AI 数据安全、DSPM、RAG 权限治理与企业知识库安全
AI 数据安全本质是从合规配角变成 AI 主控制面:Copilot、Unity Catalog、Horizon 把权限与检索授权前置到调用链。评级跟踪。
矛盾在叙事强、收入证据少。一边驱动在发生:Copilot 只返回用户有权限看的内容,RAG 与 Agent 不重建权限,只放大 SharePoint、邮件、CRM 的过度共享;机器身份对人类已到 82:1,CrowdStrike 7.4 亿收 SGNL 把 AI 身份纳入连续控制。另一边多数公司没单列 AI 数据安全收入,只能从发布侧推,易把"发布"误当"收入"。
风险有三:平台原生功能下沉吃掉单点工具、AI 项目投产推迟、分类精度不够误阻断。真正利润池留在控制平面——权限图谱、策略引擎、AI Gateway;纯度最高的公开标的是 Varonis 与 Elastic。
核心结论
数据安全正在从“合规配角”变成企业 AI 落地的主控制面。 Microsoft 365 Copilot、Copilot connectors、Azure AI Search、Databricks Unity Catalog、Snowflake Horizon、AWS Bedrock Guardrails、Google Cloud DSPM 都在把“数据权限、标签、分类、审计、过滤”前置到 AI 调用链,而不是把安全留到模型之后再补。微软明确写到 Copilot 只会返回用户“至少有查看权限”的组织数据;连接器与 Azure AI Search 也都把 ACL、权限过滤、token-based authorization 放到检索阶段。
企业 AI、RAG、Agent 普及后,最先暴露的不是“模型能力”瓶颈,而是“过度共享的数据面”和“失控的权限面”。 Copilot、RAG 和 Agent 并不会重新定义一套企业权限体系,而是放大原有 SharePoint、OneDrive、邮件、工单、CRM、数据库、数据湖、知识库里的错误共享与过宽授权;微软、Azure AI Search、Elastic、Databricks、Snowflake 都在官方文档里把 document-level security、row filters、column masks、ACL/DLS、ABAC、sensitivity labels 作为前提能力强调出来。
DSPM、DLP、DDR、数据访问治理、RAG 权限治理不是平行赛道,而是在 AI 时代串成一条链。 DSPM负责发现“哪里有敏感数据、谁能访问、是否暴露”;DLP负责拦截“流出”;DDR负责发现“异常访问/异常移动”;访问治理和 RAG 权限控制负责“只让该看的人和代理看到该看的内容”。Google Cloud DSPM、IBM Guardium、Rubrik DSPM、OpenText、Thales、Broadcom、Cloudflare、Microsoft Purview 都在向这条链条靠拢。
AI Agent 安全本质上是“身份安全 + 数据权限 + 工具调用治理”的交叉问题。 AI agent 会新增大量 machine / non-human identities;CyberArk 报告称机器身份已达 82:1,且其 2025 身份安全报告称 AI 将成为新增高权限身份的头号来源;CrowdStrike 以 7.4 亿美元收购 SGNL,直接把 human、NHI、AI identities 放进连续身份控制框架;Microsoft、Databricks、Cloudflare、Anthropic 也都把 agent、MCP 或 connector 的权限与审计视为核心要素。
最先落地的预算,不是“纯 AI 安全故事”,而是与现有数据面强绑定的四类预算: Microsoft 365 / SharePoint / OneDrive 权限清理与分类;多云/SaaS DSPM;GenAI DLP / prompt DLP;高价值 RAG / enterprise search 的 document-level security。因为这些预算可以直接对接已上线的 Copilot、知识库助手、客服助手、开发助手、内部搜索与合规审计。
平台型赢家与 AI 原生挑战者将同时存在。 平台型赢家主要是 Microsoft、Google/Wiz、AWS、Snowflake、Databricks、Oracle、IBM、Palo Alto、CrowdStrike、Cloudflare;AI 原生挑战者主要是 Cyera、BigID、Sentra、Concentric AI、Securiti、Privacera、Veza、Noma Security、Lasso Security 等。前者依靠分发、身份、云、数据平台与现有客户基础;后者依靠更强的数据发现、数据图谱、跨云跨 SaaS 覆盖、AI 原生治理和更快迭代。
直接受益且已有财务验证的上市公司并不多。 Varonis、CyberArk(已被 Palo Alto 收购完成)、Snowflake、MongoDB、Elastic、Trend Micro、Cloudflare、CrowdStrike、Palo Alto、Microsoft、Google Cloud 都有更明确的产品—客户—平台链路;但其中不少公司并未单列“AI 数据安全收入”,更多体现为平台扩张、RPO/cRPO、客户大单和产品附加率提升。
“AI 数据安全叙事强、但收入证据不足”的公司数量明显多于真正可量化受益者。 Cloudflare 的 AI-SPM / prompt protection、Palo Alto 的 Prisma AIRS、CrowdStrike 的 Falcon Data Security、BigID 的 AI governance、Noma/Lasso/Prompt Security 一类公司,产品节奏很快,但多数并未公开单列 ARR / revenue contribution;投资上更应看“是否嵌入现有大平台的强分发链路”,而不是只看发布数量。
