AI 网络安全从产品功能点升级为 AI 产业链的控制面与治理层,已经是企业大规模上线 AI 的准入条件。评级 跟踪。
核心矛盾是两条预算线:「用 AI 做安全」替代 SIEM/SOAR/XDR,短期最快落地;「保护 AI 本身」身份/RAG/MCP 治理,长期弹性大但企业先投算力后投安全。真把需求兑现成数字的只有五家——Palo Alto、CrowdStrike、Fortinet、Zscaler、Rubrik,ARR +23%~+39%;MSFT/DDOG 偏平台黏性,无独立收入桶。
最易泡沫化的是纯 prompt injection、LLM firewall、单点红队,大概率被平台并购吸收。Rapid7 收入两年从 +2% 滑到 -0.3% 是警示。三大风险:钱先去算力、平台免费内置、SOC 不敢全自主。
核心结论
AI 网络安全已经从“安全产品的一个功能点”升级为 AI 产业链里的控制面与治理层:它横跨模型、Agent、企业数据、身份、运行时、开发工具和 SOC,不再只是传统网络安全的边角能力,而是企业大规模部署 AI 的准入条件之一。Anthropic 将 MCP 定义为把数据源与 AI 工具建立“安全双向连接”的开放标准;OpenAI 则把 tracing、evaluations 放进 agent 开发栈;Microsoft、Palo Alto Networks、Zscaler、Check Point 都已把 AI 资产、Agent、运行时、数据与身份治理纳入主平台。
AI 对攻击侧的最大改变,不是“黑客突然更聪明”,而是攻击规模、个性化程度、社工逼真度、以及攻击链自动化显著上升;对防御侧的最大改变,则是SOC 工单处理、调查、响应、策略优化、数据分类、权限治理开始被 agent 化。Microsoft 已公开把 Security Copilot agents 用于 phishing、data security、identity management;其 2025/2026 系列材料也明确把 agent governance、shadow AI agents、agent identities 纳入安全框架。
“用 AI 做安全”和“保护 AI 本身”是两条完全不同的预算曲线。前者本质上主要是替代/升级现有安全运维预算,对应 SIEM、SOAR、XDR、MDR、威胁情报、邮件安全、代码审计等;后者则是伴随 AI 应用与 Agent 渗透率上升而新出现的安全预算,对应 AI-SPM、AI runtime security、RAG 权限控制、Agent identity、MCP/tool governance、AI 数据安全与模型 API 安全。前者更快落地,后者长期弹性更大。
未来 12–24 个月最先落地的 AI 安全预算,不是“纯 prompt injection 防护”,而是五类:AI SOC 自动化、安全数据湖+AI SIEM、AI/Agent 身份与权限治理、AI 数据安全/RAG 权限控制、AI 网关/运行时控制面。原因是这几类最接近企业现有控制链、采购口径和 ROI 体系,也最容易嵌入现有平台。Palo Alto 的 Portkey 交易把 AI Gateway 明确定位为 autonomous agents 的关键控制面;Microsoft 把 agent identities 放入 Entra;CrowdStrike、Zscaler、Check Point、Fortinet 都在原平台中扩展 AI 安全能力。
已经能够把 AI 安全需求较明确转化为收入、ARR、RPO 或利润率改善的上市公司,优先看 Palo Alto Networks、CrowdStrike、Fortinet、Zscaler、Rubrik。Palo Alto 的 Next-Generation Security ARR 在 FY25 Q2 达到 48 亿美元、同比增 37%,RPO 达 130 亿美元;CrowdStrike FY25 期末 ARR 达 42.4 亿美元,Next-Gen SIEM/Cloud/Identity 合计 ARR 超过 13 亿美元;Fortinet Q1 2025 的 Unified SASE ARR 与 Security Operations ARR 分别同比增 26% 与 30%;Zscaler FY25 Q2 收入同比增 23%,递延收入同比增 25%;Rubrik FY25 Q4 Subscription ARR 达 10.9 亿美元、同比增 39%。
也有一批公司更像防御型受益者,即 AI 主要用于降本增效、提升平台黏性,而不是创造独立的新收入池。典型包括 Microsoft、Datadog、Cloudflare、Check Point、Qualys:它们都在加速把 AI 功能内嵌到平台,但大多数尚未单独披露 AI 安全 ARR,更多体现为更强的平台竞争力、更多 seat/workload 扩张或更高产能。
真正处在 AI 安全平台核心位置的,不是单一“LLM firewall”厂商,而是同时掌握身份、数据、运行时、日志/遥测和响应闭环的平台。目前最接近这一形态的是 Palo Alto Networks、CrowdStrike、Microsoft、Zscaler,其次是 Fortinet、Check Point、Datadog、Cloudflare。这一判断来自它们把 Agent、AI 资产、数据保护、SOC 自动化和访问治理统一进既有控制平面的速度。
Agent 安全、AI 身份安全、Non-human identity、RAG 权限控制是收入弹性最大的细分赛道之一,因为企业一旦让 Agent 直接访问内部知识库、SaaS、代码仓库、工单系统和浏览器,就必须解决 inventory、identity、least privilege、tool approval、audit trail 和 secrets 管理。Anthropic 已在 MCP 设计中加入对 connectors 的许可控制;OpenAI 把 tracing/evaluations 做进 agent stack;Microsoft 则把 agent identities 放进 Entra 与 Zero Trust 体系。
利润率最好的赛道通常不是最性感的“AI firewall”,而是建立在高毛利 SaaS 之上的身份、数据、安全运营软件层。这一点已经体现在 Check Point、Qualys、Fortinet 的利润率上,也开始体现在 CrowdStrike、Okta、Tenable、SentinelOne 的经营杠杆改善上。Check Point 2024 年 operating margin 为 34%;Qualys Q1 2025 GAAP operating margin 为 32%,Adjusted EBITDA margin 为 47%;Fortinet Q1 2025 非 GAAP operating margin 为 34.2%;SentinelOne FY2026 首次实现全年 non-GAAP operating profitability。
最容易泡沫化的赛道,是那些短期很难形成强制性采购、同时又容易被平台内置的独立小品类,尤其是纯 prompt injection、防 jailbreak、泛化 LLM firewall、单点 AI red-teaming 工具。Palo Alto 连续并购 CyberArk、Koi、Portkey 并把 Prisma AIRS/Idira 做成统一控制面,Microsoft 把 Agent 安全嵌进 Entra/Defender,Zscaler 与 Check Point 也都把 AI 资产、数据与访问控制内嵌进主平台;这意味着很多单点厂商最终更像并购标的,而非长期独立平台。
估值已经明显反映 AI 安全预期的,优先包括 CrowdStrike、Palo Alto Networks、Datadog、Cloudflare。按当前市值与最近财年收入粗算,CrowdStrike 的市销率约 39 倍,Palo Alto 约 22 倍,Datadog 约 22 倍,Cloudflare 约 40 倍以上;这些公司当然可能继续兑现,但“业务确定性”与“估值吸引力”已经明显分离。
仍可能存在预期差的公司,更多在“已有控制面但 AI 安全收入尚未被市场充分单独定价”的平台里,例如 Fortinet、Check Point、SentinelOne、Okta、Tenable。它们共同特点是:估值显著低于最热门 AI 安全平台,但已经具备 agent identity、SecOps、exposure management、Zero Trust、Cloud/App/Identity 等向 AI 安全延展所必需的底层能力。
