AI 身份安全是 Agent 时代企业落地的前置控制层——没身份、没委托链、没短期凭证,Agent 只能停在 demo。评级跟踪。
矛盾在叙事大、钱只落在四个成熟预算池:PAM、机器身份、密钥、IGA/CIEM。GitHub 公开仓库 2025 年新增硬编码 secrets 2865 万、同比 +34%,密钥与凭证最先立项。收入已现:SailPoint FY26 ARR 11.25 亿美元。Cisco 收 Astrix、CrowdStrike 收 SGNL 印证 NHI 是下一代入口。
风险在Agent 落地慢、云厂商内建挤压基础 secrets/CIEM。预期差:SailPoint 81 亿市值对 11 亿 ARR、IBM/HashiCorp Vault 仍按整体定价。
核心结论
AI Agent 普及后,身份安全不再只是“员工登录”和“客户认证”的问题,而是升级为统一控制人类、工作负载、服务账户、API key、OAuth app、证书、短期 token、CI/CD 流水线、机器人账号和 AI Agent 的“身份控制平面”。微软、AWS、Google Cloud、GitHub、MCP 规范本身都已经把 workload identity、federation、OAuth scopes、resource audience validation 当成基础设施,而不是附属功能。
Non-Human Identity 的范围已经远超传统“机器证书”或“服务账号”。它实际覆盖服务主体、service principals、Kubernetes service accounts、cloud roles、CI/CD OIDC token、API keys、SSH keys、证书、Secrets、OAuth apps、SaaS-to-SaaS connectors、RPA accounts、automations、MCP servers、AI agents 以及 agent-to-agent delegation 链条。微软、Google、AWS、Veza、Okta、CyberArk 对这些对象都已明确建模或产品化。
AI Agent 会显著放大身份风险,不只是因为“更多账号”,更因为它们具备自主调用工具、跨系统读取数据、以机器速度持续运行、在委托链中传播权限,以及把 prompt injection、tool poisoning、OAuth consent、token theft、overprivilege 和审计缺失叠加到同一执行链条中。MCP 规范已经要求 resource 参数、token audience validation,并明确禁止 token passthrough,说明协议设计层面已承认这一风险。
身份安全预算最先落地的,不会是“纯 Agent 身份平台”本身,而是四个更容易采购的已成熟预算池:PAM、machine identity management、secrets management、IGA/ITDR/CIEM 的扩展模块。原因是这些预算 already exist,采购人明确,合规驱动强,而且最能直接映射到事故责任和审计要求。CyberArk、SailPoint、Okta、HashiCorp/IBM、JFrog 已经在这些相邻区域形成可量化商业信号。
真正的直接受益者,不是所有“讲 AI 安全故事”的公司,而是已经能把身份、权限、密钥、证书、授权与审计做成平台 SKU、扩展 ARR 或带动 RPO/cRPO 的公司。当前证据最强的一批是 CyberArk、SailPoint、Okta、Microsoft Entra、IBM/HashiCorp Vault、JFrog;CrowdStrike、Cloudflare、Cisco、Zscaler、Palo Alto Networks 更多处于“平台增强、财务贡献未单列”的阶段。
身份安全大概率会成为 AI Agent 时代的安全控制平面,但前提不是“SSO 更重要”,而是“身份图谱 + 授权图谱 + secrets/cert lifecycle + runtime policy + audit trail”被统一。单点 SSO/MFA 厂商如果不能扩展到 NHI、runtime authorization、data entitlements 和 human-in-the-loop governance,平台地位会下降。
纯 NHI/Agent 身份创业公司是真实威胁,而不是营销噱头。Aembit、Oasis、Entro、Astrix、Veza、SGNL、Reco、Valence、Grip 都在用“发现—归属—权限—持续授权—审计”重构预算入口;其中 Cisco 拟收购 Astrix、CrowdStrike 已收购 SGNL,正说明大平台承认这个方向不是小功能,而是下一代控制面入口。
收入弹性最大的细分赛道,优先级依次是:PAM 向 NHI/Agent 扩展、machine identity management、secrets management 与 developer token security、IGA 向 NHI ownership/attestation 扩展、data access governance/RAG permission control。MCP tool authorization 和 agent runtime authorization 的技术重要性高,但商业化仍偏早期。
利润率最好的赛道通常不是“安全咨询”或“单点检测”,而是嵌入工作流、能坐在控制面上的软件层:PAM、IGA、identity graph、policy engine、secrets vault、certificate lifecycle automation。相反,MCP observability、point OAuth monitoring、point secrets scanning 容易被平台整合,除非它们占据独特的系统级数据入口。
估值最容易泡沫化的,并不是传统 IAM 龙头,而是“Agent 安全叙事很强、收入尚未单列”的高成长平台股与创业公司。Cloudflare、CrowdStrike、Palo Alto Networks、Zscaler 当前股价中已经明显嵌入 AI 安全溢价;而 SailPoint、IBM/HashiCorp、部分偏基础设施的软件公司对 AI 身份安全的预期反而没有被完全计入。
已经看到明确“收入落地信号”的公开案例包括:SailPoint FY26 ARR 11.25 亿美元、SaaS ARR 同比增长 38%;CrowdStrike FY26 期末 ARR 52.5 亿美元、并把 SGNL 收入整合进更大的身份与持续授权叙事;JFrog FY25 Security Core 已占收入 7%、ARR 10%、RPO 16%;Okta FY26 Q4 RPO 同比增长 15%、cRPO 增长 12%。这些都比“发布一个 Agent 安全功能”更重要。
需要警惕把“身份安全防御增强”误判成“新增增长曲线”。Palo Alto Networks、Zscaler、Cisco、Trend Micro、Check Point、很多中国综合安全厂商当前更像是在用身份与 AI 安全能力加固现有平台,而不是已经形成可单独验证的新收入池。公开资料中,相关产品发布明显多于独立收入披露。
云厂商对基础能力的挤压是真风险。AWS、Azure、GCP、Oracle、Alibaba Cloud、Tencent Cloud 都已把 IAM、workload identity federation、temporary credentials、secrets manager、policy analysis 做成内建能力,因此单云 secrets、单云 CIEM、基础证书/密钥工具会持续商品化。真正还能保住利润池的,是跨云、跨 SaaS、跨目录、跨数据面的 ownership、least privilege、runtime enforcement 与统一审计。
未来 12–24 个月最大催化剂有四类:微软 Entra Agent ID GA、Okta for AI Agents GA、CyberArk Secure AI Agents 与 Venafi 整合推进、Cisco/Astrix 与 CrowdStrike/SGNL 这类并购后平台化加速。最大风险则是企业 Agent 落地慢于预期,导致“纯 Agent Identity”预算推迟,而现实采购继续优先投向 secrets、PAM 和 data governance。
产业链全景与预算迁移
从人类身份扩展到非人类身份
企业现在面对的不是“人通过浏览器登录系统”这一单一身份问题,而是大规模软件实体在相互调用。AWS 明确把 IAM identity 定义为既可代表 human user,也可代表 programmatic workload;IAM Roles Anywhere 又把 X.509 证书变成临时云凭证入口。Google Cloud 的 Workload Identity Federation 允许外部工作负载直接获得 IAM 权限,不再依赖长期 service account key;GitHub Actions 则鼓励用 OIDC token 替代长期 secrets。微软进一步把 workload identity 定义为应用、服务、脚本、容器等软件实体,并强调这类身份通常不能做 MFA、往往没有正式生命周期流程、还必须把凭证存放在某处。换句话说,NHI 并不是新问题,而是原本“隐藏在 DevOps、云、SaaS、自动化里的身份”开始在 AI Agent 时代集中暴露出来。
AI Agent 让这个问题从“隐藏成本”变成“安全主战场”。Agent 不是纯粹的 API caller;它需要读取企业知识库、访问邮箱与工单系统、触发 SaaS workflow、调用浏览器或 RPA、申请 token、使用 MCP 工具、链接其他 agent,并在某些场景下以“代表某个用户”的 delegated authority 运行。Ping Identity 公开把 Identity for AI 定义为把 AI agents 视为一等非人类身份,并要求 delegated authority、least privilege、全面审计、human-in-the-loop approvals;微软 Entra Agent ID 则把 sponsor、访问包、agent lifecycle、OAuth 2.0、MCP、A2A 放到同一框架里。