收入弹性最大的赛道是:多云 DSPM、企业知识库权限治理、Agent 数据访问控制、GenAI DLP、数据访问治理。 这些赛道与存量预算距离最近,且与 Copilot、内部搜索、数据湖仓、SaaS 外接系统的真实落地绑定最紧。相比之下,向量数据库安全、AI memory 安全、隐私计算、confidential computing 在很多企业仍偏概念验证或专项采购。
利润率最好的长期环节,不是扫描本身,而是“控制平面”。 具体包括:权限图谱、标签/分类引擎、策略引擎、检索授权、访问审计、密钥与加密编排、统一 AI Gateway/Policy plane。这些层天然更软件化、更平台化,也更容易复用到多个 use case。Databricks Unity Catalog、Snowflake Horizon、Microsoft Purview、Oracle Deep Data Security、Thales CipherTrust 都体现了这一点。
估值最容易泡沫化的是: 只讲“AI security”但没有清晰收入归因的高增长安全平台;以及未上市 AI 原生安全公司里“高融资 + 低透明度”的标的。Cyera 已在 2026 年初升至 90 亿美元估值,Databricks 在 2025 年 Series K 的估值已超过 1000 亿美元;这类标的的基本面可能优秀,但市场已经提前支付了大量预期。
平台挤压会非常明显。 Google Cloud 已把 DSPM 内置到 Security Command Center;Microsoft 把 Purview、Copilot、Graph connectors、Azure AI Search 绑成一体;Snowflake、Databricks、Oracle 也在把向量检索、目录、标签、权限、审计、AI Gateway 统一到数据平台内。独立工具若不能跨云、跨 SaaS、跨数据面提供更好的图谱、精度和 remediation,就会被平台吸收。
被冲击风险最高的是传统单点 DLP、静态数据治理和弱图谱型合规工具。 Broadcom Symantec DLP、传统邮件/终端 DLP、只做 catalog 而不做运行时访问控制的工具、只做被动合规报表的工具,都会被平台型“分类+权限+检索+日志+策略”统一控制面压缩。
未来 12–24 个月最大催化剂是:企业内 Copilot / Agent 的生产化部署、Wiz 被 Google Cloud 并表后的产品整合、Palo Alto / CrowdStrike / Cloudflare 的 AI data protection 组件交叉销售、Snowflake Horizon 与 Databricks Unity Catalog 在 agent/RAG 上的权限原生化、以及大型数据安全并购延续。
未来 12–24 个月最大风险是:企业 AI 项目投产不及预期;客户优先买模型与算力而非治理;平台原生功能免费/低价下沉;数据分类精度不够导致误阻断;以及跨境数据与 AI 监管同步加严。EU AI Act 将于 2026 年 8 月 2 日全面适用(部分条款例外),美国 DOJ 的 bulk sensitive data rule 已生效,中国跨境数据规则也继续收紧。
产业链全景与需求重估
企业 AI、RAG 与 Agent 落地后,数据安全之所以成为核心瓶颈,不是因为企业突然“更重视安全”,而是因为 AI 把原本分散、静态、少量调用的数据访问,变成了高频、跨系统、带推理放大的访问链。微软明确说明 Copilot 通过 Microsoft Graph 使用用户文件、邮件、聊天、会议等上下文;只要用户有权限,Copilot 就会把这些内容作为 grounding 数据。对企业来说,这意味着历史上“共享给太多人但没人会主动去找”的文件,会变成“一句自然语言问题就能被找出和总结”的高可达数据。
RAG 把这一问题进一步放大。Microsoft 365 Copilot connectors 与 Azure AI Search 都把“文档级权限”写成核心机制;Databricks Unity Catalog 推荐用 ABAC 做集中化的 row/column 过滤;Snowflake 用 row access policy、dynamic masking、tag-based masking;Elastic 提供 document-level / field-level security;Oracle 在 26ai 新推出 Deep Data Security,直接把 row/column/cell 级访问控制与 agentic AI 绑定。这本身就是一个产业信号:如果权限继承不是难点,平台不会密集推出这些控制。 这里的难点在于,embedding、index、retrieval、rerank、tool use 往往发生在原始数据之外,必须显式同步 ACL、标签、身份、组信息与敏感度元数据,否则向量索引会变成脱离源系统授权的“第二数据面”。这一判断是基于各平台的产品设计作出的产业推断。
AI Agent 带来的风险比 RAG 更复杂。RAG 主要是“读”;Agent 则可能“读 + 写 + 调工具 + 调 API + 持久记忆 + 自动化执行”。Anthropic 把 MCP 定义为 AI 工具与数据源之间的开放连接标准;Databricks 把 Unity AI Gateway 定位为跨 LLM 与 MCP 的统一治理层;Cloudflare 直接发布 Mesh 来保护 AI agent lifecycle;Palo Alto 把 Portkey 并入 Prisma AIRS;CrowdStrike 则通过 SGNL 把持续身份控制扩展到 AI identities。行业的产品路线已经说明:Agent 安全不是传统提示词防护的延长线,而是运行时数据访问治理。
下表给出投资视角下的 AI 数据安全产业链全景,重点不是“谁能讲故事”,而是谁处在控制平面、谁能计费、谁能形成平台壁垒。
| 产业链位置 | 细分环节 | 核心产品 | AI 数据安全驱动 | 收入模式 | 竞争壁垒 | 利润率特征 | 代表公司 | 上市状态 | 受益强度 | 投资弹性 |
|---|---|---|---|---|---|---|---|---|---|---|