被 AI 安全平台、云厂商或 AI 原生安全公司冲击风险最高的,首先是传统 SOAR、传统日志分析、单点漏洞管理、单点 CSPM、单点 DLP、单点邮件与反钓鱼、以及没有身份/数据/平台能力的点状工具。Rapid7 是典型警示样本:截至 FY2025 全年收入仅增 2%,ARR 8.40 亿美元,而 Q1 2026 收入同比下降 0.3%,说明其产品面临平台化、自动化和预算迁移的多重压力。
未来 12–24 个月最重要的催化剂,是企业 Agent 普及速度、AI 安全付费率、平台型厂商的并购整合、以及 AI 安全是否进入 RPO/cRPO/ARR 披露口径。最大风险则是企业先投算力和应用、后投安全;平台把单点 AI 安全功能免费内置;以及自动化 SOC 在高风险处置上迟迟不敢 fully autonomous。Microsoft、Anthropic、OpenAI 都在快速推进 agent 能力,但这并不自动等于独立 AI 安全预算同步放量。
产业链全景与预算迁移
先回答最关键的十个问题。
AI 安全新增预算并不是单一科目,而是从四个采购池同时形成:其一,AI 项目预算中的“强制治理层”,包括 AI 资产发现、AI-SPM、Agent inventory、tool governance、runtime protection、审计与审批;其二,现有安全预算中的“平台升级层”,包括 AI SOC、AI SIEM、agentic SOAR、XDR、threat intel 自动化;其三,数据与身份预算中的“AI 扩容层”,包括 DSPM、DLP、RAG 权限、machine/agent identity、PAM、secrets 与 CIEM;其四,开发者与云预算中的“AI 应用保护层”,包括 AI code security、model API security、AI gateway、安全浏览器与本地 agent 控制。Palo Alto 的 Portkey/Koi/CyberArk 路线、Microsoft Entra 的 agent identity、Zscaler 的 AI Asset Management/DSPM、CrowdStrike 的 secure AI、Check Point 的 GenAI Protect/AI Cloud Protect,说明主流平台都在围绕这四个采购池布局。
“用 AI 做安全”和“保护 AI 本身”的区别在于:前者优化防守效率函数,后者定义企业 AI 上线边界。前者解决的是警报泛滥、误报、人员短缺、调查慢、剧本固化等问题;后者解决的是 AI 资产不可见、Agent 权限过宽、RAG 过读、模型/工具/浏览器被滥用、敏感数据外流、运行时行为不可审计等问题。因而前者最容易由现有安全供应商承接,后者则更容易把身份安全、数据安全、云安全、应用安全重新拉回预算中心。
企业为什么不会只依赖传统安全工具?因为 Agent、RAG、MCP 和多模型 API 让“谁可以读什么、调用什么、代表谁行动、输出被谁接收、行为如何审计”变成全新问题。Anthropic 明确表示 MCP 需要对 connectors 进行访问控制,并支持一次性或永久授权;OpenAI 也把 tracing 与 evaluations 变成 agent stack 的组成部分;这意味着 AI 安全需要新的控制点,而不是只在网络边界或终端层面追加规则。
下表给出产业链全景图。评分为 1–5,数值越高表示 AI 普及下的受益/投资弹性越强;这是基于公开披露和本报告的分析框架做的主观评分,而非管理层指引。
| 产业链位置 | 细分环节 | 核心产品 | AI安全需求驱动因素 | 收入模式 | 主要客户 | 竞争壁垒 | 利润率特征 | 代表公司 | 上市/未上市 | 受益强度 | 投资弹性 | 关键来源 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 模型层 | 基础模型安全 | model safeguards、评测、tracing、connector controls | 模型外部调用、企业私有数据接入、行为审计 | API/平台附加、企业版 | 模型开发者、平台方、大企业 | 模型能力、数据、评测框架 | 高毛利,但安全收入常不单列 | OpenAI、Anthropic | 未上市 | 4 | 4 | |
| 应用层 | AI应用安全 | AI gateway、runtime policy、输出过滤 | 企业内嵌 AI 应用快速扩张 | 按应用/API/seat | SaaS、开发者平台、大企业 | 运行时遥测、策略引擎、集成广度 | SaaS 高毛利 | PANW、Zscaler、Check Point | 上市 | 5 | 5 | |
| Agent层 | Agent 安全 | inventory、行为监控、审批、日志 | autonomous agents 开始执行真实操作 | 按 seat/agent/usage | 大企业、金融、开发团队 | 审计链、权限模型、工作流集成 | 高毛利,但早期竞争激烈 | Microsoft、PANW、CrowdStrike | 上市 | 5 | 5 | |
| 工具调用层 | MCP / tool governance | connector allow/deny、tool approval、sandboxing | MCP、function/tool calling 成为默认架构 | 平台附加、每 agent/API | AI 开发平台、企业 IT | 协议控制与身份绑定 | 高毛利,独立厂商易被平台吸收 | Anthropic、OpenAI、PANW | 混合 | 5 | 5 | |
| 数据层 | RAG 与知识库安全 | 权限继承、向量检索授权、内容级 DLP | RAG 导致“查询即读数” | 按数据量/seat/库数 | 大企业、受监管行业 | 数据分类、ACL 映射、内容理解 | 高毛利,实施复杂 | Zscaler、Microsoft、Varonis、Rubrik | 上市 | 5 | 4 | |
| 数据层 | AI 数据安全 | DSPM、DLP、敏感数据发现 | AI 对企业数据访问面大幅扩大 | 按 TB/对象/用户 | 大企业、云原生企业 | 分类准确率、上下文与权限联动 | 高毛利 | Zscaler、Check Point、Microsoft | 上市 | 5 | 4 | |
| 身份层 | AI 身份安全 | IAM、PAM、CIEM、agent identity、NHI | Agent/service account/secret 激增 | 按用户、工作负载、权限对象 | 全行业 | 身份图谱、least privilege、审计 | 高毛利、客户迁移成本高 | Microsoft、Okta、PANW-Idira | 上市 | 5 | 5 | |
| 运行时层 | AI runtime security | LLM firewall、runtime inspection、abuse detection | 实时阻断 prompt injection、越权工具调用 | 按请求量/API 调用 | AI 应用团队 | 低延迟、策略与日志规模 | 早期高毛利但价格易承压 | PANW Prisma AIRS、CrowdStrike、Check Point | 上市 | 4 | 5 | |
| 评测层 | AI 红队与模型评测 | eval、red teaming、policy testing | 强监管、高风险场景上线前验证 | 项目制+订阅 | 金融、政府、模型公司 | 方法论与案例库 | 很多厂商“好产品难赚钱” | OpenAI、Anthropic、平台安全厂商 | 混合 | 3 | 3 | |
| 开发层 | AI代码安全 | code review、secret scan、supply chain | AI 编程提高代码量与依赖复杂度 | seat/仓库/流水线 | 开发团队、平台工程 | 代码语义理解、生态集成 | 高毛利但竞争多 | Microsoft/GitHub、Elastic、Datadog | 上市 | 4 | 4 | |
| 运维层 | AI SOC | AI analyst、自动 triage、调查总结、响应 | 人力短缺、告警爆炸、MTTR 压力 | 平台订阅、按数据/事件 | SOC、MSSP、大企业 | 安全数据、case graph、workflow | 随规模利润改善明显 | CrowdStrike、PANW、Microsoft、Fortinet | 上市 | 5 | 5 | |