MCP 把身份与授权复杂度再抬高一层。MCP Authorization 规范要求 client 在授权和 token 请求中带上 resource 参数,server 必须验证 token 是否专门为该资源签发,并明确禁止 token passthrough;Anthropic 的 Claude Code 文档又要求通过 oauth.scopes 把允许的 scope 固定到安全团队批准的子集。换言之,MCP 工具调用不是“多一个插件”,而是把 OAuth、resource server、scope governance、tool permission、session storage、agent approval 链接到同一条执行路径。
AI 身份安全需求与收入化全景
| 产业链位置 | 细分环节 | 核心产品 | AI 身份安全驱动 | 收入模式 | 主要客户 | 壁垒 | 利润率特征 | 代表公司 | 上市状态 | 受益强度 | 投资弹性 | 关键公开证据 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 入口控制 | Workforce Identity | SSO、MFA、Passwordless、Device trust | 员工与 Agent 协作、跨 SaaS 访问、零信任入口 | seat/MAU/订阅 | 大中型企业 | 目录与集成深度 | 软件高毛利 | Microsoft、Okta、Ping | 上市/未上市 | 4 | 3 | Entra 明确覆盖 workforce、workload、agentic identities;Okta 已将 AI agents 纳入统一身份架构。 |
| 外部身份 | Customer Identity | CIAM、Auth0、OAuth/OIDC | AI 助手代表客户调用动作、第三方 app 授权 | MAU/认证量/API 调用 | 互联网、金融、零售 | 开发者生态与 SDK | 高毛利 | Okta/Auth0、Ping | 上市/未上市 | 3 | 3 | Auth0 已把 Auth for GenAI / AI Agents 当成开发者入口。 |
| 治理层 | IGA | lifecycle、access reviews、entitlement mgmt | AI agent 需要 owner、审批、生命周期与 SoD 检查 | 订阅/连接器/治理模块 | Fortune 500、受监管行业 | 身份图谱与流程嵌入 | 高毛利但实施重 | SailPoint、Saviynt、Oracle | 上市/未上市 | 5 | 4 | SailPoint 明确把 human、machine、AI agent 统一为平台增长方向,FY26 ARR 11.25 亿美元。 |
| 特权层 | PAM | vault、session mgmt、JIT、ZSP | Agent 默认是高权限执行体,需最小权限与临时授权 | 订阅/节点/管理员数 | 企业 IT、云运维、安全运维 | 深度工作流与高切换成本 | 高毛利 | CyberArk、Delinea、BeyondTrust | 上市/未上市 | 5 | 5 | CyberArk 将 AI agents 视为 privileged identities,并以 gateway 做 MCP/tool enforcement。 |
| 检测层 | ITDR | identity risk、token theft、session hijack | Agent 与 NHI 的异常行为更难靠传统 EDR 发现 | 平台附加模块 | 安全部门 | telemetry 与 detection graph | 高毛利、常被平台捆绑 | Microsoft、CrowdStrike、Zscaler | 上市 | 4 | 3 | Microsoft、CrowdStrike 都把身份威胁作为平台能力,并持续扩展。 |
| 云权限层 | CIEM | cloud entitlement analysis、role right-sizing | overprivileged cloud roles 被 agent 放大 | 订阅/云账户/资源量 | 多云企业 | 云 API 深度、权限解析能力 | 中高 | Microsoft、Oracle、Veza、Wiz/Saviynt | 上市/未上市 | 4 | 4 | Oracle 已做 Policy Analysis 与 Access Governance AI 自动化;Saviynt 与 Wiz 联手治理 NHI 和 AI agents。 |
| 密钥层 | Secrets Management | vault、rotation、ephemeral credentials | AI coding、CI/CD、agent tools 增加 secret sprawl | 每 secret / 客户端 / 订阅 | 开发、平台工程、SecOps | 与 CI/CD / runtime 深度整合 | 高毛利,但单云商品化快 | IBM/HashiCorp Vault、AWS、GCP、Alibaba Cloud、1Password | 上市/未上市 | 5 | 4 | Vault 被 IBM 纳入混合云平台;AWS/GCP/Alibaba 均公开提供 secrets 生命周期与定价。 |
| 证书层 | Certificate Lifecycle | discovery、renewal、internal CA、code signing | machine identities 与短周期证书扩张 | 每证书/订阅/平台 | 大型企业、平台团队 | PKI/CA 与发现能力 | 高毛利 | CyberArk/Venafi | 上市 | 5 | 4 | CyberArk 已把 Venafi 整合为 machine identity security 主轴。 |
| 机器身份层 | Machine Identity Management | certs、SSH、SPIFFE、workload identity | 云原生、Kubernetes、edge、agent runtime | 订阅/工作负载量 | 云原生企业 | inventory+rotation+policy | 高毛利 | CyberArk、Aembit、Entro | 上市/未上市 | 5 | 5 | Aembit 直接定位为 NHI IAM;Entro 以发现、保护、生命周期管理切入。 |
| 治理扩展层 | NHI Governance | ownership、classify、attest、review | 机器身份数量远超人类,必须绑定 owner 与权限解释 | 平台订阅 | 大型复杂企业 | entitlement graph 与 owner model | 高毛利 | SailPoint、Veza、Saviynt、Oasis | 上市/未上市 | 5 | 5 | Veza 与 Oasis 都把 service accounts、API keys、bots、AI identities 作为核心对象。 |
| 新控制面 | Agent Identity | 注册、sponsor、delegation、approval | Agent 需要独立身份而非共用人类账号 | 平台模块/seat/usage | 先从大企业试点 | 身份模型、delegation、审计链 | 早期,高潜力 | Microsoft、Okta、Ping、CyberArk | 上市/未上市 | 5 | 5 | Entra Agent ID GA、Okta for AI Agents GA、Ping Identity for AI GA、CyberArk Secure AI Agents 已发布。 |
| 工具授权层 | MCP Tool Authorization | MCP gateway、scope control、tool approval | Prompt injection 直达工具滥用,需执行前授权 | 平台附加模块 | AI 平台、安全平台 | 协议控制点 + 日志 | 早期 | Cloudflare、CyberArk、SGNL、Astrix | 上市/未上市 | 4 | 5 | Cloudflare MCP Server Portals、CyberArk AI Agent Gateway、SGNL 的 MCP governance、Astrix MCP 研究均已公开。 |
| API 权限层 | API Access Governance | API authz、connector governance、rate limits | Agent 通过 API 横向移动和放大 blast radius | API 调用/订阅 | SaaS-heavy 企业 | 接口覆盖与审计 | 中高 | Cloudflare、Google Workspace、Microsoft Entra | 上市 | 4 | 4 | Cloudflare 强调 agent 的 authn/authz;Google 与 Microsoft 提供 API/OAuth scopes 管理。 |
| SaaS-to-SaaS 层 | OAuth App Security | consent governance、scope review、revocation | OAuth app 是最典型“隐形 NHI” | 订阅/应用数 | SaaS-heavy 企业 | app graph 与 scope intelligence | 早期-成长期 | Astrix、Valence、Reco、Grip | 未上市 | 4 | 5 | Microsoft 官方持续强调 consent phishing;Astrix/Valence/Reco/Grip 都把 OAuth/SaaS identities 作为切入口。 |
