 而不做运行时访问控制的工具、只做被动合规报表的工具,都会被平台型“分类+权限+检索+日志+策略”统一控制面压缩。
未来 12–24 个月最大催化剂是:企业内 Copilot / Agent 的生产化部署、Wiz 被 Google Cloud 并表后的产品整合、Palo Alto / CrowdStrike / Cloudflare 的 AI data protection 组件交叉销售、Snowflake Horizon 与 Databricks Unity Catalog 在 agent/RAG 上的权限原生化、以及大型数据安全并购延续。
未来 12–24 个月最大风险是:企业 AI 项目投产不及预期;客户优先买模型与算力而非治理;平台原生功能免费/低价下沉;数据分类精度不够导致误阻断;以及跨境数据与 AI 监管同步加严。EU AI Act 将于 2026 年 8 月 2 日全面适用(部分条款例外),美国 DOJ 的 bulk sensitive data rule 已生效,中国跨境数据规则也继续收紧。
产业链全景与需求重估
企业 AI、RAG 与 Agent 落地后,数据安全之所以成为核心瓶颈,不是因为企业突然“更重视安全”,而是因为 AI 把原本分散、静态、少量调用的数据访问,变成了高频、跨系统、带推理放大的访问链。微软明确说明 Copilot 通过 Microsoft Graph 使用用户文件、邮件、聊天、会议等上下文;只要用户有权限,Copilot 就会把这些内容作为 grounding 数据。对企业来说,这意味着历史上“共享给太多人但没人会主动去找”的文件,会变成“一句自然语言问题就能被找出和总结”的高可达数据。
RAG 把这一问题进一步放大。Microsoft 365 Copilot connectors 与 Azure AI Search 都把“文档级权限”写成核心机制;Databricks Unity Catalog 推荐用 ABAC 做集中化的 row/column 过滤;Snowflake 用 row access policy、dynamic masking、tag-based masking;Elastic 提供 document-level / field-level security;Oracle 在 26ai 新推出 Deep Data Security,直接把 row/column/cell 级访问控制与 agentic AI 绑定。这本身就是一个产业信号:如果权限继承不是难点,平台不会密集推出这些控制。 这里的难点在于,embedding、index、retrieval、rerank、tool use 往往发生在原始数据之外,必须显式同步 ACL、标签、身份、组信息与敏感度元数据,否则向量索引会变成脱离源系统授权的“第二数据面”。这一判断是基于各平台的产品设计作出的产业推断。
AI Agent 带来的风险比 RAG 更复杂。RAG 主要是“读”;Agent 则可能“读 + 写 + 调工具 + 调 API + 持久记忆 + 自动化执行”。Anthropic 把 MCP 定义为 AI 工具与数据源之间的开放连接标准;Databricks 把 Unity AI Gateway 定位为跨 LLM 与 MCP 的统一治理层;Cloudflare 直接发布 Mesh 来保护 AI agent lifecycle;Palo Alto 把 Portkey 并入 Prisma AIRS;CrowdStrike 则通过 SGNL 把持续身份控制扩展到 AI identities。行业的产品路线已经说明:Agent 安全不是传统提示词防护的延长线,而是运行时数据访问治理。
下表给出投资视角下的 AI 数据安全产业链全景,重点不是“谁能讲故事”,而是谁处在控制平面、谁能计费、谁能形成平台壁垒。
| 产业链位置 | 细分环节 | 核心产品 | AI 数据安全驱动 | 收入模式 | 竞争壁垒 | 利润率特征 | 代表公司 | 上市状态 | 受益强度 | 投资弹性 |
|---|---|---|---|---|---|---|---|---|---|---|
| 数据源 | 文档/邮件/聊天/工单 | SharePoint、OneDrive、Teams、邮件、Confluence、Jira 等 | 过度共享被 Copilot/RAG 放大 | 存量 SaaS 附加安全订阅 | 客户数据沉淀 + 原生权限模型 | 平台高毛利 | Microsoft、Atlassian、ServiceNow、Salesforce、Box | 上市 | 高 | 中 |
| SaaS 数据 | SaaS 访问治理 | SaaS DSPM、SaaS DLP、SaaS posture | Shadow AI、第三方 app、外链分享 | seat/tenant/usage | API 覆盖 + 行为数据 | 中高 | Microsoft Purview、Cloudflare、Reco、Grip、DoControl | 混合 | 高 | 高 |
| 云存储 | 对象存储敏感数据发现 | Macie、Google DSPM、Alibaba DSC | S3/GCS/OSS 中的 PII/PHI/PCI | usage + 扫描量 | 云原生 telemetry | 中 | AWS、Google Cloud、阿里云 | 混合 | 高 | 中 |
| 数据湖仓 | 目录/标签/权限 | Unity Catalog、Horizon | RAG/AI app 直接连湖仓 | 平台捆绑 + higher tier | 数据面原生控制 | 高 | Databricks、Snowflake | 混合 | 很高 | 很高 |
| 数据库 | 行列级安全/加密 | row policy、masking、queryable encryption | Agent 访问交易库、客户库 | edition/consumption | 内核集成 | 高 | Oracle、Snowflake、MongoDB、IBM | 上市 | 高 | 中高 |
| 向量数据库 | 检索过滤/endpoint ACL | vector ACL、metadata filter | embedding 二次暴露 | seat/usage | 与源权限同步难度 | 中 | Databricks、MongoDB、Elastic、Oracle | 上市/未上市 | 中高 | 高 |
| 企业知识库 | 文档级权限治理 | DLS/ACL sync/semantic security trimming | 企业搜索与 RAG 刚需 | 搜索/安全增购 | ACL 继承 + 索引质量 | 高 | Azure AI Search、Elastic、Box | 上市 | 很高 | 高 |