| 数据平台层 | AI SIEM / 安全数据湖 | 湖仓一体、搜索、AI 查询、检测 | 需要低成本存储+AI 分析 | 数据量/节点/平台包 | SOC、云原生企业 | 数据模型、搜索、生态 | 较高毛利,规模效应强 | CrowdStrike、Elastic、Datadog、Microsoft | 上市 | 5 | 4 | |
| 编排层 | Agentic SOAR | 自动化剧本、agent workflow、审批 | 从规则驱动转向目标驱动响应 | 平台附加 | SOC、MDR | 场景库、连接器、审批链 | 独立 SOAR 利润池趋弱 | PANW、Microsoft、CrowdStrike | 上市 | 4 | 4 | |
| 检测层 | XDR / EDR / NDR / ITDR | 端点、身份、网络、云联合检测 | AI 攻击让跨域关联更重要 | 按 endpoint/user/workload | 大企业、政府 | 遥测规模、威胁图谱、响应闭环 | 高毛利 | CrowdStrike、SentinelOne、PANW、Fortinet | 上市 | 5 | 4 | |
| 云层 | CNAPP / AI-SPM | AI 资产发现、模型暴露面、配置风险 | 多模型、多云、shadow AI 爆发 | workload/云账户/平台包 | 云原生企业 | 云控制面集成、图谱 | 高毛利但整合迅速 | PANW、Check Point、CrowdStrike、Fortinet | 上市 | 5 | 4 | |
| 网络与访问层 | SASE / SSE / Secure Browser | AI 使用治理、浏览器隔离、本地 agent 控制 | 员工直接在浏览器/终端使用 Agent | 按用户/站点/带宽 | 大企业、分布式办公 | 网络分发+身份+数据 | 毛利好,平台化强 | Zscaler、Cloudflare、Fortinet、PANW | 上市 | 4 | 4 | |
| API层 | API 安全 | model API 保护、abuse monitoring | 工具调用与模型 API 暴露增加 | API/请求量 | 开发团队、SaaS | 流量理解、策略引擎 | 高毛利但易被平台捆绑 | Check Point、Cloudflare、PANW | 上市 | 4 | 3 | |
| 弹性与恢复层 | 数据韧性 / Cyber Recovery | 备份、隔离恢复、AI 数据保护 | AI 时代数据更值钱、勒索更昂贵 | 订阅/容量/节点 | 大企业、受监管行业 | 恢复能力、数据面粘性 | 高毛利且 AR R强 | Rubrik | 上市 | 4 | 4 | |
| 运营服务层 | MDR / MSSP | AI 辅助检测、调查、处置 | 客户缺人缺能力 | 订阅/托管服务 | 中大型企业 | 人+平台+流程 | 毛利取决自动化率 | CrowdStrike、Fortinet、PANW 生态 | 上市 | 3 | 3 | |
| 买方预算层 | 企业客户 | 安全、AI、数据、IT 联合采购 | AI 项目上线前必须过治理 | 平台包、附加模块 | Fortune 500、金融、政府、医疗 | 采购关系、合规门槛 | 大单驱动 | Microsoft、PANW、CrowdStrike、Zscaler | 上市 | 5 | 5 | |
| 攻击侧 | AI 驱动攻击 | 深度伪造、社工、自动化钓鱼、越权代理 | 攻击规模化与定制化 | N/A | 攻击者 | 低门槛扩散 | N/A | 需求驱动,不是投资标的 | N/A | 5 | 5 |
预算迁移判断。
我的判断是:AI 安全预算里,短期(未来 12 个月)约有一半以上仍会以“原安全预算再分配”的形式出现,最典型是在 SIEM/SOAR/XDR/MDR、SASE、数据安全、身份安全里加购 AI 模块或平台包;但中期(12–36 个月)新增预算占比会快速上升,尤其来自 AI 应用负责人、数据平台主管、Copilot/Agent 项目负责人和企业架构团队。原因在于,当 AI 从“问答工具”升级为“可调用工具、可访问知识库、可代表用户执行动作”的 Agent 后,安全责任链会从 CISO 扩展到 CIO、CTO、数据与业务负责人。Microsoft 披露已有 23 万+ 组织使用 Copilot Studio 构建 AI agents 与自动化;这会把 Agent 治理需求前移到部署时点。
情景推演。
| 情景 | 核心假设 | 企业AI采用率 | Agent采用率 | AI安全付费率 | AI攻击增长 | 安全预算变化 | 最受益环节 | 受益公司 | 被冲击公司 | 主要风险 |
|---|---|---|---|---|---|---|---|---|---|---|
| 保守 | AI 主要停留在 copilot/检索层,Agent 只在少数流程使用 | 55% | 10% | 20% | 中等 | 安全总预算 +2%~4%,以再分配为主 | AI SOC、SASE、DLP、Identity | FTNT、CHKP、OKTA、TENB | 传统 SOAR、单点日志工具 | 付费率低、客户把 AI 安全视为平台免费功能 |
| 基准 | 企业从 copilot 走向 workflow agents,开始多模型与知识库接入 | 70% | 20%~25% | 35% | 较快 | 安全总预算 +5%~8%,新增与替代并存 | AI SOC、AI-SPM、RAG 安全、Agent identity、安全数据湖 | PANW、CRWD、ZS、FTNT、RBRK、S | 传统 SOAR、点状 CSPM、点状 DLP、RPD | 标准未成熟、自动化处置边界保守 |
| 激进 | Agent 大规模接管内部流程,浏览器/终端/知识库/API 深度联动 | 85% | 35%~45% | 50%+ | 很快 | 安全总预算 +10%~15%,AI 安全形成独立预算 | Agent 安全、MCP 安全、AI runtime、NHI、AI 数据安全 | PANW、MSFT、CRWD、ZS、OKTA、RBRK、S | 传统 SIEM/SOAR、点状 AppSec、仅漏洞管理工具 | 云厂商/平台吸收利润池,独立小品类难独立上市 |
企业AI安全架构与赛道价值
企业级 AI 安全系统的典型架构,正从“网络—终端—云”的三层防御,变成“资产发现—身份—数据—运行时—日志—治理”的六层控制面。最核心的变化是:AI 不只是被访问的对象,而是会主动读取、推理、调用、写回与执行动作的主体。因此,长期护城河最深的层,不再只是终端或网关,而是能把身份、数据血缘、运行时遥测、审批与审计串起来的平台层。Microsoft 把 agent identities 放入 Entra 并落到 Zero Trust;Anthropic 在 MCP 中强调 connector 级控制;OpenAI 在 agent stack 中加入 tracing/evals;PANW 通过 Portkey、Koi、CyberArk 试图把入口、身份、端点与运行时收敛到 Prism AIRS / Idira 这类控制面上。
下表把用户要求的 15 层架构合并成一个价值拆解表,并直接回答“哪里最有护城河、哪里最容易被内置、哪里最适合独立切入”。
| 架构层 | 主要控制目标 | 最容易形成护城河 | 最容易被云厂商/平台内置 | 最适合独立安全公司切入 | 最适合大型平台整合 | 付费意愿 | 利润率 | 增长/竞争态势 | 主要判断 |
|---|---|---|---|---|---|---|---|---|---|
| AI资产发现层 | 发现模型、Agent、API、知识库 | 中 | 高 | 中 | 高 | 中 | 高 | 高增长/高竞争 | 容易被云/安全平台吸收,独立厂商更适合作 wedge |
| 模型与Agent清单层 | inventory、owner、risk | 中 | 中高 | 中 | 高 | 中高 | 高 | 高增长 | 与身份、审批、配置管理强绑定,适合平台 |
| 数据发现与分类层 | 敏感数据、权限、血缘 | 高 | 中 | 中 | 高 | 高 | 高 | 高增长 | 长期价值最高之一,尤其在 RAG 和 Copilot 上线后 |
| 身份与权限层 | human/NHI/agent identity、least privilege | 很高 | 中 | 中 | 很高 | 很高 | 很高 | 高增长 | AI 时代的核心安全预算之一 |
| Prompt 与输入防护层 | 注入、越权输入、恶意上下文 | 中低 | 高 | 中 | 高 | 中 | 中高 | 高增长/高竞争 | 好产品很多,长期独立定价未必强 |
| 输出与数据泄露防护层 | 输出过滤、脱敏、策略 | 高 | 中 | 中 | 高 | 高 | 高 | 稳健增长 | 与 DLP、合规绑定,更容易收入口碑与预算 |