| 云原生层 | Kubernetes / Cloud Workload Identity | federation、service account、pod identity | K8s 和多云把 NHI 数量推到爆发点 | 按集群/工作负载/平台 | 平台工程团队 | 云原生集成深度 | 中高 | AWS、GCP、Azure、Teleport | 上市/未上市 | 5 | 4 | AWS IAM Roles Anywhere、GCP WIF、Azure Workload ID、Teleport 都以 workload/agents 为核心对象。 |
| 开发者层 | Developer Token Security | secret scanning、token inventory、ephemeral auth | AI 编码与自动化让 token 泄露更频繁 | seat/repo/secret 数 | 开发组织 | repo 数据与 remediation 流程 | 高毛利 | GitGuardian、GitLab、1Password、JFrog | 上市/未上市 | 5 | 4 | GitGuardian 2026 报告显示 2025 年 public GitHub 新增硬编码 secrets 2865 万个,同比增 34%。 |
| 数据权限层 | Data Access Governance | entitlement mapping、activity monitoring | RAG/Agent 访问 KB 时必须看“谁可读什么” | 订阅/数据源/容量 | 数据密集行业 | data graph + permissions map | 高毛利 | Varonis、Cyera、BigID | 上市/未上市 | 4 | 4 | Cyera 把未使用权限与 agent 风险绑定;BigID 明确把 DAG 与 AI SPM 一体化。 |
| RAG 控制层 | RAG Permission Control | document-level ACL、retrieval authz | “能搜到”不等于“能看到” | 附加模块/平台订阅 | 有私有知识库企业 | 文档权限同步难度 | 早期但关键 | Varonis、Cyera、BigID | 上市/未上市 | 4 | 4 | BigID、Cyera 均把 AI data exposure 与 agentic AI governance 作为卖点。 |
| 持续授权层 | Zero Standing Privilege / JIT | just-in-time、continuous access | AI 与 NHI 把 standing privilege 升级为核心风险 | 平台模块 | 高安全行业 | runtime enforcement | 高毛利 | CyberArk、SGNL、StrongDM、Teleport、Delinea | 上市/未上市 | 5 | 5 | SGNL/Teleport/Delinea 都把 ZSP 或 no standing privilege 作为核心价值。 |
| 企业平台层 | Zero Trust | ZTNA、private access、device/context checks | Human+machine+agent 都需统一 policy | seat/流量/订阅 | 企业广谱 | 网络+身份一体数据 | 高毛利 | Zscaler、Cloudflare、Microsoft、Tailscale | 上市/未上市 | 4 | 3 | Cloudflare、Microsoft、Tailscale 均已把 AI/agents 纳入零信任访问。 |
这张表背后的投资含义很明确:最值得买方重点看的,不是“有一个 Agent 安全页面”的公司,而是那些已经占住 IGA、PAM、secrets、machine identity、runtime authorization 或 data entitlements 这些强付费控制点的公司。越靠近“执行前授权”和“可审计委托链”,收入弹性通常越大;越靠近单云基础能力,越容易被云厂商内建吞噬。
AI Agent 如何改变身份安全预算
预算迁移的逻辑,可以概括成一句话:Agent 把原本分散在 IAM、PAM、DevOps、CloudSec、DataSec 和 SaaS 管理里的隐性身份成本,集中变成可采购、可审计、可问责的控制平面预算。 这种迁移不会一夜完成,但方向已经在官方产品和客户文档中出现:Cloudflare 在 2026 年 Q1 财报里直接说 agents 已经成为其 workforce 的核心组成部分;Okta 把“agentic AI readiness is identity readiness”作为 2026 年企业信号;Microsoft、Ping、CyberArk 都在 2025–2026 年把 Agent identity 作为正式产品线推出。
AI 编码与软件自动化会率先带动 secrets、developer tokens、CI/CD identities 的预算。GitGuardian 统计 2025 年 public GitHub commits 中新增 2865 万个 hardcoded secrets,同比增加 34%,AI-service leaks 增加 81%,AI-assisted commits 中泄露 secrets 的概率约为非 AI 提交的 2 倍;GitHub、Google、Azure 现在都鼓励工作流从长期 secrets 迁移到 OIDC 和 federation。这意味着第一波预算不是“神秘的 Agent 安全平台”,而是更现实的 secret scanning、vault、ephemeral credentials、developer token policy 和 pipeline identity hardening。
RAG 和企业知识库会把数据权限治理推到更前面。Cyera 公布的研究称,96% 的企业权限实际上长期未使用,而 AI agents 不会像人一样“懒得点开某资源”;只要给了权限,它们就可能在毫秒内批量读取、关联和导出。BigID 也把 DSPM、Data Access Governance 与 AI SPM 合并成一体化叙事,强调核心问题是“哪些敏感数据存在、谁能访问、访问是否过度”。因此,数据访问治理虽然不是传统 IAM 核心预算,但在 Agent 上线后的第二阶段,很可能成为身份安全的大增量池。
三种情景预测
| 情景 | 关键假设 | 企业 Agent 采用率 | NHI 数量增长 | Agent 身份治理付费率 | 身份安全预算变化 | 主要受益环节 | 主要受益公司 | 被冲击公司 | 主要风险 |
|---|---|---|---|---|---|---|---|---|---|
| 保守 | Agent 仍集中在试点、只做低风险任务;云厂商内建功能已经够用 | 低到中 | 中速增长 | 低 | 主要是存量预算再分配 | secrets、PAM、基本 workload identity | IBM/HashiCorp、CyberArk、AWS/Azure/GCP 内建、1Password | point MCP、point OAuth、纯概念 Agent 安全创业公司 | Agent 预算延后,采购更偏内建 |
| 基准 | 企业把 Agent 用于 IT、客服、知识检索、代码辅助;审计需求上升 | 中 | 高速增长 | 中 | 新增预算 + 替代预算并存 | PAM 向 NHI 扩展、IGA、NHI governance、developer token security、data entitlements | CyberArk、SailPoint、Okta、Microsoft、JFrog、Cloudflare、Veza | 单云 secrets、单点 CIEM、静态凭证工具 | 集成复杂,部署周期长 |
| 激进 | Agent 进入生产执行环节,多 Agent 协作,MCP/工具调用广泛普及 | 高 | 爆发式增长 | 高 | 新增预算显著,身份控制面独立成大类 | Agent identity、runtime authorization、tool governance、RAG permissions、continuous authorization | Microsoft、CyberArk、Okta、Ping、SGNL/CrowdStrike、Cloudflare、Aembit、Oasis、Astrix | 只做登录、不做运行时授权的传统 IAM;静态 secrets/certs 单点工具 | 标准未成熟、平台整合过快、估值泡沫 |
基准情景是当前最合理的假设。原因不是所有企业都会很快部署 fully autonomous agents,而是只要企业把 Agent 用在“能操作真实系统和真实数据”的地方,最小权限、delegation、human approval、tool authorization、secret rotation 和 audit trail 就会从“安全建议”变成“上线门槛”。这就是为什么预算会先流向 成熟控制点,再向 纯 Agent 身份层 扩散。
架构层与细分赛道价值拆解
企业级 AI Agent 身份安全系统的典型架构
一个可落地的企业级 AI Agent 身份安全系统,通常由十五层组成:Agent discovery、NHI inventory、lifecycle、authentication、authorization/policy、least privilege、JIT/ZSP、secrets & certificates、API/MCP access control、RAG/data entitlements、ITDR、session/audit、human approval、compliance reporting、SOC/SIEM integration。现在真正值得研究的是:哪几层最可能形成护城河,哪几层会被内建吃掉。