| 数据目录 | catalog / metadata / glossary | Horizon、Collibra、Alation、Atlan | AI 需要知道“什么数据可用” | platform subscription | 元数据网络效应 | 高 | Snowflake、Collibra、Alation、Atlan | 混合 | 中高 | 中 |
| 数据血缘 | lineage | Unity Catalog lineage、Snowflake external lineage | AI 审计、训练/推理可追溯 | 平台捆绑 | 元数据深度 | 高 | Databricks、Snowflake、BigID | 混合 | 中高 | 中 |
| 数据分类 | 敏感数据识别与标签 | Purview、Google SDP、IBM Guardium Discovery | PII/PHI/PCI/源码/合同识别 | tiered / usage | classifier 精度与覆盖 | 高 | Microsoft、Google、IBM、BigID | 混合 | 很高 | 高 |
| DSPM | 数据发现、暴露面、风险评分 | Google DSPM、Cyera、BigID、Sentra、Concentric、Rubrik DSPM | “先发现、再治理”是 AI 项目上线前置条件 | data source / TB / account | 跨云跨 SaaS 图谱 | 高 | Google/Wiz、Cyera、BigID、Sentra、Concentric AI、Rubrik | 混合 | 很高 | 很高 |
| DLP | 邮件/端点/网络/浏览器/GenAI DLP | Purview DLP、Symantec DLP、Cloudflare DLP | Prompt、复制、上传、外发 | seat / endpoint / traffic | 渠道与 inline 部署 | 中高 | Microsoft、Broadcom、Cloudflare、Zscaler | 上市 | 高 | 中高 |
| DDR | 数据检测与响应 | Guardium DDR、Varonis / data activity analytics | 异常访问与外泄检测 | platform + module | 访问日志与行为模型 | 高 | IBM、Varonis | 上市 | 高 | 高 |
| 数据访问治理 | entitlement graph / policy | Privacera、Immuta、Veza、Wiz CIEM+DAG | Agent 最小权限、跨系统授权 | platform subscription | 身份-数据关系图谱 | 高 | Privacera、Immuta、Veza、Wiz | 混合 | 很高 | 高 |
| RAG 权限治理 | permission-aware retrieval | Azure AI Search DLS、Elastic DLS、Privacera PAIG | 企业 RAG 刚需 | 搜索/平台附加 | 检索授权 + citation + 审计 | 高 | Microsoft、Elastic、Privacera | 混合 | 很高 | 很高 |
| Agent 数据访问控制 | runtime policy / approval / logs | Prisma AIRS、Unity AI Gateway、CyberArk Secure AI Agents、Cloudflare Mesh | Agent 自主执行前的闸门 | 平台附加 + premium | policy plane + identity + logs | 高 | Palo Alto、Databricks、CyberArk、Cloudflare | 上市/被收购 | 很高 | 很高 |
| AI 数据治理 | prompt/output/data lineage/usage policy | BigID、Securiti、Databricks、Snowflake | EU AI Act、审计与模型责任 | platform + governance module | 法规映射 + policy engine | 高 | BigID、Securiti、Databricks、Snowflake | 混合 | 高 | 高 |
| 隐私与合规 | DSAR、consent、cross-border | OneTrust、Securiti、TrustArc、Transcend | AI 数据可用性受监管约束 | subscription | 法规知识库 + workflow | 中高 | Securiti、OneTrust、TrustArc | 未上市 | 中高 | 中 |
| 加密与密钥管理 | KMS、tokenization、BYOK/HYOK | Thales CipherTrust、AWS KMS、MongoDB QE | “用中数据保护”与密钥外控 | license + usage | 密钥根信任 | 高 | Thales、AWS、MongoDB | 混合 | 中高 | 中 |
| 云厂商数据安全 | 原生 DSPM / DLP / guardrails | Google SCC DSPM、Macie、Purview | 原生分发最强 | bundle / consumption | 分发与原生遥测 | 很高 | Microsoft、Google、AWS | 上市 | 很高 | 中高 |
| AI 应用与 Agent 平台 | AI gateway / observability / guardrails | Unity AI Gateway、Bedrock Guardrails、Portkey | 模型调用治理 | usage / request volume | 接入面广度 | 中高 | Databricks、AWS、Palo Alto、Cloudflare | 混合 | 高 | 高 |
| 企业客户侧服务 | MSSP / 咨询 / 托管 | 托管数据安全、AI 治理咨询 | 落地复杂度高 | 服务费 + 托管 | 行业 know-how | 中 | NTT Data、Infosys、TCS、Wipro、HCLTech | 上市 | 中 | 中 |