| 数据源 | 文档/邮件/聊天/工单 | SharePoint、OneDrive、Teams、邮件、Confluence、Jira 等 | 过度共享被 Copilot/RAG 放大 | 存量 SaaS 附加安全订阅 | 客户数据沉淀 + 原生权限模型 | 平台高毛利 | Microsoft、Atlassian、ServiceNow、Salesforce、Box | 上市 | 高 | 中 |
| SaaS 数据 | SaaS 访问治理 | SaaS DSPM、SaaS DLP、SaaS posture | Shadow AI、第三方 app、外链分享 | seat/tenant/usage | API 覆盖 + 行为数据 | 中高 | Microsoft Purview、Cloudflare、Reco、Grip、DoControl | 混合 | 高 | 高 |
| 云存储 | 对象存储敏感数据发现 | Macie、Google DSPM、Alibaba DSC | S3/GCS/OSS 中的 PII/PHI/PCI | usage + 扫描量 | 云原生 telemetry | 中 | AWS、Google Cloud、阿里云 | 混合 | 高 | 中 |
| 数据湖仓 | 目录/标签/权限 | Unity Catalog、Horizon | RAG/AI app 直接连湖仓 | 平台捆绑 + higher tier | 数据面原生控制 | 高 | Databricks、Snowflake | 混合 | 很高 | 很高 |
| 数据库 | 行列级安全/加密 | row policy、masking、queryable encryption | Agent 访问交易库、客户库 | edition/consumption | 内核集成 | 高 | Oracle、Snowflake、MongoDB、IBM | 上市 | 高 | 中高 |
| 向量数据库 | 检索过滤/endpoint ACL | vector ACL、metadata filter | embedding 二次暴露 | seat/usage | 与源权限同步难度 | 中 | Databricks、MongoDB、Elastic、Oracle | 上市/未上市 | 中高 | 高 |
| 企业知识库 | 文档级权限治理 | DLS/ACL sync/semantic security trimming | 企业搜索与 RAG 刚需 | 搜索/安全增购 | ACL 继承 + 索引质量 | 高 | Azure AI Search、Elastic、Box | 上市 | 很高 | 高 |
| 数据目录 | catalog / metadata / glossary | Horizon、Collibra、Alation、Atlan | AI 需要知道“什么数据可用” | platform subscription | 元数据网络效应 | 高 | Snowflake、Collibra、Alation、Atlan | 混合 | 中高 | 中 |
| 数据血缘 | lineage | Unity Catalog lineage、Snowflake external lineage | AI 审计、训练/推理可追溯 | 平台捆绑 | 元数据深度 | 高 | Databricks、Snowflake、BigID | 混合 | 中高 | 中 |
| 数据分类 | 敏感数据识别与标签 | Purview、Google SDP、IBM Guardium Discovery | PII/PHI/PCI/源码/合同识别 | tiered / usage | classifier 精度与覆盖 | 高 | Microsoft、Google、IBM、BigID | 混合 | 很高 | 高 |
| DSPM | 数据发现、暴露面、风险评分 | Google DSPM、Cyera、BigID、Sentra、Concentric、Rubrik DSPM | “先发现、再治理”是 AI 项目上线前置条件 | data source / TB / account | 跨云跨 SaaS 图谱 | 高 | Google/Wiz、Cyera、BigID、Sentra、Concentric AI、Rubrik | 混合 | 很高 | 很高 |
| DLP | 邮件/端点/网络/浏览器/GenAI DLP | Purview DLP、Symantec DLP、Cloudflare DLP | Prompt、复制、上传、外发 | seat / endpoint / traffic | 渠道与 inline 部署 | 中高 | Microsoft、Broadcom、Cloudflare、Zscaler | 上市 | 高 | 中高 |
| DDR | 数据检测与响应 | Guardium DDR、Varonis / data activity analytics | 异常访问与外泄检测 | platform + module | 访问日志与行为模型 | 高 | IBM、Varonis | 上市 | 高 | 高 |
| 数据访问治理 | entitlement graph / policy | Privacera、Immuta、Veza、Wiz CIEM+DAG | Agent 最小权限、跨系统授权 | platform subscription | 身份-数据关系图谱 | 高 | Privacera、Immuta、Veza、Wiz | 混合 | 很高 | 高 |
| RAG 权限治理 | permission-aware retrieval | Azure AI Search DLS、Elastic DLS、Privacera PAIG | 企业 RAG 刚需 | 搜索/平台附加 | 检索授权 + citation + 审计 | 高 | Microsoft、Elastic、Privacera | 混合 | 很高 | 很高 |