| 架构层 | 核心价值 | 最容易形成护城河 | 最易被云厂商内建替代 | 最适合独立公司切入 | 付费意愿 | 利润率 | 增速 | 现阶段结论 |
|---|---|---|---|---|---|---|---|---|
| Agent 发现层 | 找到 shadow agents / known agents | 中 | 中 | 是 | 中 | 中 | 高 | 容易成入口,但单独难长期收费 |
| NHI 资产清单层 | service account、token、OAuth apps、bots 统一清单 | 高,尤其跨云跨 SaaS | 低 | 是 | 高 | 高 | 高 | 是 NHI 平台护城河起点 |
| 生命周期管理层 | 注册、owner、审批、退役 | 高 | 低 | 是 | 高 | 高 | 中高 | IGA/NHI 平台核心 |
| 身份认证层 | 让 agent/workload 被识别 | 中 | 高 | 否,更多被 IdP/云吸收 | 中 | 高 | 中 | 基础但易商品化 |
| 授权与策略层 | 谁能做什么 | 很高 | 中 | 是 | 很高 | 高 | 很高 | 最关键的长期利润池 |
| 最小权限层 | 减少过度授权 | 高 | 中 | 是 | 很高 | 高 | 很高 | 直接对应事故和审计 |
| JIT / ZSP 层 | 零常驻权限 | 很高 | 低 | 是 | 很高 | 高 | 高 | PAM/continuous identity 的高价值延伸 |
| Secrets 与证书层 | 凭证发放、轮换、撤销 | 高 | 中高 | 是 | 很高 | 高 | 高 | 近期最易落地 |
| API / MCP 工具授权层 | tool scopes、connector governance | 很高 | 低 | 是 | 高 | 高 | 很高 | 新市场,前景优于当期收入 |
| RAG / 数据权限层 | 文档、表、列、对象级授权 | 很高 | 低 | 是 | 很高 | 高 | 高 | Agent 时代的第二控制面 |
| ITDR 层 | token theft、abuse、行为异常 | 中高 | 中 | 是 | 高 | 高 | 高 | 平台捆绑概率高 |
| Session / 行为审计层 | 可回放、可归责 | 高 | 中 | 是 | 很高 | 高 | 中高 | 合规与责任归因刚需 |
| 人类审批与治理层 | HITL、break-glass | 中高 | 低 | 是 | 高 | 高 | 中 | 不是炫技层,但客户真愿意付费 |
| 合规报告层 | 审计、保险、监管证据 | 中 | 中 | 是 | 高 | 高 | 中 | 更多是平台附加值 |
| 安全运营集成层 | SIEM/SOAR/IR 联动 | 中 | 中 | 平台更强 | 中 | 中高 | 中 | 很重要,但更像平台粘性而非纯新市场 |
长期护城河最强的,是 NHI/agent inventory + authorization graph + least-privilege/JIT + secrets/cert lifecycle + audit trail 这一整组能力,而不是某一个单独功能点。微软 Entra Agent ID、CyberArk AI Agent Gateway、Ping Identity for AI、SGNL、Cloudflare MCP Portals 等产品路线都在朝这个方向收敛:先给 agent 一个身份,再给它一个 owner,再给它一个作用域,再给它一个可撤销、可审计的执行面。
细分赛道深度拆解
下表把你列出的三十个赛道压缩成投资视角最关键的判断。评分为 1–5,5 为最高。
| 赛道 | 赛道逻辑 | 商业化阶段 | 定价模式 | 壁垒 | 主要风险 | 投资吸引力 |
|---|---|---|---|---|---|---|
| Workforce Identity | 存量大、续费强,但新增 AI 弹性有限 | 成熟 | seat/MAU | 目录与集成 | 增长天花板、价格竞争 | 3 |
| Customer Identity | AI customer assistants 增强价值,但受应用周期影响 | 成熟 | MAU/API | 开发者生态 | 宏观波动、价格压力 | 3 |
| IGA | AI 让非人类 owner/attestation 更刚需 | 成熟升级 | 平台订阅/连接器 | 身份图谱与流程嵌入 | 实施周期长 | 5 |
| PAM | Agent/NHI 把 privileged access 推向中心 | 成熟升级 | 订阅/管理员/节点 | 强粘性与高切换成本 | 与云原生流程磨合 | 5 |
| ITDR | 身份滥用检测必要,但常被平台捆绑 | 成长 | 模块/SKU | telemetry 联动 | 单点产品易被吸收 | 4 |
| Non-Human Identity Security | 新预算最清晰的成长点之一 | 成长期 | 平台订阅 | inventory+owner+policy | 市场定义仍在演变 | 5 |
| Machine Identity Management | 证书、workload、SSH、SPIFFE 是最确定的爆发口 | 成长期 | 每工作负载/平台订阅 | 生命周期与自动化 | 云厂商基础能力挤压 | 5 |
| Secrets Management | 离事故最近,最容易立项 | 成熟升级 | 每 secret/客户端/订阅 | DevOps 集成 | 商品化与云内建替代 | 5 |
| Certificate Lifecycle Management | 机器身份与后量子迁移带来再加速 | 成熟升级 | 每证书/平台 | PKI、发现与自动续签 | 若仅做证书会被整合 | 4 |
| OAuth App Security | SaaS-to-SaaS/NHI 的关键盲点 | 早期-成长期 | 每应用/订阅 | scope intelligence | 易与 SSPM/IGA 合并 | 4 |
| API Access Governance | Agent 天然通过 API 行动 | 成长期 | API/平台订阅 | 连接器覆盖与审计 | API 网关与 IAM 边界重叠 | 4 |
| Agent Identity Security | 重要性很高,收入验证刚开始 | 早期 | 平台模块 | 身份模型与委托链 | 企业落地速度不确定 | 4 |
| MCP Tool Access Governance | 安全意义极高,收入处在 very early stage | 早期 | 平台附加模块 | 协议控制点 | 标准仍在快速变化 | 4 |
| Agent Runtime Authorization | 未来最大控制点之一 | 早期-成长期 | policy engine/usage | 执行前决策与实时上下文 | 技术复杂、销售教育成本高 | 5 |
| Agent Audit Trail | 合规、法务、保险都会需要 | 早期-成长期 | 模块/平台 | 可归责性 | 单独收费难,常被捆绑 | 4 |
| CIEM | 多云过度授权治理仍有需求 | 成长期 | 云账户/资源量 | 权限解析 | 单云 CIEM 面临内建替代 | 3 |
| Kubernetes / Workload Identity | NHI 爆发最直接的技术源头 | 成长 | 集群/工作负载 | 云原生深度整合 | OSS 与云内建替代 | 4 |
| Zero Standing Privilege | 最能体现“agent 不能常驻高权” | 成长期 | 平台模块 | runtime enforcement | 推进需要业务改造 | 5 |
| JIT Access | 采购理由直接、ROI 容易讲清 | 成熟升级 | 模块/平台 | 与审批工作流整合 | 落地复杂度 | 5 |
| Data Access Governance | RAG/AI 时代的重要增量控制层 | 成长期 | 数据源/容量/平台 | 数据图谱与权限映射 | 需与数据平台深耦合 | 5 |
| RAG Permission Control | 检索层与授权层的结合点 | 早期-成长期 | 模块 | ACL 同步与上下文控制 | 客户教育成本高 | 4 |
| Developer Token Security | AI coding 直接推高需求 | 成长期 | repo/seat/secret | 开发工作流嵌入 | 被 DevSecOps 平台吸收 | 5 |
| CI/CD Identity Security | 从“保护流水线”升级到“保护自动执行者” | 成长期 | pipeline/runner/平台 | CI 深度集成 | 可能被 Git 平台整合 | 4 |
| Software Supply Chain Identity | artifact signing、build provenance 与 token policy 结合 | 成长期 | 平台/企业版 | 供应链数据与签名链 | 客户预算常分散 | 4 |
| Passwordless / Passkeys | 人类身份持续升级,但 AI 弹性中等 | 成熟 | seat/MAU | 用户体验与标准化 | 竞争拥挤 | 3 |
| Zero Trust Identity | 身份作为访问中心仍是大趋势 | 成熟升级 | 平台捆绑 | 网络+身份+设备 | 平台竞争激烈 | 4 |
| Identity Analytics | 解释权限、发现异常、做治理推荐 | 成长期 | 模块 | 图谱与行为数据 | 易被平台吸收 | 4 |
| Identity Security Posture Management | 对复杂环境有吸引力 | 早期-成长期 | 平台模块 | 跨域可视化 | “好产品难单独卖高价” | 3 |