上述链条也解释了 预算边界如何变化:原来属于 IAM、DLP、SaaS 安全、云安全、数据治理、GRC 的预算,正在被“AI 数据安全”重新打包。最直接的变化是,客户不再只问“有没有 DLP”,而是问“Copilot 会不会看到不该看的内容”“Agent 能不能只读不能写”“RAG 是否权限感知”“prompt 与 output 有没有审计”“向量索引是否继承源权限”。
三种情景下,预算路径大致如下:
| 情景 | 假设 | 企业 AI 采用 | RAG 采用 | Agent 采用 | 数据安全预算变化 | 最受益环节 | 受益公司 | 被冲击公司 | 主要风险 |
|---|---|---|---|---|---|---|---|---|---|
| 保守 | 企业先买模型和 Copilot,治理后补 | 高 | 中 | 低 | 总体安全预算内重分配,新增不多 | M365 权限治理、基础 DLP、S3/GCS/SaaS DSPM | Microsoft、Google Cloud、AWS、Varonis | 纯新概念 AI 安全创业公司 | AI 项目推迟上线,预算先给基础设施 |
| 基准 | Copilot / 企业搜索 / 轻 Agent 逐步生产化 | 高 | 高 | 中 | 出现专门 AI data security budget,但仍与云/身份/数据平台共管 | DSPM、RAG 权限治理、Agent 访问控制、GenAI DLP | Microsoft、Google/Wiz、Palo Alto、CrowdStrike、Databricks、Snowflake、Cyera、BigID、Privacera | 传统单点 DLP、catalog-only 工具 | 平台功能下沉太快 |
| 激进 | Agent 进入客服、研发、IT 运维、BI/Finance 流程 | 很高 | 很高 | 高 | 明显新增治理与审计预算,AI 项目必须配套 | 数据访问治理、身份/NHI、DDR、AI gateway、知识库安全 | Palo Alto、CrowdStrike、CyberArk 路线、Databricks、Snowflake、Cyera、Veza、Noma | 只做“提示词防火墙”的单点工具 | 误阻断、权限错配、客户不愿增加复杂度 |
基准情景是当前最可信的投资假设:AI 数据安全会成为独立预算池,但 不会完全独立成一个孤岛市场,而是会与身份、云、安全平台、数据平台共同争夺控制面。
技术架构与赛道拆解
把企业级 AI 数据安全系统拆开看,最有价值的不是“单个检测点”,而是从发现、分类、权限继承到审计与响应的连续控制链。下面这张表把用户要求的 17 层架构合并进一个投资框架。
| 架构层 | 解决的问题 | 代表能力 | 长期护城河 | 被平台内置替代风险 | 付费意愿 | 备注 |
|---|---|---|---|---|---|---|
| 数据发现层 | 找到影子数据、孤儿数据、ROT 数据 | 扫描对象存储、SaaS、湖仓、数据库 | 中高:连接器覆盖、效率、低侵入 | 中 | 高 | DSPM 基础层;Google DSPM、IBM、Cyera、BigID、Sentra 都围绕它展开。 |
| 数据分类层 | 识别 PII/PHI/PCI/代码/合同等 | classifier、规则、LLM + context | 高:精度、低误报、行业模板 | 中 | 很高 | Google Sensitive Data Protection、Snowflake classification、Purview、OpenText 均强调敏感分类。 |
| 敏感数据识别层 | 判断数据价值和风险等级 | 标签、risk scoring、sensitivity label | 高 | 中 | 很高 | 标签越能复用到 DLP、RAG、审计,价值越高。 |
| 数据目录与血缘层 | 审计“数据来自哪里、流向哪里” | catalog、lineage、external lineage | 高:元数据网络效应 | 中 | 中高 | Snowflake Horizon/External lineage、Databricks 元数据层。 |
| 数据权限图谱层 | 知道“谁能访问什么” | ACL graph、entitlement map、DAG | 很高 | 低中 | 很高 | 这是最容易形成长期壁垒的层;Veza、Wiz、Privacera、Immuta 更接近这里。 |
| 身份与 NHI 映射层 | 把用户、服务账户、agent 对到资源 | PAM、machine identity、continuous identity | 很高 | 低 | 很高 | AI agent 增加 NHI 数量,身份层重要性显著上升。 |
| RAG 权限继承层 | 检索时沿用源权限 | ACL sync、query token、security trimming | 很高 | 中 | 很高 | Azure AI Search、Microsoft connectors、Elastic DLS 是最直接案例。 |
| 向量数据库权限过滤层 | embedding/检索不越权 | endpoint ACL、metadata filter、DLS | 中高 | 中高 | 中高 | Databricks 已有 vector endpoint ACL/filters;很多纯向量库仍弱。 |
| Prompt / 输入 DLP 层 | 防敏感数据进入模型、阻 prompt injection | PII filter、prompt protection | 中 | 高 | 中高 | AWS Bedrock、Cloudflare、Purview 都在做,但更容易被平台吸收。 |
| 输出 DLP 层 | 防模型结果泄露 | output filter、citation、redaction | 中 | 高 | 中高 | 与输入 DLP 一样重要,但独立收费能力较弱。 |
| Agent 数据访问审计层 | 还原 agent 做了什么 | payload logs、tool logs、approval logs | 很高 | 中 | 高 | Databricks、Anthropic、OpenAI 都提供日志与监控。 |
| 数据异常行为检测层 | 发现异常访问、横向移动、敏感数据移动 | DDR、UEBA、activity analytics | 高 | 低中 | 高 | IBM Guardium DDR、Varonis 路径最典型。 |
| 数据泄露响应层 | 看见风险后能自动处置 | quarantine、block、revoke、ticket | 中高 | 中 | 高 | 如果只发现不处置,价值会折价。 |