| Agent 数据访问控制 | runtime policy / approval / logs | Prisma AIRS、Unity AI Gateway、CyberArk Secure AI Agents、Cloudflare Mesh | Agent 自主执行前的闸门 | 平台附加 + premium | policy plane + identity + logs | 高 | Palo Alto、Databricks、CyberArk、Cloudflare | 上市/被收购 | 很高 | 很高 |
| AI 数据治理 | prompt/output/data lineage/usage policy | BigID、Securiti、Databricks、Snowflake | EU AI Act、审计与模型责任 | platform + governance module | 法规映射 + policy engine | 高 | BigID、Securiti、Databricks、Snowflake | 混合 | 高 | 高 |
| 隐私与合规 | DSAR、consent、cross-border | OneTrust、Securiti、TrustArc、Transcend | AI 数据可用性受监管约束 | subscription | 法规知识库 + workflow | 中高 | Securiti、OneTrust、TrustArc | 未上市 | 中高 | 中 |
| 加密与密钥管理 | KMS、tokenization、BYOK/HYOK | Thales CipherTrust、AWS KMS、MongoDB QE | “用中数据保护”与密钥外控 | license + usage | 密钥根信任 | 高 | Thales、AWS、MongoDB | 混合 | 中高 | 中 |
| 云厂商数据安全 | 原生 DSPM / DLP / guardrails | Google SCC DSPM、Macie、Purview | 原生分发最强 | bundle / consumption | 分发与原生遥测 | 很高 | Microsoft、Google、AWS | 上市 | 很高 | 中高 |
| AI 应用与 Agent 平台 | AI gateway / observability / guardrails | Unity AI Gateway、Bedrock Guardrails、Portkey | 模型调用治理 | usage / request volume | 接入面广度 | 中高 | Databricks、AWS、Palo Alto、Cloudflare | 混合 | 高 | 高 |
| 企业客户侧服务 | MSSP / 咨询 / 托管 | 托管数据安全、AI 治理咨询 | 落地复杂度高 | 服务费 + 托管 | 行业 know-how | 中 | NTT Data、Infosys、TCS、Wipro、HCLTech | 上市 | 中 | 中 |
上述链条也解释了 预算边界如何变化:原来属于 IAM、DLP、SaaS 安全、云安全、数据治理、GRC 的预算,正在被“AI 数据安全”重新打包。最直接的变化是,客户不再只问“有没有 DLP”,而是问“Copilot 会不会看到不该看的内容”“Agent 能不能只读不能写”“RAG 是否权限感知”“prompt 与 output 有没有审计”“向量索引是否继承源权限”。
三种情景下,预算路径大致如下:
| 维度 | 保守 | 基准 | 激进 |
|---|---|---|---|
| 假设 | 企业先买模型和 Copilot,治理后补 | Copilot / 企业搜索 / 轻 Agent 逐步生产化 | Agent 进入客服、研发、IT 运维、BI/Finance 流程 |
| 企业 AI 采用 | 高 | 高 | 很高 |
| RAG 采用 | 中 | 高 | 很高 |
| Agent 采用 | 低 | 中 | 高 |
| 数据安全预算变化 | 总体安全预算内重分配,新增不多 | 出现专门 AI data security budget,但仍与云/身份/数据平台共管 | 明显新增治理与审计预算,AI 项目必须配套 |
| 最受益环节 | M365 权限治理、基础 DLP、S3/GCS/SaaS DSPM | DSPM、RAG 权限治理、Agent 访问控制、GenAI DLP | 数据访问治理、身份/NHI、DDR、AI gateway、知识库安全 |
| 受益公司 | Microsoft、Google Cloud、AWS、Varonis | Microsoft、Google/Wiz、Palo Alto、CrowdStrike、Databricks、Snowflake、Cyera、BigID、Privacera | Palo Alto、CrowdStrike、CyberArk 路线、Databricks、Snowflake、Cyera、Veza、Noma |
| 被冲击公司 | 纯新概念 AI 安全创业公司 | 传统单点 DLP、catalog-only 工具 | 只做“提示词防火墙”的单点工具 |
| 主要风险 | AI 项目推迟上线,预算先给基础设施 | 平台功能下沉太快 | 误阻断、权限错配、客户不愿增加复杂度 |
基准情景是当前最可信的投资假设:AI 数据安全会成为独立预算池,但 不会完全独立成一个孤岛市场,而是会与身份、云、安全平台、数据平台共同争夺控制面。
技术架构与赛道拆解
把企业级 AI 数据安全系统拆开看,最有价值的不是“单个检测点”,而是从发现、分类、权限继承到审计与响应的连续控制链。下面这张表把用户要求的 17 层架构合并进一个投资框架。
| 架构层 | 解决的问题 | 代表能力 | 长期护城河 | 被平台内置替代风险 | 付费意愿 | 备注 |
|---|---|---|---|---|---|---|
| 数据发现层 | 找到影子数据、孤儿数据、ROT 数据 | 扫描对象存储、SaaS、湖仓、数据库 | 中高:连接器覆盖、效率、低侵入 | 中 | 高 | DSPM 基础层;Google DSPM、IBM、Cyera、BigID、Sentra 都围绕它展开。 |
| 数据分类层 | 识别 PII/PHI/PCI/代码/合同等 | classifier、规则、LLM + context | 高:精度、低误报、行业模板 | 中 | 很高 | Google Sensitive Data Protection、Snowflake classification、Purview、OpenText 均强调敏感分类。 |