| Managed Identity Security Services | 部署复杂带来服务需求 | 成熟 | 服务费/项目费 | 本地交付与合规理解 | 毛利率较低 | 2 |
| AI 原生身份安全创业公司 | 潜在并购热点与高弹性来源 | 早期 | 订阅/平台 | 模型与执行链创新 | 收入验证不足、整合风险高 | 4 |
最值得强调的一点是:MCP Tool Access Governance 和 Agent Runtime Authorization 重要性非常高,但它们当下还不是最确定的收入池;相反,PAM、secrets、machine identity、IGA 扩展更像是接住这一波预算的“现实承接层”。 从投资时点看,这意味着不应只盯“最前沿的新名词”,而要先找那些能把前沿需求嵌入成熟预算科目的公司。
公司地图与投资分层
直接受益、平台受益、挑战者与伪受益公司总表
| 公司 | 状态 | 细分领域 | AI/NHI/Agent 受益路径 | 财务/采用证据 | 分类 | 初步判断 | 关键来源 |
|---|---|---|---|---|---|---|---|
| CyberArk | 上市 | PAM、Machine Identity、AI Agent Security | 以 PAM 为根,向 machine identity、AI agent gateway、MCP tool control 延展 | 2025 年 ARR 12.15 亿美元,同比增长 65%;Venafi 并表;已发布 Secure AI Agents | 平台型直接受益 | 受益路径最清晰之一 | |
| SailPoint | 上市 | IGA、NHI Governance | 把 human、machine、AI agent 放到同一治理平面 | FY26 ARR 11.25 亿美元,同比增 28%;SaaS ARR 增 38%;收入增 24% | 平台型直接受益 | IGA 向 NHI/Agent 延展最有证据 | |
| Okta | 上市 | Workforce/CIAM、Agent Identity | Universal Directory + AI agents discover/onboard/govern | FY26 Q4 RPO +15%,cRPO +12%;AI Agents 已 GA | 直接受益 | 产品强,收入单列仍少 | |
| Microsoft | 上市 | Workforce、Workload、Agent Identity、CIEM | Entra 把 workforce/workload/agentic identities 放进同一产品族 | Entra Agent ID 已 GA;Workload ID/Conditional Access/Permissions 已完整成套;微软 FY25 收入 2817 亿美元、营业利润 1285 亿美元 | 平台型受益 | 最强控制面候选,但身份收入不单列 | |
| IBM / HashiCorp | 上市 | Secrets、Vault、Hybrid identity | Vault 直接承接 secrets、PKI、workload auth;IBM 并购后具备更强平台分发 | IBM 2025 年完成收购 HashiCorp;Vault 已有公开定价 | 直接受益 | 偏基础设施,预期差可能大 | |
| JFrog | 上市 | DevSecOps、developer tokens、software supply chain identity | 安全核心覆盖制品、模型、MCP、开发者工作流 | FY25 收入 5.318 亿美元,同比增长 24%;Security Core 已占收入 7%、ARR 10%、RPO 16% | 直接受益 | 开发侧身份与供应链暴露真实 | |
| CrowdStrike | 上市 | ITDR、continuous identity、runtime auth | Falcon Identity + SGNL + FalconID,把身份接入更大安全平台 | FY26 ARR 52.5 亿美元,同比增 24%;收购 SGNL;发布 FalconID | 间接受益偏平台 | 方向正确,但身份并非独立收入池 | |
| Cloudflare | 上市 | Zero Trust、MCP、AI agent networking | MCP Server Portals、Managed OAuth、Mesh 把工具调用与 agent lifecycle 纳入网络/访问层 | Q1 2026 收入 6.398 亿美元,同比增 34%;cRPO 增 34%;发布 Mesh 与 MCP 产品 | 间接受益偏平台 | 叙事很强,收入单列不清 | |
| Zscaler | 上市 | Zero Trust、Identity context | 更像 identity-centric ZTNA 与 policy 平台,而非纯身份厂商 | Q1 FY26 收入 7.881 亿美元,同比增 26% | 间接受益 | 受益真实但身份不是主线 | |
| Palo Alto Networks | 上市 | CNAPP、IR、identity-adjacent controls | 身份更多作为平台化安全上下文,而非独立控制面收入 | Unit 42 报告称 65% 初始访问由 identity-based techniques 驱动;但身份收入未单列披露 | 防御型受益 | 叙事强于独立财务验证 | |
| Cisco | 上市 | Duo、Splunk、agentic workforce security | 通过 Duo/Splunk/网络平台和拟收购 Astrix 进入 AI/NHI 身份控制 | 2026 年宣布拟收购 Astrix;公司整体 FY26 规模巨大但身份收入未单列 | 间接受益 | 更像并购整合者 | |
| Oracle | 上市 | OCI IAM、Access Governance | 以云 IAM、policy analysis、AI 自动化治理承接企业权限问题 | OCI 已提供 IAM、Generative AI IAM policies、AI automation for Access Governance | 防御型受益 | 产品齐但财务暴露弱 | |
| Alibaba Cloud | 上市业务线 | Secrets、IAM | KMS Secrets Manager、RAM 政策 | 官方提供 secrets 存储、轮换与 AccessKey/SSH 管理 | 防御型受益 | 更像云内建,非独立利润池 | |
| Tencent Cloud | 上市业务线 | IAM | CAM、细粒度资源授权 | 官方提供 CAM 与细粒度资源访问控制 | 防御型受益 | 同样偏云内建 | |
| Trend Micro | 上市 | Identity-first AI defense | 身份作为 AI 安全框架核心,但公开收入未单列 | 2026 年强调 identity-first AI protection,与 NVIDIA 扩展合作 | 防御型受益 | 偏平台防御,不是高确定性新增长 | |
| QAX / 奇安信 | 上市 | 综合安全、AI 安全运营 | 具备 AI 安全与安全运营叙事,但身份/NHI 收入未见分拆 | 官方强调 AI 安全模型与大规模客户基础 | 伪受益风险较高 | 需单独验证身份收入落地 | |
| Saviynt | 未上市 | IGA、ISPM、NHI/AI identity | 从治理视角切入 NHI 与 AI agent ownership | 与 Wiz 合作治理 NHI 和 AI agents;官网已把 AI/NHI 写入主叙事 | 平台型挑战者 | 值得重点跟踪 IPO 可能性 | |
| Ping Identity | 未上市 | Workforce/CIAM、Agent Identity | Identity for AI 把 agent 视为 first-class NHI | Identity for AI 已 GA | 直接受益 | 如果重启 IPO 值得重点看 | |
| Delinea | 未上市 | PAM、Machine/NHI | PAM 向 NHI、runtime auth 延展 | 被 KuppingerCole 列为 NHI 领导者,且与 StrongDM 结合 JIT/runtime auth | 平台型受益 | 具备并购/IPO 双重可能 | |
| BeyondTrust | 未上市 | PAM、Machine Identity、AI agents | privilege-centric identity 平台化 | 2026 年宣布统一 privileged identity 方案覆盖 AI agent coworkers 与 workloads | 平台型受益 | 接近“全栈 privilege plane” | |
| 1Password | 未上市 | XAM、developer/AI credentials | 从密码管理升级到 Extended Access Management 与 agentic AI security | 覆盖 15 万家企业,明确将 AI agents 纳入 XAM | 间接受益 | 好产品,但收入贡献未单列 | |
| Veza | 未上市 | NHI Governance、Authorization graph | 以统一授权图谱治理 SaaS、on-prem、NHI、custom apps | 2025 年 Series D 融资 1.08 亿美元,估值 8.08 亿美元 | AI 原生挑战者 | 很可能成为平台并购热点 | |
| Aembit | 未上市 | NHI IAM | 直接做 workload/non-human access | 2024 年 Series A 2500 万美元 | AI 原生挑战者 | 赛道纯度高、财务未披露 | |