| 加密与密钥管理层 | 保护静态/传输/部分使用中数据 | KMS、BYOK、queryable encryption | 很高 | 低 | 中高 | 但偏基础设施,增量弹性不如权限治理。 |
| 合规与审计报告层 | 满足 GDPR/HIPAA/PCI/FINRA/EU AI Act | audit trail、retention、policy evidence | 中 | 中 | 中高 | 容易商品化,但仍是成交必选项。 |
| AI 治理策略层 | 把数据、模型、代理、政策连起来 | AI use policy、risk register、AI governance | 很高 | 中 | 中高 | BigID、Securiti、Databricks、Snowflake 正在争夺该层。 |
| 安全运营集成层 | 接 SOC / SIEM / tickets / SOAR | APIs、logs、playbooks | 中高 | 中 | 中 | 更偏平台扩张,而非独立利润池。 |
基于这条架构链,可把用户提出的 30 个细分赛道压缩为 五个最值得跟踪的投资簇:
| 投资簇 | 纳入的细分赛道 | 商业化阶段 | 收入弹性 | 毛利率前景 | 竞争格局 | 投资吸引力 |
|---|---|---|---|---|---|---|
| 多云 DSPM 与数据分类 | DSPM、敏感数据发现、SaaS 数据安全、云数据安全、非结构化数据风险 | 已进入平台化 | 很高 | 高 | 大平台 + AI 原生创业公司 | 最高 |
| 数据访问治理与权限图谱 | 数据访问治理、权限图谱、NHI/identity 联动 | 快速升温 | 很高 | 很高 | 身份安全公司 + 数据治理公司 + 初创 | 最高 |
| RAG / Enterprise Search 权限治理 | permission-aware RAG、知识库安全、向量数据库过滤、document-level security | 从 PoC 走向刚需 | 很高 | 高 | Microsoft / Elastic / Privacera / 平台内置 | 很高 |
| GenAI DLP 与 Agent 运行时控制 | Prompt DLP、输出防护、Agent 数据访问、memory 安全、action approval | 早中期 | 高 | 中高 | PANW / Cloudflare / Databricks / 初创 | 高 |
| AI 数据治理与合规 | 训练/推理数据治理、AI 审计、数据主权、隐私合规 | 中期 | 中高 | 高 | BigID / Securiti / OneTrust / 平台型公司 | 高 |
其中,最容易形成长期护城河的层是“数据权限图谱 + 分类标签 + 检索授权 + 日志审计”一体化控制面;最容易被云厂商内置替代的层是基础扫描、基线检查、单点 prompt DLP;最容易出现‘好产品但难赚钱’的层是纯检测而不闭环处置的 AI security point products。这个判断,与 Google、Microsoft、Databricks、Snowflake、Oracle 等平台持续把治理能力内置进数据平面和 AI 平面的趋势一致。
公司分层与投资清单
先给出高密度的投资清单。这里我按“直接受益 / 间接受益 / 平台型受益 / AI 原生挑战者 / 被平台挤压风险”来分层,并尽量区分“产品发布”和“收入落地”。
上市公司优先研究矩阵
| 公司 | 地区/代码 | 细分 | 核心产品 | AI/RAG/Agent 数据安全受益路径 | 财务/商业化证据 | 分类 | 估值观察 |
|---|---|---|---|---|---|---|---|
| Microsoft | 美国/MSFT | 平台型受益 | Purview、Copilot、Graph connectors、Azure AI Search | 直接站在企业知识库、权限模型、合规与检索授权中心;Copilot 本身推动 Purview/权限治理需求 | FY25 商业 RPO 3680 亿美元;FY26 Q2 commercial RPO 6250 亿美元;Copilot/Graph/Purview 强绑定。 | A 类 | 体量大、确定性高、弹性中等,估值不便宜但不靠单一叙事 |
| Alphabet / Google Cloud / Wiz | 美国/GOOGL | 平台型受益 | Google Cloud DSPM、Sensitive Data Protection、Wiz | Google 已把云与 AI 安全平台化;Wiz 提供多云数据图谱与 DSPM | 2026 年 3 月完成对 Wiz 收购;Google Cloud 官方已把 DSPM 集成到 SCC。 | A 类 | 平台整合弹性强,但安全收入仍难单拆 |
| Palo Alto Networks | 美国/PANW | 平台型受益 | Prisma AIRS、Protect AI、Portkey、身份平台 | 从 AI 模型安全扩到 agent lifecycle、LLM gateway、runtime security | Q2 FY26 收入 25.94 亿美元、RPO 160 亿美元;2025 完成 Protect AI,2026 拟收购 Portkey,AIRS 3.0 面向 agentic AI。 | A/B 类 | 逻辑强、并购快,市场预期已较高 |
| CrowdStrike | 美国/CRWD | 平台型受益 | Falcon Data Security、Charlotte AI、SGNL | 通过 endpoint+identity+data protection 切入 AI 数据面 | FY25 收入 39.5 亿美元,同比增长 29%;身份安全 ARR 超 4.35 亿美元;2026 拟收购 SGNL。 | A/B 类 | 平台化强,但估值已显著提前反映 |
| Zscaler | 美国/ZS | DLP / 零信任 | Inline DLP、SSE、GenAI 控制 | 适合浏览器、SaaS、上传/外发、Shadow AI 场景 | 产品路径清晰,但本轮检索未见 AI 数据安全收入单列披露;整体更多是平台增强。 | B 类 | 题材正确,需等更清晰收入归因 |