| 敏感数据识别层 | 判断数据价值和风险等级 | 标签、risk scoring、sensitivity label | 高 | 中 | 很高 | 标签越能复用到 DLP、RAG、审计,价值越高。 |
| 数据目录与血缘层 | 审计“数据来自哪里、流向哪里” | catalog、lineage、external lineage | 高:元数据网络效应 | 中 | 中高 | Snowflake Horizon/External lineage、Databricks 元数据层。 |
| 数据权限图谱层 | 知道“谁能访问什么” | ACL graph、entitlement map、DAG | 很高 | 低中 | 很高 | 这是最容易形成长期壁垒的层;Veza、Wiz、Privacera、Immuta 更接近这里。 |
| 身份与 NHI 映射层 | 把用户、服务账户、agent 对到资源 | PAM、machine identity、continuous identity | 很高 | 低 | 很高 | AI agent 增加 NHI 数量,身份层重要性显著上升。 |
| RAG 权限继承层 | 检索时沿用源权限 | ACL sync、query token、security trimming | 很高 | 中 | 很高 | Azure AI Search、Microsoft connectors、Elastic DLS 是最直接案例。 |
| 向量数据库权限过滤层 | embedding/检索不越权 | endpoint ACL、metadata filter、DLS | 中高 | 中高 | 中高 | Databricks 已有 vector endpoint ACL/filters;很多纯向量库仍弱。 |
| Prompt / 输入 DLP 层 | 防敏感数据进入模型、阻 prompt injection | PII filter、prompt protection | 中 | 高 | 中高 | AWS Bedrock、Cloudflare、Purview 都在做,但更容易被平台吸收。 |
| 输出 DLP 层 | 防模型结果泄露 | output filter、citation、redaction | 中 | 高 | 中高 | 与输入 DLP 一样重要,但独立收费能力较弱。 |
| Agent 数据访问审计层 | 还原 agent 做了什么 | payload logs、tool logs、approval logs | 很高 | 中 | 高 | Databricks、Anthropic、OpenAI 都提供日志与监控。 |
| 数据异常行为检测层 | 发现异常访问、横向移动、敏感数据移动 | DDR、UEBA、activity analytics | 高 | 低中 | 高 | IBM Guardium DDR、Varonis 路径最典型。 |
| 数据泄露响应层 | 看见风险后能自动处置 | quarantine、block、revoke、ticket | 中高 | 中 | 高 | 如果只发现不处置,价值会折价。 |
| 加密与密钥管理层 | 保护静态/传输/部分使用中数据 | KMS、BYOK、queryable encryption | 很高 | 低 | 中高 | 但偏基础设施,增量弹性不如权限治理。 |
| 合规与审计报告层 | 满足 GDPR/HIPAA/PCI/FINRA/EU AI Act | audit trail、retention、policy evidence | 中 | 中 | 中高 | 容易商品化,但仍是成交必选项。 |
| AI 治理策略层 | 把数据、模型、代理、政策连起来 | AI use policy、risk register、AI governance | 很高 | 中 | 中高 | BigID、Securiti、Databricks、Snowflake 正在争夺该层。 |
| 安全运营集成层 | 接 SOC / SIEM / tickets / SOAR | APIs、logs、playbooks | 中高 | 中 | 中 | 更偏平台扩张,而非独立利润池。 |
基于这条架构链,可把用户提出的 30 个细分赛道压缩为 五个最值得跟踪的投资簇:
| 投资簇 | 纳入的细分赛道 | 商业化阶段 | 收入弹性 | 毛利率前景 | 竞争格局 | 投资吸引力 |
|---|---|---|---|---|---|---|
| 多云 DSPM 与数据分类 | DSPM、敏感数据发现、SaaS 数据安全、云数据安全、非结构化数据风险 | 已进入平台化 | 很高 | 高 | 大平台 + AI 原生创业公司 | 最高 |
| 数据访问治理与权限图谱 | 数据访问治理、权限图谱、NHI/identity 联动 | 快速升温 | 很高 | 很高 | 身份安全公司 + 数据治理公司 + 初创 | 最高 |
| RAG / Enterprise Search 权限治理 | permission-aware RAG、知识库安全、向量数据库过滤、document-level security | 从 PoC 走向刚需 | 很高 | 高 | Microsoft / Elastic / Privacera / 平台内置 | 很高 |
| GenAI DLP 与 Agent 运行时控制 | Prompt DLP、输出防护、Agent 数据访问、memory 安全、action approval | 早中期 | 高 | 中高 | PANW / Cloudflare / Databricks / 初创 | 高 |
| AI 数据治理与合规 | 训练/推理数据治理、AI 审计、数据主权、隐私合规 | 中期 | 中高 | 高 | BigID / Securiti / OneTrust / 平台型公司 | 高 |