| Oasis Security | 未上市 | Non-Human Identity Management | discovery、lifecycle、AI identities | 官方定位为 NHI Management Platform,覆盖 AI identities | AI 原生挑战者 | 值得重点跟踪 | |
| Entro Security | 未上市 | NHI + secrets lifecycle | 解决 machine secrets 与 lifecycle | 2024 年 Series A 1800 万美元 | AI 原生挑战者 | 偏执行层,容易成为并购标的 | |
| Astrix Security | 未上市/被并购中 | OAuth/NHI/MCP server security | 从 SaaS-to-SaaS/OAuth apps 延伸到 AI agent & MCP server security | 总融资 8500 万美元;Cisco 已宣布拟收购 | AI 原生挑战者 | 已进入并购兑现阶段 | |
| SGNL | 未上市/被收购 | Continuous Identity、ZSP | 在 IdP 与 SaaS/hyperscaler 之间做 runtime enforcement | CrowdStrike 已收购 SGNL | AI 原生挑战者 | 方向验证度极高 | |
| Reco | 未上市 | SaaS/AI identities | 发现 AI agents、owner、permissions 与风险 | 2025 年 5x 增长,2026 年再融 3000 万美元 | AI 原生挑战者 | 偏 SaaS/Shadow AI 入口 | |
| Valence | 未上市 | SaaS + AI governance | 治理 SaaS 与 AI sprawl、NHI、agents | 明确覆盖 NHI/AI agents,融资公开 | AI 原生挑战者 | 偏治理与 remediation | |
| Grip | 未上市 | SaaS identity risk | 发现并治理 AI + SaaS,含 risky OAuth 与 unmanaged accounts | 官网披露高比例客户避免多起 SaaS breach | AI 原生挑战者 | 更像 SaaS identity 侧入口 | |
| Teleport | 未上市 | Infrastructure identity、JIT/ZSP | 统一 humans、machines、agents 的 infrastructure identity layer | 把 no shared secrets / no standing privilege 作为主价值 | AI 原生挑战者 | 值得重点跟踪 |
哪些公司叙事强但财务验证不足
目前“叙事强、财务单列不足”的典型组合有三类。第一类是大平台安全厂商:Cloudflare、Palo Alto Networks、Cisco、Trend Micro 等已经推出 MCP、agent lifecycle、AI security、identity-first 等功能,但公开财报仍主要按更大平台口径披露,难以证明 AI/NHI 身份子产品已形成独立 ARR。第二类是高热度创业公司:Aembit、Oasis、Entro、Valence、Grip、Noma、Lasso 等方向正确,但公开收入/ARR 披露非常有限。第三类是区域综合安全公司,尤其中国与部分日韩/印度综合安全或服务商,它们可能从项目与防御需求中边际受益,但公开材料很少把 NHI、Agent identity、MCP governance 单列成可验证收入项。
一级市场最值得跟踪的未上市名单
| 公司 | 地区 | 细分领域 | 核心产品 | 融资/估值公开信息 | 与上市公司关系 | 关注点 | 主要风险 | 来源 |
|---|---|---|---|---|---|---|---|---|
| Veza | 美国 | NHI Governance / Authorization | 统一授权平台,治理 SaaS、on-prem、NHI、custom apps | 2025 Series D 1.08 亿美元,估值 8.08 亿美元 | 与 Snowflake/Atlassian/Workday 生态紧密 | 可能成为 IGA/NHI 平台级公司 | 与 SailPoint/Saviynt 正面竞争 | |
| Saviynt | 美国 | IGA / AI identity | secures every identity—human, non-human, AI | 未披露最新收入 | 与 Wiz 合作 | 若 IPO,可能是 SailPoint 最直接可比 | 财务透明度不足 | |
| Ping Identity | 美国 | Agent Identity / CIAM | Identity for AI | GA,财务未单列 | 与 Okta/Microsoft 竞争 | 在 delegated authority 上产品定义清晰 | 私有化后透明度下降 | |
| Delinea | 美国 | PAM / NHI | centralized authorization、runtime access | 未披露 | 与 StrongDM 联动 | 很适合并购或二次上市观察 | 财务不透明 | |
| BeyondTrust | 美国 | PAM / AI agents / machine identity | Pathfinder + AI agent coworkers | 未披露 | 与 CyberArk/Delinea 竞争 | privilege-centric 路线明确 | 财务不透明 | |
| 1Password | 加拿大 | XAM / AI credentials | Extended Access Management | 覆盖 15 万家企业 | 与 CrowdStrike、Okta 有生态联动 | 从密码走向身份治理 | 未见 AI 收入单列 | |
| Aembit | 美国 | NHI IAM | workload access management | Series A 2500 万美元 | 获 Okta Ventures、CrowdStrike Falcon Fund 支持 | 赛道纯度高 | 市场教育成本高 | |
| Oasis Security | 以色列/美国 | NHIM | AI identities + NHI lifecycle | 2024 年 4000 万美元融资;平台面向 AI identities | 与平台厂商竞争/合作皆可 | 可能成为大厂收购目标 | 收入未披露 | |
| Entro Security | 以色列 | NHI + secrets | discovery、rotation、lifecycle | 2024 年 Series A 1800 万美元 | 可能与 PAM/Secrets 大厂合作 | 落点清晰 | 可能被整合 | |
| Astrix Security | 以色列 | OAuth/NHI/MCP | non-human identity security、MCP server security | 总融资 8500 万美元 | Cisco 已宣布拟收购 | 并购已验证需求存在 | 独立投资窗口收缩 | |
| SGNL | 美国 | Continuous Identity / ZSP | runtime access enforcement | 未披露 | 已被 CrowdStrike 收购 | 方向正确性已被大厂验证 | 公开独立研究价值下降 | |
| Reco | 以色列/美国 | SaaS + AI identities | Secure every agent、owner、permissions | 2025 额外融资 2500 万美元,2026 再融 3000 万美元;公开称 2025 年增长 5x/ARR +400% | 可能对 SSPM 与 OAuth 安全构成压力 | SaaS identities 与 AI agents 结合紧密 | 仍偏早期 | |
| Valence | 以色列/美国 | SaaS/AI governance | shadow SaaS + AI + NHI | Series A 2500 万美元 | 与 Microsoft 生态有关 | 更像治理与 remediation 入口 | 与 Reco/Grip 竞争激烈 | |
| Grip | 以色列/美国 | SaaS identity risk | discover, assess, govern AI + SaaS | Series B 4100 万美元(媒体引用) | 可能与 IdP/SSPM/ITSM 集成 | unmanaged SaaS + AI 是现实痛点 | 差异化需持续验证 | |
| Teleport | 美国 | Infrastructure identity | unified identity layer for humans, machines, agents | 2022 Series C 1.1B valuation | 与云与 PAM 生态竞争合作并存 | 对 AI infra identity 暴露高 | 收入未披露 | |
| Noma Security | 以色列/美国 | AI/Agent security | unified platform for AI and agent security | 2025 Series B 1 亿美元 | 对传统 AI security 厂商形成挑战 | 增长快 | 与身份收入交界尚需验证 |
重点上市公司研究与评分
最值得进一步研究的上市公司
下表把最值得继续深挖的上市公司压缩成买方最关心的几个维度:赛道位置、收入暴露度、利润率影响、估值观察与研究结论。