| Varonis | 美国/VRNS | DDR / 数据权限治理 | Data security platform、Copilot 风险治理、MDDR | 最直接受益于 SharePoint/OneDrive/邮件过度共享治理 | 2025 年 ARR 7.454 亿美元、SaaS ARR 6.385 亿美元;Q1 2026 收入与 SaaS ARR 指引继续增长。 | A 类 | 纯度高、弹性大;估值不低但仍有基本面支撑 |
| Rubrik | 美国/RBRK | DSPM + 数据恢复 | Rubrik DSPM、数据恢复、Annapurna 路线 | 如果 AI 数据安全强调“发现 + 恢复 + 韧性”,Rubrik 受益清晰 | 已官方推出 DSPM,但 AI 相关收入未单独披露;仍需持续验证销售 mix。 | B 类 | 逻辑好,但更多是“平台扩展”而非已验证独立收入 |
| Snowflake | 美国/SNOW | 数据平台安全 | Horizon Catalog、row policy、masking、lineage | 站在企业数据湖仓与 AI data cloud 核心位 | FY26 Q4 product revenue 12.3 亿美元,同比增长 30%;NRR 125%;733 个 100 万美元以上客户;RPO 97.7 亿美元。 | A 类 | 长期壁垒强,但市场已部分定价“AI 数据云”路线 |
| MongoDB | 美国/MDB | 数据库/向量/加密 | Atlas、Vector Search、Queryable Encryption | AI app 常把 operational DB + vector search 放一起,安全能力可直接跟随使用量增长 | FY26 收入 24.6 亿美元,同比增长 23%;Atlas 同比增长 29%,客户超 6.52 万。 | A/B 类 | 不是纯安全标的,但 AI 数据面直接暴露度高 |
| Elastic | 美国/ESTC | 企业搜索/RAG/安全 | Elasticsearch、DLS/FLS、AI Assistant | 企业搜索、SOC AI 助手、向量检索都需要 DLS/FLS | FY26 Q3 收入 4.50 亿美元,同比增长 18%;sales-led subscription 3.76 亿美元,同比增长 21%;1660+ 个 10 万美元 ACV 客户。 | A/B 类 | RAG 权限治理纯度较高,市场关注度仍低于大平台 |
| Cloudflare | 美国/NET | GenAI DLP / AI-SPM / Agent 网络安全 | AI Gateway、AI prompt protection、AI-SPM、Mesh | 通过网络入口、浏览器、SASE、agent network 切入 | Q1 2026 收入 6.398 亿美元,同比增长 34%;current RPO 同比增长 34%;已发布 AI prompt protection、AI-SPM 与 Mesh,但未单列收入。 | B 类 | 产品节奏优秀,但估值对 AI 预期较敏感 |
| Oracle | 美国/ORCL | 数据库 / agent-native 数据安全 | Oracle AI Database、AI Vector Search、Deep Data Security | 不复制数据到外部向量库的叙事非常契合企业安全诉求 | Oracle 26ai 推出 Deep Data Security、内置向量搜索;路线对金融/政企较强。 | A/B 类 | 安全收益潜在低估,但需看客户 adoption |
| IBM | 美国/IBM | DDR / 发现分类 / 密钥治理 | Guardium、Guardium DDR、Key Lifecycle Manager | 直接覆盖 Discover / Classify / DDR / key mgmt 全链条 | IBM 明确以 Guardium 做数据发现、分类、DDR、密钥生命周期管理,但 AI 数据安全收入未单拆。 | B/C 类 | 防御性强,弹性不如 SaaS 纯安全平台 |
| Okta | 美国/OKTA | 身份 / 访问 | Workforce Identity、治理 | AI agent / app / connector 的身份治理需要强身份底座 | 与 AI 数据安全高度相关,但本轮检索未见其数据安全直接收入验证。 | C 类 | 更像“必要底座”,不是数据安全收入最直观受益者 |
| Trend Micro | 日本/4704 | 云安全 + AI 安全平台 | Trend Vision One、AI security platform | 可承接 AI 风险检测、云与数据风险联动 | 2025 年 enterprise ARR 超 13 亿美元,大企业平台 ARR 4.67 亿美元,Q4 enterprise net sales 同比增长 8%。 | B 类 | 亚太区域代表,平台化路径清晰 |
重要未上市公司观察矩阵
| 公司 | 国家/地区 | 细分 | 核心产品 | 融资/估值 | 已知商业化信号 | 竞争关系 | 判断 |
|---|---|---|---|---|---|---|---|
| Cyera | 以色列/美国 | DSPM | 多云数据发现、分类、访问分析、AI data security | 2026 年 1 月再融 4 亿美元,估值 90 亿美元。 | 客户扩张快,但未公开 ARR | 对 BigID、Sentra、Google/Wiz、Rubrik 构成压力 | 最值得跟踪的 AI 原生 DSPM 标的之一 |
| BigID | 美国 | DSPM + AI governance | 数据发现、分类、AI governance、vector DB / agent governance | 公司称 2024 年收入突破 1 亿美元。 | 具备收入与平台化基础 | 与 Microsoft/Purview、Cyera、Securiti 交叉竞争 | 最接近“平台型 AI 数据安全创业公司” |
| Sentra | 以色列/美国 | DSPM | Cloud-native DSPM、archive scanning、data attack surface | 2025 年 Series B 5000 万美元。 | 强调 AI-ready data protection,ARR 未披露 | 对 Cyera、BigID、Concentric 竞争 | 值得跟踪,透明度仍不足 |
| Concentric AI | 美国 | DSPM / 非结构化数据风险 | Semantic intelligence、DSPM、DLP | 2024 年 Series B 4500 万美元。 | 强于非结构化与权限语义 | 对 Varonis、BigID、Sentra 构成挑战 | AI 知识库安全方向值得跟踪 |