| RAG 权限控制层 | 检索授权、ACL 继承 | 高 | 中 | 高 | 高 | 高 | 高 | 高增长 | 关键瓶颈层,最容易形成粘性 |
| MCP / 工具调用治理层 | tool allow/deny、审批、审计 | 高 | 中 | 高 | 高 | 高 | 高 | 最快增长之一 | 早期独立切入空间较好,但中期会被平台吞并 |
| Agent 运行时监控层 | 行为、成本、异常、滥用 | 高 | 中 | 高 | 高 | 高 | 高 | 最快增长之一 | 类似云运行时安全在 AI 时代的再版 |
| Agent 行为审计层 | 可追溯、证据链、归因 | 高 | 中 | 高 | 高 | 高 | 高 | 高增长 | 与合规/审批结合后价值抬升 |
| AI 红队与评测层 | 上线前后安全性验证 | 中 | 中高 | 高 | 中 | 中 | 中高 | 高增长/高竞争 | “好产品但难赚钱”风险高 |
| 安全数据湖层 | 遥测、检索、长期存储 | 很高 | 中 | 中 | 很高 | 高 | 高 | 高增长 | 自主化 SOC 的底座,平台壁垒最强之一 |
| SIEM / SOAR / XDR 层 | 检测、调查、响应 | 高 | 中 | 中 | 很高 | 高 | 高 | 重构中 | AI 会重写工作流,但不会消灭这一层 |
| 人类审批与治理层 | HITL、policy、例外处理 | 中高 | 中 | 中 | 高 | 中高 | 中高 | 稳定增长 | 在高风险流程里是强制存在,不会被纯自动化替代 |
| 合规与审计层 | 监管、记录、责任链 | 中高 | 中 | 中 | 高 | 中高 | 高 | 稳定增长 | AI 预算落地越快,这一层越刚性 |
赛道价值排序。
以未来 12–24 个月的“可商业化程度 × 平台护城河 × 预算落地速度”看,我更看重的不是最热门的单项技术,而是以下 8 个主赛道:
| 赛道 | 赛道逻辑 | 商业化阶段 | 收入如何转化 | 主要客户 | 定价/毛利率趋势 | 护城河 | 12–24个月催化剂 | 主要风险 | 投资吸引力 |
|---|---|---|---|---|---|---|---|---|---|
| AI SOC | 用 AI analyst 提升 triage、investigation、response | 已商业化 | 平台扩容、seat、事件量、MDR 附加 | 大企业、MSSP | 毛利率与平台化一起提升 | 数据湖+流程+威胁情报 | AI agents 从 copilot 升级到 autonomous workflows | 幻觉/误处置 | 5 |
| AI SIEM / 安全数据湖 | AI 查询与自动调查需要低成本高质量遥测层 | 已商业化 | 数据量、平台包、增购 | SOC、云原生企业 | 高毛利、规模效应强 | 数据模型、搜索、生态 | 日志/安全/AI 数据统一 | 成本与迁移复杂度 | 5 |
| Agentic SOAR | 从 playbook 转向 agent workflow | 早中期 | 替代旧 SOAR、附加到 XDR/SIEM | SOC、中大型企业 | 单独定价弱,捆绑更强 | workflow、审批链 | 平台内 agent 大规模上线 | 独立 SOAR 被边缘化 | 4 |
| XDR / EDR / ITDR | 攻击链跨端点/云/身份/数据,AI 提升检测与响应 | 已商业化 | module 扩容、平台包、Flex 合约 | 大企业、政府 | 高毛利 | 遥测与响应闭环 | AI 驱动攻击加快 | 同质化竞争 | 4 |
| CNAPP / AI-SPM | 从云资产可见性扩展到 AI 资产可见性 | 早中期 | workload/云账户/平台包 | 云原生企业 | 高毛利 | 云控制面集成 | AI 资产/模型/数据集发现需求爆发 | 云厂商内置 | 5 |
| 身份安全 / NHI / Agent Identity | Agent 本质是新的非人身份 | 早中期 | user、workload、secret、privilege | 全行业 | 高毛利 | 身份图谱与最小权限 | Agent 生产化、零信任前移 | 标准未成熟 | 5 |
| AI运行时 / LLM firewall / Prompt / Jailbreak | 解决实时滥用、注入、越权调用 | 早期 | API 调用量、应用数 | AI 应用团队 | 毛利率高,但价格压力大 | 运行时策略与日志 | 高风险 AI 应用上线 | 容易被平台内置 | 3 |
| RAG安全 / AI数据安全 DSPM/DLP | 数据是 AI 的燃料,也是最高风险暴露面 | 已进入放量期 | 数据对象、TB、seat、平台加购 | 大企业、受监管行业 | 高毛利 | 分类+权限+上下文 | 企业知识库与 Copilot 真正落地 | 实施复杂 | 5 |
| Agent安全 / MCP安全 / Tool Governance | Agent 开始“做事”后必须可控可审计 | 早期但极具弹性 | 按 agent/API/connector 计费或平台附加 | AI 开发团队、大企业 | 早期高毛利 | 协议控制、审计链 | MCP/connectors 普及 | 易被平台并购吸收 | 5 |
| AI红队 / 模型评测 | 上线前评估模型与应用风险 | 早期 | 项目制+企业包 | 模型方、大企业 | 毛利率可高,但规模难 | 方法论与数据集 | 监管与高风险行业采用 | 预算非刚性 | 2 |
| 代码安全 / 软件供应链 / API安全 | AI 编程增加代码量和依赖风险 | 已商业化 | seat/仓库/API 调用 | 开发团队 | 高毛利 | 与 DevOps/SDLC 深度集成 | AI coding 普及 | 开源压价 | 4 |
| 浏览器安全 / 本地Agent / Secure Browser | 人和 Agent 共用浏览器/终端 | 早中期 | user/device/浏览器 seat | 分布式办公企业 | 中高毛利 | 端点+网络+身份联动 | agentic browser 流行 | 客户教育成本 | 4 |
| 邮件安全 / AI 钓鱼 / 深度伪造检测 | AI 放大社工与身份仿冒 | 已商业化 | seat/domain/mailbox | 全行业 | 高毛利 | 数据标注与图谱 | 攻击升级 | 易被平台挤压 | 3 |
| MDR / MSSP | AI 提升人均产出与毛利 | 已商业化 | 托管合同、平台附加 | 中大型企业 | 毛利受自动化影响大 | 流程与口碑 | 人才紧缺持续 | 平台直营竞争 | 3 |
| AI安全合规与治理 | 审计、政策、责任链 | 早中期 | seat/项目/平台包 | 受监管行业 | 较好 | 合规模板与工作流 | 监管细化 | 被 GRC 大厂吸收 | 3 |
| AI原生安全创业公司 | 以 Agent/MCP/runtime 为楔子 | 早期 | 试点到平台附加 | Frontier AI adopters | 早期毛利高 | 先发与专精 | 并购潮 | 独立市场难做大 | 4 |
结论上,最值得继续深挖的五个细分方向是:AI SOC / 安全数据湖、Agent 身份与权限治理、RAG/AI 数据安全、AI-SPM/CNAPP 延伸、Agent/MCP/runtime 控制面。这些方向同时满足“预算刚需”“可落入现有采购科目”“能形成平台控制面”“有较强并购价值”四个条件。
投资标的总表与分层
下表只放入本轮检索中高置信、具有较明确财务证据或平台路径的重点上市标的。估值中的“粗略市销率”采用当前市值与最近完整财年收入简单换算,未扣除净现金/有息债务,因此更适合做横向比较而非精确估值。
| 公司 | 代码 | 市场 | 细分环节 | 核心AI安全产品/路径 | AI安全受益路径 | 关键财务证据 | 毛利率/利润率 | 粗略估值观察 | 分类 | 综合判断 | 关键来源 |
|---|---|---|---|---|---|---|---|---|---|---|---|
| Palo Alto Networks | PANW | NASDAQ | 平台型、AI runtime、身份、SOC、CNAPP | Prisma AIRS、Portkey、Koi、Idira、Cortex | 直接受益+平台型;AI Gateway、agent endpoint、identity、SOC 统一控制面 | FY25 Q2 NGS ARR 48 亿美元、+37%;RPO 130 亿美元、+21%;FY24 收入 80.3 亿美元;FY26 Q1 NGS ARR 59 亿美元、RPO 155 亿美元 | FY24 总毛利率 74.3%;FY26 Q2 非 GAAP op margin 超 30% | 当前市值约 1760 亿美元、PE 约 136 倍,预期已高 | A | 受益最清晰,但估值不便宜 | |