| 公司 | 赛道归属 | 核心身份安全产品 | AI/NHI/Agent 商业化阶段 | 对收入增长的直接暴露度 | 近年财务与关键指标 | 当前估值观察 | 研究结论 | 核心来源 |
|---|---|---|---|---|---|---|---|---|
| CyberArk | PAM + machine identity + AI agents | Identity Security Platform、Machine Identity Security、Secure AI Agents | 已产品化,最接近直接变现 | 高 | 2025 ARR 12.15 亿美元,同比增长 65%;Venafi 整合扩大 TAM | 实时估值本轮需进一步验证,但市场通常给予高成长安全溢价 | 强受益 / 平台型赢家 / 值得深挖 | |
| SailPoint | IGA + NHI governance | Identity Security Cloud | 人机一体治理已进入收入兑现期 | 高 | FY26 ARR 11.25 亿美元,同比增长 28%;SaaS ARR 7.46 亿美元,同比增长 38%;收入 10.71 亿美元,同比增长 24% | 2026-05-19 市值约 81.3 亿美元,静态看对 ARR 的隐含倍数不算夸张 | 强受益 / 预期差较大 / 值得深挖 | |
| Microsoft | 统一身份控制平面 | Entra、Workload ID、Agent ID、Conditional Access | 已 GA,控制面完整 | 中高 | FY25 收入 2817 亿美元,营业利润 1285 亿美元;Agent ID 2026 年 4 月 GA | 2026-05-19 PE 约 25.2 倍,PS 粗估约 11 倍 | 高确定性 / 平台型赢家 / 身份收入不单列 | |
| Okta | Workforce + CIAM + Agent Identity | Okta Platform、Auth0、Okta for AI Agents | AI Agents 已 GA | 中高 | FY26 Q4 收入同比增 11%;RPO +15%;cRPO +12%;自由现金流 2.52 亿美元 | 2026-05-19 PE 约 78 倍,反映一定 AI 身份预期 | 强受益 / 需验证 AI 产品单独收入 | |
| CrowdStrike | ITDR + continuous identity | Falcon Identity、FalconID、SGNL | 以平台方式变现 | 中 | FY26 收入 48.1 亿美元,同比增长 22%;期末 ARR 52.5 亿美元,同比增长 24%;收购 SGNL | 2026-05-19 市值约 1555 亿美元,对 FY26 收入对应倍数很高 | 中等受益 / 高弹性 / 估值偏热 | |
| IBM | Vault / secrets / hybrid auth | HashiCorp Vault、Terraform 生态整合 | 已实质进入 IBM 平台 | 中高 | 2025 年完成 HashiCorp 收购,Vault 定价已公开;IBM 2026-05-19 PE 约 19.7 倍 | 相比高成长安全股,估值更温和 | 中等受益 / 可能存在预期差 | |
| JFrog | 开发者与软件供应链身份 | Artifactory、Security Core、AI/MCP governance | 已形成可量化安全收入 | 高 | FY25 收入 5.318 亿美元,同比增长 24%;Security Core 占收入 7%、ARR 10%、RPO 16% | 2026-05-19 市值约 81.6 亿美元,对 FY25 收入隐含倍数较高但仍低于部分高热 AI 安全股 | 强受益 / 质量高 / 值得深挖 | |
| Cloudflare | Zero Trust + MCP + agent networking | MCP Server Portals、Managed OAuth、Mesh | 产品领先,收入未单列 | 中 | Q1 2026 收入 6.398 亿美元,同比增长 34%;cRPO +34% | 2026-05-19 市值 711 亿美元,PE 为负,显著嵌入 AI 网络/Agent 预期 | 中等受益 / 高弹性 / 估值偏高 | |
| Zscaler | Zero Trust identity context | ZPA/ZIA + identity context | 平台增强为主 | 中低 | Q1 FY26 收入 7.881 亿美元,同比增长 26%;非 GAAP 经营利润率约 22% | 2026-05-19 市值约 279 亿美元,PE 为负 | 受益明显 / 但更偏防御增强 | |
| Palo Alto Networks | CNAPP / identity-adjacent | Prisma/Cortex/Unit 42 identity context | 叙事强,收入未单列 | 低到中 | Unit 42 称 65% 初始访问由 identity-based techniques 驱动;但公司未单列 AI identity 收入 | 2026-05-19 PE 约 136 倍 | 好公司但预期已高 / 身份逻辑偏间接 | |
| Cisco | 平台 + 并购整合 | Duo、Splunk 安全、拟收购 Astrix | 并购切入期 | 低到中 | 2026 年拟收购 Astrix;公司整体规模和分销能力强 | 2026-05-19 PE 约 42.8 倍 | 间接受益 / 更像整合者 | |
| Oracle | 云 IAM / access governance | OCI IAM、Policy Analysis、Access Governance | 已产品化,但财务不单列 | 低到中 | OCI 提供 IAM、Generative AI IAM policies 与 access governance AI automation | 2026-05-19 PE 约 33.5 倍 | 防御型受益 / 需持续验证 | |
| GitLab | CI/CD identity / software supply chain | DevSecOps、OIDC、pipeline identity | 商业化较真实,但更多以套装体现 | 中 | Q2 FY26 收入同比增 29%,利润率改善;AI/DevSecOps 平台扩展持续 | 2026-05-19 市值约 42 亿美元,PE 为负 | 中等受益 / 开发侧身份值得跟踪 | |
| Trend Micro | Identity-first AI defense | Identity-first protection、AI runtime governance | 平台增强 | 低 | 2026 年频繁强调 identity-first AI era,但缺少独立收入披露 | 估值需单独验证 | 防御型受益 / 财务弹性较弱 | |
| Alibaba Group / Cloud | 云 IAM + secrets | RAM、KMS Secrets Manager | 内建能力已成熟 | 低到中 | 官方提供 secrets 存储、轮换、动态 secrets | 集团估值不靠该项驱动 | 防御型受益 / 云内建挤压他人 |
五类分层与投资优先级
A 类:AI/NHI/Agent 身份安全核心直接受益者 CyberArk、SailPoint、Microsoft、Okta、IBM/HashiCorp、JFrog。它们的共同特征是:身份控制面不是广告词,而是已经绑定到 PAM、IGA、Vault、developer security、directory 或 cloud access 这些可收费、可扩展、可审计的产品层。
B 类:受益明显,但估值、竞争或平台挤压风险并存 CrowdStrike、Cloudflare、Zscaler。它们都能从 Agent 时代受益,但更多依靠“大安全平台”吸收价值,而不是身份子产品单独变现;与此同时,它们当前市场定价已经相当乐观。
C 类:更多是防御工具,短期财务弹性不强 Palo Alto Networks、Cisco、Oracle、Trend Micro、Alibaba Cloud、Tencent Cloud。它们都需要把身份能力补齐,否则平台会失分;但短期更像“守住平台竞争力”,而不是独立新增高弹性利润池。
D 类:AI 身份安全叙事强,但实际收益证据仍不足 多数纯 Agent 安全或 broad AI security 创业公司、以及部分区域综合安全厂商。问题不在产品方向,而在公开收入、ARR、留存、客户渗透还不足以支撑二级市场式高确定性判断。
E 类:被平台整合风险较高的单点工具公司或赛道 单云 secrets、单点证书工具、point CIEM、point OAuth monitoring、只做 static scanning 的 secrets 工具、只做 SSO/MFA 的传统身份产品。云厂商与平台厂商都在向这类功能下沉。
评分模型与结果
本报告使用如下总分模型,对重点公司做 100 分制主观评分:
- AI/NHI/Agent 身份安全收入直接暴露度:25%
- 平台地位和客户基础:20%
- 身份数据与技术壁垒:15%
- 产品覆盖广度与整合能力:15%
- 财务质量和利润率:10%
- 成长弹性:10%
- 估值合理性:5%
同时使用反向风险模型评估“被身份平台整合风险”:
- 核心业务被平台整合风险:30%
- 单点工具属性:20%
- 缺乏数据/平台/生态壁垒:20%
- 预算被云厂商或大平台挤压风险:15%
- 估值过高风险:15%
| 排名 | 公司 | 总分 | 排名逻辑 | 反向整合风险 |
|---|---|---|---|---|
| 最高组 | CyberArk | 88 | 直接卡在 PAM、machine identity、AI agent gateway 交汇点,且已有 ARR 证据 | 25 |