| Securiti | 美国 | AI 数据治理 / privacy | Data+AI security、privacy ops、agent governance | 已被 Veeam 收购;官网继续推进 Agent Commander。 | 强监管/隐私语义 | 与 OneTrust、BigID、Privacera 竞争 | 监管驱动强,但需看并购后节奏 |
| Privacera | 美国 | 数据访问治理 / RAG | PAIG、vector DB/RAG access control | 公开新闻显示 2026 年品牌升级为 Trust3 AI。 | 2024 就推出 vector DB / RAG access control | 对 Databricks/Snowflake/Immuta 竞争 | RAG 权限治理的高相关标的 |
| Immuta | 美国 | 数据访问治理 | 动态访问控制、云数据访问治理 | 2022 年融资 1 亿美元,总融资 2.67 亿美元。 | 商业化成熟,但近年融资更新较少 | 与 Privacera、Veza、平台自带治理竞争 | 需要验证增长再加速是否回归 |
| Veza | 美国 | 权限图谱 / identity-data governance | Access graph、entitlement intelligence | 2025 年 Series D 1.08 亿美元,估值 8.08 亿美元。 | 获 Snowflake/Atlassian/Workday Ventures 投资 | 横跨身份与数据治理 | 很值得跟踪,可能成为并购目标 |
| Noma Security | 以色列 | AI/Agent 安全 | AI app、RAG、agent runtime security | 2025 年 Series B 1 亿美元,总融资 1.32 亿美元。 | 增长极快但收入未披露 | 对 PANW/Cloudflare/Protect AI 路线竞争 | 典型 AI 原生挑战者 |
| Lasso Security | 以色列 | GenAI / LLM 安全 | Prompt / LLM cybersecurity | 2023 年种子轮 600 万美元,后续资料显示累计融资提升。 | 方向明确,透明度不足 | 对 Cloudflare/PANW/初创同类竞争 | 更像技术赌注 |
| Protect AI | 美国 | AI security platform | 模型到运行时 AI security | 2025 年被 Palo Alto 收购。 | 被收购验证赛道价值 | 已并入 PANW | 已是并购定价锚 |
| OneTrust / TrustArc / Transcend | 美国 | 隐私与合规 | DSAR、consent、policy | 融资与估值多未更新或需另查 | AI 数据使用合规相关,但与 runtime data security 不完全重叠 | 与 Securiti / BigID 部分重叠 | 更偏合规受益,不是最强 AI 安全弹性 |
| Collibra / Alation / Atlan | 欧洲/美国/印度 | 目录与血缘 | catalog、lineage、governance | Collibra 2021 估值 52.5 亿美元。 | 在 AI 治理里重要,但安全 monetization 需验证 | 与 Snowflake/Databricks 平台功能竞争 | 目录仍重要,但纯投资弹性不如 DSPM |
| Reco / Grip / DoControl / Adaptive Shield | 以色列/美国 | SaaS 数据安全 | SaaS posture / SaaS DLP / access | 本轮未系统核验融资与 ARR | 受益于 SaaS + AI app 扩张 | 亦面临 Microsoft/Cloudflare 吸收压力 | 值得跟踪,但需逐一验证 |
从投资分层看:
A 类:AI/RAG/Agent 数据安全核心直接受益者——Microsoft、Google/Wiz、Varonis、Snowflake、Databricks(未上市)、Cyera、BigID、Privacera/Veza 路线。共同特征是:处在数据控制面核心位置,且与企业知识库、湖仓、检索、权限、目录直接相连。
B 类:受益明显,但估值或平台挤压风险较高——Palo Alto、CrowdStrike、Cloudflare、MongoDB、Elastic、Oracle、Trend Micro、Sentra、Concentric。共同特征是产品与需求强相关,但 AI 数据安全未必已经单列为财务主驱动。
C 类:更多是防御型受益者——IBM、Okta、Thales、Broadcom、OpenText、AWS。能力重要,但短期财务弹性不一定最强。
D 类:叙事强、财务验证不足——大量“AI security startup”与平台附加模块,尤其是仅做 prompt firewall、LLM scanning、advisory layer 的公司。
E 类:被平台整合风险高——传统单点 DLP、catalog-only 工具、弱运行时治理产品、缺少权限图谱与 remediation 的数据治理工具。
重点上市公司与估值观察
下面挑出最值得继续做二次研究的 15 家上市公司。由于大量公司未单列 AI 数据安全收入,以下更适合当作“研究优先级与预期差清单”,而不是简单估值表。
| 公司 | 赛道定位 | 商业化阶段 | 关键财务/客户指标 | AI 数据安全证据 | 当前市场预期 | 研究结论 |
|---|---|---|---|---|---|---|
| Microsoft | 企业知识库 + 权限控制面 | 已成熟,需求跟随 Copilot 扩大 | 商业 RPO FY25 为 3680 亿美元,FY26 Q2 commercial RPO 6250 亿美元;股价约 423.54 美元,市值约 3.15 万亿美元。 | Purview、Copilot、Graph connectors、Azure AI Search 把权限与检索一体化。 | 市场已充分认识其 AI 主线,但未必充分计价 Purview 的二次受益 | 高确定性、低纯度、高长期壁垒 |