其中,最容易形成长期护城河的层是“数据权限图谱 + 分类标签 + 检索授权 + 日志审计”一体化控制面;最容易被云厂商内置替代的层是基础扫描、基线检查、单点 prompt DLP;最容易出现‘好产品但难赚钱’的层是纯检测而不闭环处置的 AI security point products。这个判断,与 Google、Microsoft、Databricks、Snowflake、Oracle 等平台持续把治理能力内置进数据平面和 AI 平面的趋势一致。
公司分层与投资清单
先给出高密度的投资清单。这里我按“直接受益 / 间接受益 / 平台型受益 / AI 原生挑战者 / 被平台挤压风险”来分层,并尽量区分“产品发布”和“收入落地”。
上市公司优先研究矩阵
| 公司 | 地区/代码 | 细分 | 核心产品 | AI/RAG/Agent 数据安全受益路径 | 财务/商业化证据 | 分类 | 估值观察 |
|---|---|---|---|---|---|---|---|
| Microsoft | 美国/MSFT | 平台型受益 | Purview、Copilot、Graph connectors、Azure AI Search | 直接站在企业知识库、权限模型、合规与检索授权中心;Copilot 本身推动 Purview/权限治理需求 | FY25 商业 RPO 3680 亿美元;FY26 Q2 commercial RPO 6250 亿美元;Copilot/Graph/Purview 强绑定。 | A 类 | 体量大、确定性高、弹性中等,估值不便宜但不靠单一叙事 |
| Alphabet / Google Cloud / Wiz | 美国/GOOGL | 平台型受益 | Google Cloud DSPM、Sensitive Data Protection、Wiz | Google 已把云与 AI 安全平台化;Wiz 提供多云数据图谱与 DSPM | 2026 年 3 月完成对 Wiz 收购;Google Cloud 官方已把 DSPM 集成到 SCC。 | A 类 | 平台整合弹性强,但安全收入仍难单拆 |
| Palo Alto Networks | 美国/PANW | 平台型受益 | Prisma AIRS、Protect AI、Portkey、身份平台 | 从 AI 模型安全扩到 agent lifecycle、LLM gateway、runtime security | Q2 FY26 收入 25.94 亿美元、RPO 160 亿美元;2025 完成 Protect AI,2026 拟收购 Portkey,AIRS 3.0 面向 agentic AI。 | A/B 类 | 逻辑强、并购快,市场预期已较高 |
| CrowdStrike | 美国/CRWD | 平台型受益 | Falcon Data Security、Charlotte AI、SGNL | 通过 endpoint+identity+data protection 切入 AI 数据面 | FY25 收入 39.5 亿美元,同比增长 29%;身份安全 ARR 超 4.35 亿美元;2026 拟收购 SGNL。 | A/B 类 | 平台化强,但估值已显著提前反映 |
| Zscaler | 美国/ZS | DLP / 零信任 | Inline DLP、SSE、GenAI 控制 | 适合浏览器、SaaS、上传/外发、Shadow AI 场景 | 产品路径清晰,但本轮检索未见 AI 数据安全收入单列披露;整体更多是平台增强。 | B 类 | 题材正确,需等更清晰收入归因 |
| Varonis | 美国/VRNS | DDR / 数据权限治理 | Data security platform、Copilot 风险治理、MDDR | 最直接受益于 SharePoint/OneDrive/邮件过度共享治理 | 2025 年 ARR 7.454 亿美元、SaaS ARR 6.385 亿美元;Q1 2026 收入与 SaaS ARR 指引继续增长。 | A 类 | 纯度高、弹性大;估值不低但仍有基本面支撑 |
| Rubrik | 美国/RBRK | DSPM + 数据恢复 | Rubrik DSPM、数据恢复、Annapurna 路线 | 如果 AI 数据安全强调“发现 + 恢复 + 韧性”,Rubrik 受益清晰 | 已官方推出 DSPM,但 AI 相关收入未单独披露;仍需持续验证销售 mix。 | B 类 | 逻辑好,但更多是“平台扩展”而非已验证独立收入 |
| Snowflake | 美国/SNOW | 数据平台安全 | Horizon Catalog、row policy、masking、lineage | 站在企业数据湖仓与 AI data cloud 核心位 | FY26 Q4 product revenue 12.3 亿美元,同比增长 30%;NRR 125%;733 个 100 万美元以上客户;RPO 97.7 亿美元。 | A 类 | 长期壁垒强,但市场已部分定价“AI 数据云”路线 |
| MongoDB | 美国/MDB | 数据库/向量/加密 | Atlas、Vector Search、Queryable Encryption | AI app 常把 operational DB + vector search 放一起,安全能力可直接跟随使用量增长 | FY26 收入 24.6 亿美元,同比增长 23%;Atlas 同比增长 29%,客户超 6.52 万。 | A/B 类 | 不是纯安全标的,但 AI 数据面直接暴露度高 |
| Elastic | 美国/ESTC | 企业搜索/RAG/安全 | Elasticsearch、DLS/FLS、AI Assistant | 企业搜索、SOC AI 助手、向量检索都需要 DLS/FLS | FY26 Q3 收入 4.50 亿美元,同比增长 18%;sales-led subscription 3.76 亿美元,同比增长 21%;1660+ 个 10 万美元 ACV 客户。 | A/B 类 | RAG 权限治理纯度较高,市场关注度仍低于大平台 |