| CrowdStrike | CRWD | NASDAQ | AI SOC、XDR、Identity、Cloud、Next-Gen SIEM | Charlotte AI、Falcon Flex、Secure AI | 直接受益+平台型;AI-native SOC 与多模块扩张 | FY25 期末 ARR 42.4 亿美元、+23%;FY25 收入 39.5 亿美元、+29%;Next-Gen SIEM/Cloud/Identity 合计 ARR >13 亿美元;97% gross retention | FY25 总毛利率 75%;FY25 FCF 10.7 亿美元 | 当前市值约 1555 亿美元、粗市销率约 39 倍 | A | 最强 AI SOC 资产之一,但估值最热 | |
| Fortinet | FTNT | NASDAQ | 安全运营、SASE、平台型网络安全 | FortiOS、SecOps、Unified SASE | 直接受益;AI 带动 SecOps 和 SASE 模块化扩张 | Q1 2025 收入 15.4 亿美元、+14%;Unified SASE ARR +26%;Security Operations ARR +30%;RPO 64.9 亿美元 | FY24 总毛利率 80.6%;Q1 2025 非 GAAP op margin 34.2% | 当前市值约 940 亿美元、PE 约 49 倍 | A | 受益路径清晰,估值低于最热 AI 安全股 | |
| Zscaler | ZS | NASDAQ | SASE/SSE、AI资产与数据安全 | AI Security、AI Asset Management、DSPM、Copilot Data Protection | 直接+平台型受益;Zero Trust 向 AI 与数据控制面扩张 | FY25 Q2 收入 6.48 亿美元、+23%;billings +18%;deferred revenue 18.8 亿美元、+25%;FY24 收入 21.7 亿美元、+34% | FY24 gross margin 78% | 当前市值约 279 亿美元、粗市销率约 13 倍 | A | 平台化能力强,估值相对可接受 | |
| Rubrik | RBRK | NYSE | 数据韧性、AI数据安全、恢复 | Cyber resilience、AI data protection | 直接受益;AI 时代数据价值提升,恢复与隔离更关键 | FY25 Q4 Subscription ARR 10.93 亿美元、+39%;FY25 收入 8.87 亿美元、+41%;FY26 Q4 收入 3.78 亿美元、+46% | 订阅模式推高可见性 | 当前市值约 129 亿美元、粗市销率约 15 倍 | A | 不是“Agent 安全”叙事中心,但是真正能收钱的高弹性资产 | |
| SentinelOne | S | NYSE | XDR、AI SOC、AI安全平台 | Singularity、Purple AI、AI security | 中高受益;从 EDR 向 AI-native autonomous security 平台演进 | FY2026 收入 10.0 亿美元、+22%;ARR 11.19 亿美元、+22%;$100k+ ARR 客户 1667、+18%;FY2026 non-GAAP op margin 转正到 3% | FY2026 GAAP gross margin 74%,non-GAAP 79% | 当前市值约 58 亿美元、粗市销率约 5.8 倍 | B | 弹性大、估值不高,但与平台巨头竞争激烈 | |
| Okta | OKTA | NASDAQ | IAM、Agent identity、Zero Trust | Identity cloud、RPO/cRPO 驱动 | 中高受益;Agent 身份、访问与治理长期受益,但 AI 安全收入未单列 | FY25 Q4 收入 6.82 亿美元、+13%;RPO 42.15 亿美元、+25%;cRPO 22.48 亿美元、+15%;FY2026 non-GAAP op margin 26% | 利润率显著改善 | 当前市值约 155 亿美元、PE 约 78 倍 | B | 如果 Agent 身份成为核心预算,可能被重估 | |
| Check Point | CHKP | NASDAQ | 平台型、AI应用安全、云与邮件安全 | Infinity AI Copilot、GenAI Protect、AI Cloud Protect | 中等受益;AI 将增强平台黏性,但财务贡献未单独披露 | FY2024 收入 25.65 亿美元、+6%;operating margin 34%;Q1 2025 收入 6.38 亿美元、+7%;Security subscriptions +10%;RPO +11% | 高利润、高现金流 | 当前市值约 144 亿美元、粗市销率约 5.6 倍 | B | 财务质量优,但 AI 收入验证仍弱 | |
| Datadog | DDOG | NASDAQ | 安全数据平台、云安全、AI运维安全 | Bits AI Security Agent、MCP Server、Cloud/App Security | 平台型受益;AI 加强 observability+security 融合 | Q1 2026 收入 10.06 亿美元、+32%;约 4550 个 $100k+ ARR 客户;FY2025 收入 34.3 亿美元、+28%;FY2025 non-GAAP op margin 22% | 高毛利、现金流强 | 当前市值约 762 亿美元、PE 很高,粗市销率约 22 倍 | B | 好公司,但 AI 安全更多是平台加分项而非独立收入桶 | |
| Cloudflare | NET | NYSE | AI应用/浏览器/网络/开发平台安全 | AI apps/agents/workforce、Workers、AI features | 平台型受益;AI 应用托管与安全并行,安全收入不易拆分 | Q1 2025 收入 4.79 亿美元、+27%;落地首个 >1 亿美元 Workers 合同;签下最长年期 SASE 合同;2024 年年化收入 >10 万美元客户 3497 | Q1 2025 GAAP gross margin 75.9% | 当前市值约 711 亿美元、估值很高 | B | 平台位置优,但“AI安全”更多是战略解释,不宜等同独立收入 | |
| Microsoft | MSFT | NASDAQ | 身份、数据、安全 Copilot、Agent 治理 | Security Copilot、Entra agent identity、Defender/Purview/Intune agents | 平台型+防御型受益;可吸收大量 AI 安全利润池 | 23 万+ 组织使用 Copilot Studio 构建 agents/自动化;Security Copilot agents 已覆盖 phishing、data security、identity;Entra 扩展到 agentic workforce | 公司级盈利能力极强,但安全收入未单独拆 AI | 当前 PE 约 25 倍 | B | 作为“控制面拥有者”极强,但二级市场上 AI 安全不是单独估值因子 | |
| Elastic | ESTC | NYSE | 搜索、安全数据湖、AI SIEM | Search AI Company、Elastic Security | 防御型/间接受益;AI 会强化其安全数据与搜索定位 | Q3 FY2026 收入 4.50 亿美元、+18% | 安全与 observability 共平台 | 当前市值约 57 亿美元 | C | 有技术价值,但 AI 安全财务外显度弱于头部平台 | |
| Tenable | TENB | NASDAQ | Exposure Management、漏洞与资产 | Exposure 管理向 AI 资产风险延伸 | 中等受益;AI-SPM/暴露面可受益,但需产品验证 | Q1 2025 收入 2.39 亿美元、+11%;current billings +9%;non-GAAP op margin 20%;Q1 2026 收入 2.62 亿美元、+9.6%,转为 GAAP op profit | 利润率改善 | 当前市值约 27 亿美元 | C | 如果 AI 资产发现与暴露管理真正成形,存在预期差 | |