| Google / Wiz | 多云 DSPM + CNAPP + AI 安全 | 正在平台并表期 | Wiz 于 2026 年 3 月完成并入 Google Cloud;GOOGL 市值约 4.81 万亿美元。 | Google 已原生提供 DSPM 与敏感数据分类。 | 并购整合与商业模式协同仍待观察 | 高确定性、高平台压制力 |
| Palo Alto Networks | AI 安全平台 + Agent runtime + identity | 快速扩张期 | Q2 FY26 收入 25.94 亿美元,同比增长 15%;RPO 160 亿美元,同比增长 23%;股价约 247.55 美元,市值约 1760 亿美元。 | Protect AI、Prisma AIRS 3.0、Portkey 收购,均指向 agentic AI 生命周期。 | 预期明显抬升,需严看并购交付与 attach rate | 高弹性、估值偏热 |
| CrowdStrike | identity + data protection + AI agents | 扩张期 | FY25 收入 39.5 亿美元,同比增长 29%;身份 ARR 超 4.35 亿美元;股价约 618.83 美元,市值约 1555 亿美元。 | Falcon Data Security、Charlotte AI、SGNL。 | 市场将其视为 AI security 核心平台之一 | 高质量、高预期、需防估值回撤 |
| Zscaler | inline DLP / 浏览器 / SaaS 控制 | 中后期 | 股价约 174.69 美元,市值约 279 亿美元。 | 与 GenAI DLP 场景天然吻合,但本轮资料未见单列 AI 数据安全收入。 | 预期中等偏高 | 值得跟踪,需收入验证 |
| Varonis | 数据权限治理 / DDR | 直接受益期 | ARR 7.454 亿美元;SaaS ARR 6.385 亿美元;股价约 28.78 美元,市值约 33.3 亿美元。 | Copilot/SharePoint 过度共享风险与其产品高度匹配。 | 纯度高但规模较小,弹性大 | 最值得深挖的纯数据安全公开标的之一 |
| Rubrik | DSPM + 恢复 | 早中期扩张 | 股价约 64.98 美元,市值约 128.9 亿美元。 | 官方已把 DSPM 作为套件一部分。 | 市场更把其看作恢复/韧性公司 | 中高确定性、AI 预期差可能存在 |
| Snowflake | 湖仓安全控制面 | 已验证期 | FY26 Q4 product revenue 12.3 亿美元,同比增长 30%;NRR 125%;RPO 97.7 亿美元;733 个百万美元客户;股价约 164.24 美元,市值约 557.8 亿美元。 | Horizon 把 governance for AI 作为核心卖点。 | 市场已部分计入 AI data cloud,但对安全 monetization 仍未完全展开 | 长期壁垒强,继续重点跟踪 |
| MongoDB | operational + vector + encryption | 已验证期 | FY26 收入 24.6 亿美元,同比增长 23%;Atlas 增长 29%;客户 6.52 万+;股价约 330 美元,市值约 268.6 亿美元。 | Atlas 把 operational 与 vector 放到同一平台;Queryable Encryption 提供“服务端不知明文”的安全属性。 | AI 数据平台属性逐步被市场重估 | 中高确定性,中高弹性 |
| Elastic | 企业搜索/RAG 安全 | 已验证期 | FY26 Q3 收入 4.50 亿美元,同比增长 18%;sales-led subscription 3.76 亿美元,同比增长 21%;1660+ 个 10 万美元 ACV 客户;股价约 53.91 美元,市值约 57.3 亿美元。 | DLS/FLS 与 RAG 权限治理逻辑直接相关。 | 市场对其“安全 + 搜索 + AI”组合认知仍不充分 | 预期差较大 |
| Cloudflare | AI gateway / prompt DLP / agent networking | 快速尝试期 | Q1 2026 收入 6.398 亿美元,同比增长 34%;cRPO 增长 34%;股价约 201.75 美元,市值约 711 亿美元。 | prompt protection、AI-SPM、Mesh、AI Gateway 均已推出。 | AI 预期很强,短期估值弹性大 | 好公司但估值对叙事敏感 |
| Oracle | 数据库内置 AI 安全 | 起跳期 | 股价约 186.61 美元,市值约 5434 亿美元,PE 约 33.5 倍。 | 26ai 推出 AI Vector Search 与 Deep Data Security,强调不必把企业数据复制到外部向量库。 | 市场更关注云与数据库主线,AI 数据安全仍可能低估 | 潜在预期差标的 |
| IBM | DDR / 发现分类 / 密钥 | 成熟期 | 股价约 222.75 美元,市值约 2121 亿美元,PE 约 19.7 倍。 | Guardium 已覆盖 discovery、classify、DDR、key management。 | 更像防御性配置,不像高弹性 SaaS | 防御型受益者 |
| Okta | 身份底座 | 成熟期 | 股价约 87.04 美元,市值约 155 亿美元。 | AI agent / app / connector 扩大身份与访问治理需求,但其数据安全营收链路较间接。 | 逻辑正确,纯度不足 | 中等受益,非首选纯标的 |
| Trend Micro | AI 安全平台 | 区域代表 | enterprise ARR >13 亿美元,大企业平台 ARR 4.67 亿美元。 | 已把 AI Security Platform 放到平台叙事核心。 | 亚太弹性高于全球市场认知 | 值得加入亚太观察名单 |
基于上表,可以把估值与预期差做一个简化判断:
预期已较充分反映:CrowdStrike、Palo Alto、Cloudflare、Databricks(未上市)、Cyera。其共同特点是平台叙事强、融资/并购密集、市场情绪高。
可能仍有预期差:Varonis、Elastic、Oracle、部分 Snowflake / MongoDB 安全支线、Veza/Privacera 等非上市权限治理路线。其共同特点是:能力已足够关键,但市场仍主要按“存量业务”定价。
好公司但估值太贵:CrowdStrike、Cloudflare、部分 Palo Alto。当前股价、市值与市场情绪都较高,短期更依赖扩张速度超预期。