| Cloudflare | 美国/NET | GenAI DLP / AI-SPM / Agent 网络安全 | AI Gateway、AI prompt protection、AI-SPM、Mesh | 通过网络入口、浏览器、SASE、agent network 切入 | Q1 2026 收入 6.398 亿美元,同比增长 34%;current RPO 同比增长 34%;已发布 AI prompt protection、AI-SPM 与 Mesh,但未单列收入。 | B 类 | 产品节奏优秀,但估值对 AI 预期较敏感 |
| Oracle | 美国/ORCL | 数据库 / agent-native 数据安全 | Oracle AI Database、AI Vector Search、Deep Data Security | 不复制数据到外部向量库的叙事非常契合企业安全诉求 | Oracle 26ai 推出 Deep Data Security、内置向量搜索;路线对金融/政企较强。 | A/B 类 | 安全收益潜在低估,但需看客户 adoption |
| IBM | 美国/IBM | DDR / 发现分类 / 密钥治理 | Guardium、Guardium DDR、Key Lifecycle Manager | 直接覆盖 Discover / Classify / DDR / key mgmt 全链条 | IBM 明确以 Guardium 做数据发现、分类、DDR、密钥生命周期管理,但 AI 数据安全收入未单拆。 | B/C 类 | 防御性强,弹性不如 SaaS 纯安全平台 |
| Okta | 美国/OKTA | 身份 / 访问 | Workforce Identity、治理 | AI agent / app / connector 的身份治理需要强身份底座 | 与 AI 数据安全高度相关,但本轮检索未见其数据安全直接收入验证。 | C 类 | 更像“必要底座”,不是数据安全收入最直观受益者 |
| Trend Micro | 日本/4704 | 云安全 + AI 安全平台 | Trend Vision One、AI security platform | 可承接 AI 风险检测、云与数据风险联动 | 2025 年 enterprise ARR 超 13 亿美元,大企业平台 ARR 4.67 亿美元,Q4 enterprise net sales 同比增长 8%。 | B 类 | 亚太区域代表,平台化路径清晰 |
重要未上市公司观察矩阵
| 公司 | 国家/地区 | 细分 | 核心产品 | 融资/估值 | 已知商业化信号 | 竞争关系 | 判断 |
|---|---|---|---|---|---|---|---|
| Cyera | 以色列/美国 | DSPM | 多云数据发现、分类、访问分析、AI data security | 2026 年 1 月再融 4 亿美元,估值 90 亿美元。 | 客户扩张快,但未公开 ARR | 对 BigID、Sentra、Google/Wiz、Rubrik 构成压力 | 最值得跟踪的 AI 原生 DSPM 标的之一 |
| BigID | 美国 | DSPM + AI governance | 数据发现、分类、AI governance、vector DB / agent governance | 公司称 2024 年收入突破 1 亿美元。 | 具备收入与平台化基础 | 与 Microsoft/Purview、Cyera、Securiti 交叉竞争 | 最接近“平台型 AI 数据安全创业公司” |
| Sentra | 以色列/美国 | DSPM | Cloud-native DSPM、archive scanning、data attack surface | 2025 年 Series B 5000 万美元。 | 强调 AI-ready data protection,ARR 未披露 | 对 Cyera、BigID、Concentric 竞争 | 值得跟踪,透明度仍不足 |
| Concentric AI | 美国 | DSPM / 非结构化数据风险 | Semantic intelligence、DSPM、DLP | 2024 年 Series B 4500 万美元。 | 强于非结构化与权限语义 | 对 Varonis、BigID、Sentra 构成挑战 | AI 知识库安全方向值得跟踪 |
| Securiti | 美国 | AI 数据治理 / privacy | Data+AI security、privacy ops、agent governance | 已被 Veeam 收购;官网继续推进 Agent Commander。 | 强监管/隐私语义 | 与 OneTrust、BigID、Privacera 竞争 | 监管驱动强,但需看并购后节奏 |
| Privacera | 美国 | 数据访问治理 / RAG | PAIG、vector DB/RAG access control | 公开新闻显示 2026 年品牌升级为 Trust3 AI。 | 2024 就推出 vector DB / RAG access control | 对 Databricks/Snowflake/Immuta 竞争 | RAG 权限治理的高相关标的 |
| Immuta | 美国 | 数据访问治理 | 动态访问控制、云数据访问治理 | 2022 年融资 1 亿美元,总融资 2.67 亿美元。 | 商业化成熟,但近年融资更新较少 | 与 Privacera、Veza、平台自带治理竞争 | 需要验证增长再加速是否回归 |
| Veza | 美国 | 权限图谱 / identity-data governance | Access graph、entitlement intelligence | 2025 年 Series D 1.08 亿美元,估值 8.08 亿美元。 | 获 Snowflake/Atlassian/Workday Ventures 投资 | 横跨身份与数据治理 | 很值得跟踪,可能成为并购目标 |
| Noma Security | 以色列 | AI/Agent 安全 | AI app、RAG、agent runtime security | 2025 年 Series B 1 亿美元,总融资 1.32 亿美元。 | 增长极快但收入未披露 | 对 PANW/Cloudflare/Protect AI 路线竞争 | 典型 AI 原生挑战者 |