| Qualys | QLYS | NASDAQ | 漏洞管理、云安全、合规 | 传统平台加 AI 提效 | 防御型受益;更多是提升平台效率 | Q1 2025 收入 1.60 亿美元、+10%;GAAP gross margin 82%;GAAP operating margin 32%;Adjusted EBITDA margin 47% | 极强利润率 | 当前市值约 35 亿美元、PE 约 17.6 倍 | C | 财务防守性强,但 AI 安全增长弹性有限 | |
| Okta 同行补充:CyberArk | 已被 PANW 并购 | N/A | PAM / Identity Security | Idira | 作为独立标的已不适用,但身份安全赛道价值被验证 | PANW 已完成收购并将其平台更名为 Idira | N/A | N/A | N/A | 对“AI 时代身份中心化”是重要佐证 | |
| Rapid7 | RPD | NASDAQ | 风险检测、传统安全运营 | 传统平台补 AI | 被冲击风险较高;增长慢、平台化承压 | FY2025 收入 8.60 亿美元、+2%;ARR 8.40 亿美元;Q1 2026 收入 2.10 亿美元、同比 -0.3% | 现金流为正,但增长显著放缓 | 当前市值约 4.5 亿美元 | E | 典型“可能被 AI 安全平台整合/替代”的样本 |
公司分层。
A 类:PANW、CRWD、FTNT、ZS、RBRK。它们共同特征是:已有明确平台、已有 ARR/RPO/收入加速证据、可把 AI 安全功能转化为平台扩张与更高利润率。
B 类:S、OKTA、CHKP、DDOG、NET、MSFT。受益明显,但要么 AI 安全收入未单列,要么估值已部分反映,要么更多体现为平台控制权而非独立披露。
C 类:ESTC、TENB、QLYS。AI 更像防御型能力或中等弹性扩展,短期财务弹性不如 A/B。
D 类:本轮高置信证据不足,未单独量化排序;这一类更多出现在单点 LLM firewall / prompt defense / 独立 AI red-team 初创公司。这不是否认需求,而是强调产品发布不等于收入落地。支持这一判断的是平台大厂持续内置与并购节奏,而非某一家初创公司的负面结论。
E 类:Rapid7,以及更广泛的传统 SOAR、点状日志、点状 CSPM/DLP/邮件安全。其共同问题是:缺乏身份/数据/AI runtime/平台化控制面,容易被 AI 平台整合。
评分模型。
本报告采用如下主观权重:AI 安全收入直接暴露度 25%、平台地位和客户基础 20%、数据与技术壁垒 15%、产品覆盖与整合能力 15%、财务质量和利润率 10%、成长弹性 10%、估值合理性 5%。据此给出的研究优先级如下(满分 100,为研究排序而非投资建议):
| 排名 | 公司 | 总分 | 核心逻辑 |
|---|---|---|---|
| 1 | Palo Alto Networks | 88 | 平台完整度最高,连续并购把身份、Agent、AI Gateway、端点与 SOC 收拢到统一控制面 |
| 2 | CrowdStrike | 86 | AI-native SOC 与多模块 ARR 兑现最强,但估值最贵之一 |
| 3 | Fortinet | 80 | Security Operations 与 SASE 已形成可见 ARR,利润率优秀,估值相对没那么极端 |
| 4 | Zscaler | 79 | Zero Trust 向 AI、数据、资产控制面延伸,收入与递延收入增长仍强 |
| 5 | Rubrik | 76 | AI 时代数据韧性的重要性被低估,ARR 与订阅增长快 |
| 6 | SentinelOne | 73 | 自主化 SOC 与平台升级逻辑清晰,估值相对温和 |
| 7 | Okta | 71 | Agent 身份长期价值高,但短期 AI 安全收入未单列 |
| 8 | Microsoft | 70 | 控制面极强,但 AI 安全是集团级变量,证券弹性不如纯安全股 |
| 9 | Check Point | 69 | 利润率高、估值低,但 AI 叙事强于收入验证 |
| 10 | Datadog | 68 | 数据平台价值高,但安全只是平台的一部分,估值偏高 |
| 11 | Cloudflare | 66 | AI apps/agents/workforce 的位置很好,但“AI安全”更偏战略叙事 |
| 12 | Tenable | 64 | Exposure 管理若延伸到 AI 资产,可能有预期差 |
| 13 | Qualys | 61 | 财务质量高,AI 弹性较弱 |
| 14 | Elastic | 59 | 有数据湖价值,但安全/AI 货币化能见度一般 |
| 15 | Rapid7 | 42 | 被平台整合与预算迁移冲击风险高 |
反向风险评分(“被 AI 安全平台冲击风险”)中,风险最高的样本是:Rapid7 > 传统独立 SOAR/日志工具 > 单点漏洞管理 > 独立 prompt/jailbreak 小工具 > 点状 CSPM/DLP。原因在于这些领域最容易被平台吸收,且最难形成身份+数据+运行时的复合护城河。
重点上市公司深度分析
Palo Alto Networks。 赛道归属是“AI 安全控制面总平台”。它通过 Prisma AIRS、Portkey、Koi、CyberArk/Idira,把 AI runtime、AI gateway、agentic endpoint、identity security 与 Cortex/SecOps 串成一体,这是当前最接近“AI 安全平台”定义的上市公司。财务上,FY25 Q2 Next-Generation Security ARR 达 48 亿美元、同比增 37%,RPO 达 130 亿美元、同比增 21%;FY24 收入 80.3 亿美元,毛利率 74.3%;FY26 Q1 NGS ARR 已到 59 亿美元、RPO 155 亿美元。受益路径非常直接:企业一旦从“用模型”转向“用 Agent 执行动作”,身份、端点、网关、日志、响应必须并置采购,而 PANW 正在把这些采购点做成一个平台包。主要风险不是需求,而是估值已经充分计入平台胜率,以及连续并购后的整合节奏。结论:强受益 / 高确定性 / 估值偏高但平台地位最强。
CrowdStrike。 CrowdStrike 是“用 AI 做安全”里最强的商业化样本之一。FY25 期末 ARR 达 42.4 亿美元、同比增 23%,FY25 收入 39.5 亿美元、同比增 29%,FY25 自由现金流 10.7 亿美元;管理层还披露 Next-Gen SIEM、Cloud Security、Identity Protection 合计期末 ARR 已超过 13 亿美元,gross retention 为 97%,Falcon Flex 在单季带来超过 10 亿美元 deal value。它的 AI 安全受益路径分两段:第一段是 Charlotte AI 和 AI-native SOC 带来的 SOC 预算集中;第二段是 Secure AI、Cloud、Identity、Data 模块把“保护 AI 本身”的预算吸进 Falcon 平台。问题在于估值极高,市场已经把它视为 AI cybersecurity 的核心稀缺资产。结论:强受益 / 高弹性 / 估值高位。
Fortinet。 Fortinet 的市场往往更聚焦网络安全历史定位,但现阶段真正值得重估的是它的“Secure Networking + Security Operations + Unified SASE”三线并进。Q1 2025 收入 15.4 亿美元、同比增 14%,Unified SASE ARR 同比增 25.7%,Security Operations ARR 同比增 30.3%,RPO 64.9 亿美元;同时 FY24 总毛利率达到 80.6%,Q1 2025 非 GAAP operating margin 达 34.2%。Fortinet 的 AI 受益路径不是最性感的 LLM 安全叙事,而是在已有大装机量和 FortiOS 平台下,把 SecOps 与 SASE 变成 AI 驱动的高毛利附加层。这类收入质量往往比独立 AI 安全小工具更好,且利润率更强。结论:强受益 / 高确定性 / 估值相对更可承受。