收入增长真实、估值相对还能研究:Varonis、Elastic、MongoDB、部分 Snowflake。这里说的是“相对”,不是便宜。
评分模型与当前排序
我采用用户建议权重稍作简化: AI/RAG/Agent 收入暴露 25% + 平台地位与客户基础 20% + 权限/分类/治理壁垒 15% + 产品覆盖 15% + 财务质量 10% + 成长弹性 10% + 估值合理性 5%。
在当前资料下,综合排名(研究优先级,不是投资建议)大致如下:
| 排名组 | 公司 | 逻辑 |
|---|---|---|
| 第一组 | Microsoft、Google/Wiz、Snowflake、Varonis、Databricks、Palo Alto | 处在控制面核心,且能把权限/检索/治理/安全联成平台 |
| 第二组 | CrowdStrike、MongoDB、Elastic、Oracle、Cyera、BigID | 要么平台覆盖强,要么预期差更大 |
| 第三组 | Cloudflare、Rubrik、Trend Micro、Privacera、Veza、Sentra | 赛道对,但收入归因/规模扩张仍需跟踪 |
| 第四组 | IBM、Okta、Thales、Broadcom、OpenText | 重要但更偏防御型,不是最强业绩弹性 |
| 第五组 | 仅做 prompt firewall、单点 LLM scan、catalog-only 的玩家 | 易被平台内置或价格压缩 |
反向的“被平台整合风险”评分中,风险最高的通常是: 单点 DLP、单点 AI-SPM、只做 prompt/output filter 的产品、catalog-only 工具、弱权限图谱型治理厂商。 原因在于 Microsoft、Google、AWS、Snowflake、Databricks、Oracle 已把关键功能向平台内收。
风险、开放问题与最终结论
最大的风险不是“安全需求不存在”,而是 需求以何种形态、由谁承接、何时体现在财务里。从当前公开资料看,可以归纳出 5 个最重要的投资判断。
第一,AI 数据安全会成为企业 AI 时代的核心控制平面,但不是单独孤立市场。 它会与身份安全、云安全、数据平台、企业搜索、知识库、合规审计深度融合。换言之,它更像一个“控制平面层”,而不是一个永远独立的大单品市场。
第二,真正值得关注的细分赛道只有五个。 分别是:多云 DSPM、数据访问治理与权限图谱、RAG/enterprise search 权限治理、GenAI DLP/Agent runtime control、AI 数据治理与合规。 这是本报告最核心的行业提炼。
第三,最值得深入研究的十家上市公司,按“确定性 × 弹性 × 平台地位”排序,建议优先看: Microsoft、Google/Alphabet、Palo Alto Networks、CrowdStrike、Varonis、Snowflake、MongoDB、Elastic、Oracle、Cloudflare。 其中 Microsoft/Google/Snowflake 更偏平台确定性,Varonis/Elastic/Oracle 更偏预期差,PANW/CRWD/NET 更偏高弹性高预期。
第四,最值得持续跟踪的十家未上市公司是: Cyera、BigID、Sentra、Concentric AI、Securiti、Privacera、Veza、Noma Security、Immuta、Lasso Security。 其中 Cyera/BigID/Veza/Privacera 的战略价值最高;Noma/Lasso 更偏 AI 原生高风险高赔率;Immuta/Securiti 则更需要再验证增长曲线。
第五,市场最容易误解的五个点是: 其一,AI 数据安全不等于模型安全;其二,prompt DLP 不是全部;其三,向量数据库不是天然继承源权限;其四,Copilot 不是“安全的”,而是“忠实执行现有权限”;其五,真正能赚钱的是控制平面,不是单点检测。
未来 6–12 个月,最该跟踪的指标包括:
- 公开公司是否开始单列 AI data security / data protection / AI governance / identity for AI 的 ARR、RPO、cRPO、客户数。
- Microsoft Purview、Google Cloud DSPM、AWS Bedrock Guardrails、Snowflake Horizon、Databricks Unity Catalog / AI Gateway 的新增权限和审计功能。
- 客户是否把 RAG 与 Agent 从试点转向生产;是否开始要求 document-level security、approval workflow、payload logging、retention control。
- 重要并购是否继续发生在 DSPM / identity-data governance / AI gateway / RAG access control 一线。Google-Wiz、PANW-Protect AI/Portkey、CrowdStrike-SGNL 已经给出方向。
开放问题与局限
这份报告已经尽量压缩了“大而全”与“可验证”之间的冲突,但仍有几类信息没有被公开公司充分披露:
- 多数公司没有单列 AI 数据安全收入,只能通过产品发布、客户场景、平台附加率与 RPO/ARR 侧推,不能把“发布”误当“收入”。
- 部分传统厂商与区域公司(尤其 A 股、港股、欧洲、日本、韩国、印度)在本轮公开资料里 AI 数据安全粒度不足,更适合放进二轮核验名单,而不是在本轮做强结论。
- 向量数据库安全、agent memory security、隐私计算、confidential computing 目前仍偏早期,短期可能重要但不一定马上形成大收入池。
最终结论
如果把 AI 产业链里真正可能形成长期利润池的环节挑出来,数据安全、DSPM、RAG 权限治理、数据访问治理、企业知识库安全 是最应被重视的那一簇。因为它们决定了企业 AI 能否从 demo 进入生产,决定了 Copilot 与 Agent 能否接触核心数据,也决定了未来监管与审计风险由谁来承担。
在投资上,最值得优先聚焦的后续更窄方向,我建议收敛到四条主线:
DSPM、GenAI DLP、RAG 权限治理、Agent 数据访问控制。 这四条主线既有明确需求,又最容易在未来 12–24 个月转化为收入、平台附加率、RPO/cRPO 与利润率改善。