| Lasso Security | 以色列 | GenAI / LLM 安全 | Prompt / LLM cybersecurity | 2023 年种子轮 600 万美元,后续资料显示累计融资提升。 | 方向明确,透明度不足 | 对 Cloudflare/PANW/初创同类竞争 | 更像技术赌注 |
| Protect AI | 美国 | AI security platform | 模型到运行时 AI security | 2025 年被 Palo Alto 收购。 | 被收购验证赛道价值 | 已并入 PANW | 已是并购定价锚 |
| OneTrust / TrustArc / Transcend | 美国 | 隐私与合规 | DSAR、consent、policy | 融资与估值多未更新或需另查 | AI 数据使用合规相关,但与 runtime data security 不完全重叠 | 与 Securiti / BigID 部分重叠 | 更偏合规受益,不是最强 AI 安全弹性 |
| Collibra / Alation / Atlan | 欧洲/美国/印度 | 目录与血缘 | catalog、lineage、governance | Collibra 2021 估值 52.5 亿美元。 | 在 AI 治理里重要,但安全 monetization 需验证 | 与 Snowflake/Databricks 平台功能竞争 | 目录仍重要,但纯投资弹性不如 DSPM |
| Reco / Grip / DoControl / Adaptive Shield | 以色列/美国 | SaaS 数据安全 | SaaS posture / SaaS DLP / access | 本轮未系统核验融资与 ARR | 受益于 SaaS + AI app 扩张 | 亦面临 Microsoft/Cloudflare 吸收压力 | 值得跟踪,但需逐一验证 |
从投资分层看:
A 类:AI/RAG/Agent 数据安全核心直接受益者——Microsoft、Google/Wiz、Varonis、Snowflake、Databricks(未上市)、Cyera、BigID、Privacera/Veza 路线。共同特征是:处在数据控制面核心位置,且与企业知识库、湖仓、检索、权限、目录直接相连。
B 类:受益明显,但估值或平台挤压风险较高——Palo Alto、CrowdStrike、Cloudflare、MongoDB、Elastic、Oracle、Trend Micro、Sentra、Concentric。共同特征是产品与需求强相关,但 AI 数据安全未必已经单列为财务主驱动。
C 类:更多是防御型受益者——IBM、Okta、Thales、Broadcom、OpenText、AWS。能力重要,但短期财务弹性不一定最强。
D 类:叙事强、财务验证不足——大量“AI security startup”与平台附加模块,尤其是仅做 prompt firewall、LLM scanning、advisory layer 的公司。
E 类:被平台整合风险高——传统单点 DLP、catalog-only 工具、弱运行时治理产品、缺少权限图谱与 remediation 的数据治理工具。
投资者问答
关于本研报有疑问?在下方提问,运营团队会基于研报内容用 AI 协助整理回答,已答内容将在此公开展示。
以上分析基于本篇研报内容整理,不构成投资建议,市场有风险。
| 代码 | 公司 | 行业 | 现价 | 市值 | 库内研报 |
|---|---|---|---|---|---|
| MSFT.US | 微软 | 科技 · 基础软件 | $384.93 -1.55% | $2.86T | 1 篇 → |
| ORCL.US | 甲骨文 | 科技 · 基础软件 | $127.94 -2.74% | $405.11B | 1 篇 → |
| IBM.US | International Business Machines Corporation | 科技 · IT 服务 | $217.07 -25.21% | $270.27B | 1 篇 → |
| PANW.US | 派拓网络 | 科技 · 基础软件 | $352.89 +6.84% | $265.62B | 1 篇 → |
| CRWD.US | CrowdStrike Holdings, Inc. | 科技 · 基础软件 | $210.73 +12.14% | $191.34B | 1 篇 → |
| NET.US | 科赋锐 | 科技 · 基础软件 | $281.75 +4.53% | $95.27B | 1 篇 → |
| SNOW.US | Snowflake Inc.(雪花) | 科技 · 应用软件 | $275.94 +2.71% | $90.62B | 1 篇 → |
| MDB.US | MongoDB, Inc. | 科技 · 基础软件 | $344.67 +1.98% | $27.51B | 1 篇 → |
| OKTA.US | Okta, Inc. | 科技 · 基础软件 | $154.62 +10.81% | $24.09B | 1 篇 → |
| ZS.US | Zscaler, Inc. | 科技 · 基础软件 | $152.09 +7.24% | $22.93B | 1 篇 → |
| ESTC.US | Elastic N.V. | 科技 · 应用软件 | $62.32 -0.18% | $6.48B | 1 篇 → |
| GOOGL.US | 谷歌-A | 通信服务 · 互联网内容与信息 | $353.65 +4.82% | $4.36T | 暂无 |
| RBRK.US | Rubrik, Inc. | 科技 · 基础软件 | $70.22 +1.42% | $17.37B | 暂无 |
| VRNS.US | Varonis系统 | 科技 · 基础软件 | $33.38 +0.91% | $5.23B | 暂无 |
| 4704.TSE | 4704.TSE | — | — | — | 暂无 |