Zscaler。 Zscaler 的核心不是单一“AI 安全产品”,而是把 Zero Trust Exchange 扩展为 AI 与数据控制面。其官网已经把 AI Security、AI Asset Management、DSPM、Microsoft Copilot Data Protection、Security Operations 放进同一平台目录。财务上,FY24 收入 21.7 亿美元、同比增 34%,gross margin 78%;FY25 Q2 收入 6.48 亿美元、同比增 23%,billings +18%,递延收入 18.8 亿美元、同比增 25%。管理层明确表示,结合 AI 与 Zero Trust 正在为 secure customer use of AI applications 创造新的增长路径。Zscaler 最值得关注的不是“模型层”而是企业 AI 使用面治理——谁能访问哪些 AI app、哪些数据可喂给 Copilot、哪些 AI 资产被发现和管控。结论:强受益 / 平台型赢家 / 估值中高但仍低于最热名字。
Rubrik。 Rubrik 并不总被放进“AI 安全”讨论中心,但它其实是 AI 时代数据安全与 cyber resilience 的重要兑现者。FY25 Q4 Subscription ARR 达 10.93 亿美元、同比增 39%,FY25 总收入 8.87 亿美元、同比增 41%;到 FY26 Q4,总收入已达 3.78 亿美元、同比增 46%。随着企业把更多关键数据喂给 RAG、Copilot 与 Agent,数据恢复、隔离、勒索韧性和数据面治理变得更重要,Rubrik 直接受益于这一趋势。它的优势在于:不是“阻止一切攻击”,而是在 AI 时代把最值钱的数据与恢复链牢牢抓在手里。结论:强受益 / 高弹性 / 仍有被低估的可能。
SentinelOne。 SentinelOne 是值得继续研究的 AI 原生挑战者样本。FY2026 收入突破 10 亿美元、同比增 22%,ARR 达 11.19 亿美元、同比增 22%,$100k+ ARR 客户增至 1667;更重要的是,其 FY2026 non-GAAP operating margin 已转正到 3%,说明“自主化安全平台”不再只是技术叙事,而开始体现经营杠杆。公司明确表示其平台正被 frontier AI model builders 以及半导体、汽车、航空、金融、智能手机等行业的头部客户标准化采用。其机会在于:如果 AI SOC 与 autonomous security 真正成为下一代工作流,SentinelOne 可能是少数能抢走传统 EDR/legacy SOC 预算的 AI 原生平台。风险在于规模和生态仍弱于 CRWD/PANW/MSFT。结论:中高受益 / 高弹性 / 风险高于头部平台。
Okta。 Okta 短期最常被市场低估的点,是 AI Agent 不是“又一个应用”,而是新的身份主体。一旦企业 Agent 需要读知识库、调用 ERP/CRM/Jira/GitHub/浏览器和 SaaS,它就需要身份、认证、权限、session、审计和生命周期治理。Okta FY25 Q4 收入 6.82 亿美元、同比增 13%,RPO 42.15 亿美元、同比增 25%,cRPO 22.48 亿美元、同比增 15%;FY2026 non-GAAP operating income 已达总收入的 26%。当下的问题只是:这些身份安全能力能否被市场明确理解为“AI 安全的必须环节”,以及 Okta 是否会被 Microsoft Entra 与 PANW-Idira 双向挤压。结论:中高受益 / 预期差候选 / 需跟踪 Agent 身份产品节奏。
Check Point。 Check Point 的 AI 叙事并不弱:其 2024 年 20-F 已写入 Infinity AI Copilot、Infinity GenAI Protect、Infinity AI Cloud Protect,并特别提到与 NVIDIA 的 AI 云基础设施安全合作。财务上,公司 FY2024 收入 25.65 亿美元、同比增 6%,operating margin 达 34%;Q1 2025 收入 6.38 亿美元、同比增 7%,Security Subscriptions 收入同比增 10%,RPO 同比增 11%。问题不在产品缺失,而在AI 功能到财务贡献之间仍然缺少单独披露。因此它更像“防御型受益 + 估值偏实”的组合,而不是高弹性纯 AI 安全交易。结论:中等受益 / 财务质量高 / AI 贡献需验证。
Datadog。 Datadog 的重要性在于它正在把 observability、security、AI workload 与 agent operations 放在一张数据平面上。Q1 2026 收入 10.06 亿美元、同比增 32%,约 4550 个 $100k+ ARR 客户;公司在同一批披露里提到 MCP Server、Bits AI Security Agent、GPU Monitoring 等能力。FY2025 收入 34.3 亿美元、同比增 28%,non-GAAP operating margin 为 22%。Datadog 的 AI 安全受益路径更偏平台吸附:不是单独卖“AI 安全”,而是随着 AI 工作负载增长,把运行时、可观测性与安全一体卖给云原生团队。优点是平台自然性强;缺点是投资者很难切出单独 AI 安全收入桶。结论:平台型受益 / 估值较贵 / 安全不是唯一驱动。
Cloudflare。 Cloudflare 已明确把自己的定位写成“连接、保护、构建 apps、agents 与 workforce 的平台”。Q1 2025 收入 4.79 亿美元、同比增 27%,落地公司历史上首个超过 1 亿美元的 Workers 合同,并签下最长年限的 SASE 合同;截至 2024 年底,年化收入超过 10 万美元的客户数为 3497。Cloudflare 的机会在于,它同时站在AI 应用托管、网络分发、安全接入、浏览器和开发平台几个交叉点上;但如果问“AI 安全是否已形成独立财务贡献”,答案仍然偏谨慎。结论:平台型受益 / 叙事强 / AI安全财务验证不足。
Microsoft。 Microsoft 并不是纯安全公司,但在 AI 安全控制面上具有最强的系统性优势之一。2025 年 3 月其公开推出 Security Copilot agents,用于 phishing、data security、identity 等场景;2025 年 5 月又把 agent identities 纳入 Entra 和 Zero Trust 叙事;同时微软披露已经有 23 万+ 组织使用 Copilot Studio 构建 agents 和自动化,其中包括 90% 的 Fortune 500。也就是说,微软控制的不只是“安全市场”,而是Agent 的创建入口、身份入口、办公入口和数据入口。但由于安全收入和 AI 安全收入都很难单独拆分,MSFT 更适合作为“产业链利润池观察对象”,而不是押注 AI 安全弹性的纯证券。结论:平台型赢家 / 直接弹性较弱 / 战略价值极高。
Elastic。 Elastic 的价值在于安全数据湖、搜索与 AI 查询能力,而不是短期 AI 安全收入披露。Q3 FY2026 收入 4.50 亿美元、同比增 18%,显示其作为搜索与数据平台的成长性仍在。若 AI SOC 最终演化为“安全数据湖 + agent 查询 + investigation graph + automation”模式,Elastic 理论上有受益空间;但截至目前,公开资料并未表明其 AI 安全具有接近 PANW/CRWD/ZS 的财务兑现度。结论:间接受益 / 更适合对比研究,不宜拔估值做纯 AI 安全交易。
Tenable。 Tenable 最值得研究的不是老故事“漏洞管理”,而是 exposure management 是否能延展到 AI 资产与 AI attack surface。Q1 2025 收入 2.39 亿美元、同比增 11%,current billings 同比增 9%,non-GAAP operating margin 20%;到 Q1 2026,公司收入 2.62 亿美元、同比增 9.6%,已转为 GAAP operating profit。若市场把 AI-SPM 视为 CNAPP/exposure management 的自然延伸,Tenable 可能出现预期差;若 AI 安全预算主要被平台吞掉,它则更像稳健型传统安全软件。结论:中等受益 / 预期差标的 / 需持续验证产品延伸。
Qualys。 Qualys 的优势是高利润率和稳定现金创造,而不是高强度 AI 安全弹性。Q1 2025 收入 1.599 亿美元、同比增 10%,GAAP gross margin 为 82%,GAAP operating margin 为 32%,Adjusted EBITDA margin 47%。这类财务体质在安全软件中非常优秀,但也说明市场更多把它看作成熟、现金流驱动的平台,而非 AI 安全重新定价对象。结论:防御型受益 / 质量好 / 弹性有限。