| 最高组 | Microsoft | 85 | 身份控制面广度无敌,Entra Agent ID 已 GA,但收入不单列 | 18 |
| 最高组 | SailPoint | 83 | IGA 向 NHI/agent 扩张最自然,ARR 已超过 11 亿美元 | 22 |
| 高位组 | Okta | 80 | 目录与 CIAM 基础扎实,AI Agents 已 GA,但 monetization 仍需看 | 28 |
| 高位组 | IBM/HashiCorp | 77 | Vault 是 secrets/workload identity 核心底座之一,估值相对温和 | 23 |
| 高位组 | JFrog | 76 | DevSecOps 身份与 software supply chain 直接受益,Security Core 已实收 | 30 |
| 高位组 | CrowdStrike | 75 | SGNL 验证方向,但身份是大平台一部分,且估值高 | 20 |
| 中位组 | Cloudflare | 73 | MCP/agent networking 领先,但更偏产品叙事先于收入拆分 | 24 |
| 中位组 | Zscaler | 70 | 身份与零信任粘性强,但更多是平台增强 | 27 |
| 中位组 | Palo Alto Networks | 68 | 平台强、估值高、身份单项贡献弱 | 31 |
| 中位组 | Cisco | 66 | 并购和渠道优势明显,但更多像整合者 | 26 |
| 中位组 | Oracle | 64 | 云内建能力完整,但对集团收入贡献难验证 | 35 |
| 观察组 | Trend Micro | 58 | 有 identity-first AI 方向,但投资弹性不强 | 34 |
| 观察组 | Alibaba Cloud / Tencent Cloud | 56 | 内建能力真实,但资本市场不会按该项单独重估 | 38 |
| 观察组 | 区域综合安全厂商 | 45 以下 | 公开披露不足,先归入观察池 | 40+ |
这套评分的核心不是“谁技术最炫”,而是谁最有可能把 AI Agent 带来的 NHI、tool authorization、runtime privilege、ownership 与 data entitlements 变成 持续性 ARR。在这个标准下,CyberArk、SailPoint、Microsoft、Okta 的优先级明显高于“讲好了 AI 安全故事,但没有拆分收入”的多数综合安全平台。
估值、风险与最终结论
哪些预期已经反映,哪些仍有预期差
从 2026 年 5 月 19 日时点的市场数据看,CrowdStrike、Cloudflare、Palo Alto Networks、Zscaler 的估值里已经明显包含 AI 安全与平台化溢价。CrowdStrike 市值约 1555 亿美元,对 FY26 收入 48.1 亿美元的隐含倍数非常高;Cloudflare 市值约 711 亿美元,而其 Q1 2026 单季收入仅 6.398 亿美元;Palo Alto Networks 的 PE 约 136 倍,Cloudflare、Zscaler、GitLab、JFrog 则依然是负 GAAP PE 框架。换句话说,这些公司并非不能受益,而是“受益逻辑”与“估值吸引力”已经明显分叉。
相对存在预期差的,是那些已经形成真实身份安全收入支柱,但市场还没有完全按“AI 身份控制平面”去重估的公司。SailPoint 是最典型案例:它已经把 AI agents、machines 和 identities 的统一治理写进官方叙事,同时 FY26 ARR 已达 11.25 亿美元;但 2026-05-19 市值仅约 81.3 亿美元。IBM/HashiCorp 也类似,Vault 在 secrets、PKI、workload identity 中的基础设施属性很强,但资本市场更多按 IBM 整体看待它,而不是把 Vault 当作 AI Agent 爆发下的控制面资产去单独定价。
“好公司但估值太贵”的代表,是 CrowdStrike、Cloudflare、Palo Alto Networks、部分 Zscaler;“收入增长真实、估值仍可继续研究”的代表,是 SailPoint、JFrog、IBM/HashiCorp;“叙事很强但财务验证尚不足”的代表,则包括多数 AI 原生 Agent/NHI 创业公司以及部分大平台新发布的 AI 身份模块。
系统性风险
最大的基本面风险,不是“身份安全不重要”,而是 企业 Agent 落地节奏低于市场想象。如果 Agent 还停留在问答、总结、代码建议阶段,而不真正接入生产系统、知识库、工单流和自动审批链,那么最先受益的仍是数据安全、基础模型、云算力,而不是 Agent identity 专属预算。对纯 Agent identity 创业公司,这尤其关键。
第二个风险是云厂商下沉。Microsoft、AWS、GCP、Oracle、Alibaba Cloud、Tencent Cloud 已经展示出足够多的内建能力,足以压缩单云 secrets、basic workload identity、基础 CIEM 和部分证书/凭证管理工具的空间。独立公司如果没有跨云、跨 SaaS、跨数据层的统一 ownership、policy、audit 与 entitlement graph,就容易被边缘化。
第三个风险是标准尚未稳定。MCP 安全最佳实践与授权规范虽然已经成型,但企业对 MCP server、tool call authorization、cross-agent delegation、approval semantics 的治理方式仍快速迭代。太早押注“某一种具体实现”会有产品路径风险。
第四个风险是部署复杂度和业务摩擦。身份安全越往 runtime policy、ZSP、data entitlements、human approval 深入,越会碰到业务流程改造、开发提效、审计工作流和组织责任边界。这会拖长销售周期,也会提升客户教育成本。
最终结论
身份安全与 NHI 在 AI 产业链中的位置,已经从“配套安全功能”升级为 企业 AI Agent 真正落地的前置控制层。没有独立身份、没有可解释权限、没有短期凭证、没有工具授权、没有可审计委托链,Agent 就只能停留在 demo;一旦企业让 Agent 真正接触生产数据与生产系统,身份控制面就会成为上线门槛。
最值得关注的五个细分赛道,是:PAM 向 NHI/Agent 扩展、machine identity management、secrets/developer token security、IGA/NHI governance、data access governance/RAG permissions。 这五个赛道共同覆盖了“谁在执行、能做什么、凭证从哪来、是否过度授权、访问了哪些数据、能否被追责”这六个核心问题。
最值得深入研究的十家上市公司,是:CyberArk、SailPoint、Microsoft、Okta、IBM、JFrog、CrowdStrike、Cloudflare、Zscaler、Palo Alto Networks。 其中前六家更偏“控制面与收入落地”,后四家更偏“平台吸收与估值弹性”。
最值得跟踪的十家未上市公司,是:Veza、Saviynt、Ping Identity、Delinea、BeyondTrust、Aembit、Oasis Security、Entro Security、Astrix Security、Reco。 其中 Veza、Astrix、SGNL 这一路线最能体现“统一授权图谱 + runtime enforcement”的并购价值;Aembit、Oasis、Entro 更像 NHI 原生纯度最高的观察对象;Reco、Valence、Grip 代表 SaaS/OAuth/Shadow AI 身份风险的另一条演进路径。
市场最容易误解的五个点是: 其一,Agent identity 不等于给 Agent 一个账号;真正重要的是 delegated authority、ownership、approval 与 runtime authorization。其二,NHI 不是新物种,而是一直存在但未被治理的身份面。其三,MCP 安全不是提示词问题,而是 OAuth、resource server、scope、tool authorization 问题。其四,最先赚钱的不是“Agent 安全故事”,而是 PAM、secrets、machine identity、IGA 扩展。其五,身份安全会成为控制平面,但不是 SSO 一家独大,而是身份图谱、授权图谱、凭证生命周期与数据权限的合体。
未来 6–12 个月最该跟踪的指标,不是笼统的“AI 收入”,而是: CyberArk 的 machine identity 与 AI agents 相关 ARR/客户案例;SailPoint 的 SaaS ARR 与 NHI/AI governance 渗透;Okta 的 AI Agents 客户数与 RPO/cRPO;微软 Entra Agent ID 的客户采用节奏;CrowdStrike 对 SGNL 的整合与 FalconID 渗透;Cloudflare MCP/Zero Trust AI 产品的商业化节奏;JFrog Security Core 占收入和 RPO 比例;以及重大身份滥用事件中是否明显出现 Agent、OAuth app、tool abuse、delegation chain 失控。
更窄、更值得继续深挖的后续研究方向,我建议聚焦在:NHI Security、Agent Runtime Authorization、PAM 向 Agent/NHI 扩张、Secrets Management、Certificate Lifecycle、CIEM 与 Cloud Entitlements、RAG Permission Control、MCP Tool Authorization。 这是当下最接近“收入真实落地”和“未来控制面护城河”重合的交叉区域。