Rapid7。 Rapid7 是最典型的“AI 来了以后先要担心整合压力”的样本。FY2025 全年收入 8.60 亿美元、同比仅增 2%,ARR 8.40 亿美元;更关键的是,Q1 2026 收入 2.10 亿美元,同比下滑 0.3%。在 AI SOC、AI SIEM、平台化 XDR 和统一数据湖被快速重写的背景下,传统平台如果既缺数据规模、又缺身份/数据控制面、又缺强平台并购动作,就容易从“平台”退化为“功能层”。结论:可能被冲击 / 风险高于收益逻辑。
CyberArk。 CyberArk 作为独立上市公司已不再适合作为单独二级市场标的看待,原因是 Palo Alto Networks 已完成收购,并把其下一代身份安全平台命名为 Idira。这个事件本身比“买不买 CyberArk”更重要:它说明 AI 时代身份安全的战略位置被显著抬升,且平台巨头愿意用大手笔并购来把 PAM、machine identity、agent identity 纳入主控制面。结论:独立标的不再适用,但身份赛道价值被强化验证。
一级市场、冲击路径与最终判断
一级市场与未上市方向。
在未上市公司中,我更愿意把注意力放在“可能成为并购标的、或能卡住新控制点”的方向,而不是泛泛的“AI 安全创业公司”。目前从公开高置信材料能直接确认的重点方向包括:Anthropic/MCP 生态、OpenAI agent tooling、Portkey(AI gateway,已被 PANW 收购公告覆盖)、Koi(agentic endpoint,已被 PANW 收购)、Lakera AI(已被 Check Point 收购)。这说明价值正在向协议层、运行时入口、端点控制、身份与数据交汇处集中。它也意味着很多一级项目的最优结局不是长期独立上市,而是被大平台吸收。
基于方向而非财务披露,本报告建议继续跟踪的未上市观察名单包括:Prompt Security、Noma Security、Zenity、Astrix Security、Veza、Aembit、Entro Security、Cyera、Normalyze、BigID、Socket、Semgrep、Snyk、Chainguard、Panther、Cribl、Tines、Torq、Island、Cato Networks、Netskope、Abnormal Security、Material Security、Red Canary、Arctic Wolf、Huntress。其中哪些真正能转化成长期大公司,关键不在“是否有 AI 功能”,而在能否占据Agent identity、AI gateway、runtime telemetry、RAG 权限、data security、autonomous SOC中的一个强控制点。对于这批公司,本轮因高置信公开财务披露不足,不做 ARR/估值量化排序。
AI 对传统网络安全的重构。
AI SOC 会显著压缩一线告警分析、事件摘要、简单调查与 playbook 执行的人力需求,但不会消灭高级分析师、威胁猎手、审批与责任归属环节;因此 SOC 人力结构会重构,但人不会消失。CrowdStrike、Microsoft、Fortinet、PANW 的产品路线都证明,未来更像“AI analyst + human approval + 平台化数据湖”的新运营层,而不是传统人海战术。
AI SIEM 不会消灭 SIEM,但会消灭一大批不能承载低成本存储、AI 检索、跨域调查和自动响应的旧式日志工具。真正重构后的市场更像“安全数据湖 + 语义检索 + AI analyst + workflow”,因此 Elastic、Datadog、CrowdStrike、Microsoft、PANW 这类同时拥有数据层与动作层的平台更有优势。
Agentic SOAR 大概率会替代传统 SOAR 剧本工具的“独立品类”形态。过去 SOAR 的价值在于连接器和 playbook;未来价值会转向目标驱动、上下文驱动、带审批的人机协同 agent。这一变化对传统 SOAR/自动化工具并不友好,但对 PANW/CrowdStrike/Microsoft 这类 already-in-the-loop 的平台是增益。
AI-SPM 更大概率成为 CNAPP 的延伸 而不是长期完全独立新平台;Prompt/Jailbreak/LLM firewall 更可能成为 AI 应用安全平台的内置模块。从 PANW、Check Point、Zscaler、Microsoft 的产品路线,以及 PANW 连续并购动作看,长期利润池更像会被大安全平台、云厂商和大型 SaaS 安全平台吸收。
云厂商会压缩独立云安全公司的空间,但不会完全吃掉安全利润池。原因是云厂商擅长把基础可见性与默认防线做进平台,而企业仍会为跨云、跨 SaaS、跨身份域、跨数据域的统一控制面付费。也因此,最危险的不是“安全不需要了”,而是缺少平台壁垒的点工具被原生平台吸收。
最值得继续研究的十家上市公司。 Palo Alto Networks、CrowdStrike、Fortinet、Zscaler、Rubrik、SentinelOne、Okta、Microsoft、Check Point、Datadog。
最值得跟踪的十个未上市/一级方向。 Anthropic/MCP 生态、OpenAI agent tooling、Prompt Security、Noma Security、Zenity、Astrix、Cyera、Veza、Socket、Chainguard。前两者能反映协议和 agent stack 的方向;后八者更适合从“是否占住新控制点”角度继续验证。
最容易被市场误解的五个点。
第一,产品发布不等于收入落地。平台公司几乎都在发 AI 安全产品,但真正披露 ARR/RPO/模块增长的还不多。
第二,AI 安全并不等于 LLM firewall。真正的预算中心更可能在身份、数据、运行时与 SOC。
第三,Agent 安全本质上是身份安全和数据安全的再中心化。
第四,最好的 AI 安全公司未必是最好的股票;CrowdStrike、Palo Alto、Datadog、Cloudflare 这类公司的业务逻辑强,但估值吸引力并不自动成立。
第五,AI SOC 会替代低端安全服务,但也会抬升真正平台型 MDR/MSSP 的利润率;因此服务公司的分化会加大,而不是全体受损。
未来 6–12 个月最该跟踪的指标。
最优先跟踪的是:AI 相关 ARR/模块 ARR 的单独披露、RPO/cRPO 变化、$100k+ 客户数、平台 bundle/Flex 合同、AI 安全功能是否进入付费层、与 Agent/AI 相关的真实大客户案例、以及并购整合后的交叉销售。现阶段,Fortinet 的 Security Operations ARR、PANW 的 NGS ARR、CrowdStrike 的 platform ARR、Okta 的 RPO/cRPO、Rubrik 的 subscription ARR、SentinelOne 的 ARR 与大客户数,是最值得继续盯的量化指标。
最终结论。
AI 网络安全在 AI 产业链中的重要性,已经上升到“决定企业 AI 能否规模化上线”的基础设施级位置。短期看,AI SOC / AI SIEM / XDR / SASE / 身份安全最先兑现;中期看,真正会重估安全行业的,是Agent 身份与权限、AI-SPM、RAG/AI 数据安全、AI runtime/AI gateway、MCP/tool governance。上市公司里,最值得优先展开进一步研究的是 PANW、CRWD、FTNT、ZS、RBRK、S、OKTA、MSFT、CHKP、DDOG;其中前五家更适合从“AI 安全收入弹性与平台地位”看,后五家更适合从“控制面价值与预期差”看。未上市方向里,重点不是押注“谁会做一个独立 LLM 防火墙”,而是押注谁能占住 Agent 连接、身份、数据、运行时和审计的关键路口。
更窄的后续研究方向。 如果只选一个方向继续深挖,我建议优先做 Agent 安全与 Agent 身份安全;如果选两个方向,则加上 RAG/AI 数据安全。原因是这两个方向最可能同时满足“新增预算”“高粘性”“高护城河”“最强平台收敛”和“未来并购热点”五个条件。
开放问题与局限。 本报告已尽量使用截至当前日期的高置信公开资料,但仍有三类事项需要继续验证:其一,很多公司发布了 AI 安全产品,却尚未单独披露 AI 安全收入/ARR;其二,部分中国、欧洲、以色列与一级市场公司公开财务口径不足,因此未纳入量化评分;其三,Agent/MCP 标准与企业采购口径还在快速演进,未来 2–4 个季度的产品定价与合同结构,可能显著改变本报告对单点工具与平台赢家的判断。