AI Agent 时代的身份安全控制平面
AI 身份安全是 Agent 时代企业落地的前置控制层——没身份、没委托链、没短期凭证,Agent 只能停在 demo。评级跟踪。
矛盾在叙事大、钱只落在四个成熟预算池:PAM、机器身份、密钥、IGA/CIEM。GitHub 公开仓库 2025 年新增硬编码 secrets 2865 万、同比 +34%,密钥与凭证最先立项。收入已现:SailPoint FY26 ARR 11.25 亿美元。Cisco 收 Astrix、CrowdStrike 收 SGNL 印证 NHI 是下一代入口。
风险在Agent 落地慢、云厂商内建挤压基础 secrets/CIEM。预期差:SailPoint 81 亿市值对 11 亿 ARR、IBM/HashiCorp Vault 仍按整体定价。
核心结论
AI Agent 普及后,身份安全不再只是“员工登录”和“客户认证”的问题,而是升级为统一控制人类、工作负载、服务账户、API key、OAuth app、证书、短期 token、CI/CD 流水线、机器人账号和 AI Agent 的“身份控制平面”。微软、AWS、Google Cloud、GitHub、MCP 规范本身都已经把 workload identity、federation、OAuth scopes、resource audience validation 当成基础设施,而不是附属功能。
Non-Human Identity 的范围已经远超传统“机器证书”或“服务账号”。它实际覆盖服务主体、service principals、Kubernetes service accounts、cloud roles、CI/CD OIDC token、API keys、SSH keys、证书、Secrets、OAuth apps、SaaS-to-SaaS connectors、RPA accounts、automations、MCP servers、AI agents 以及 agent-to-agent delegation 链条。微软、Google、AWS、Veza、Okta、CyberArk 对这些对象都已明确建模或产品化。
AI Agent 会显著放大身份风险,不只是因为“更多账号”,更因为它们具备自主调用工具、跨系统读取数据、以机器速度持续运行、在委托链中传播权限,以及把 prompt injection、tool poisoning、OAuth consent、token theft、overprivilege 和审计缺失叠加到同一执行链条中。MCP 规范已经要求 resource 参数、token audience validation,并明确禁止 token passthrough,说明协议设计层面已承认这一风险。
身份安全预算最先落地的,不会是“纯 Agent 身份平台”本身,而是四个更容易采购的已成熟预算池:PAM、machine identity management、secrets management、IGA/ITDR/CIEM 的扩展模块。原因是这些预算 already exist,采购人明确,合规驱动强,而且最能直接映射到事故责任和审计要求。CyberArk、SailPoint、Okta、HashiCorp/IBM、JFrog 已经在这些相邻区域形成可量化商业信号。
真正的直接受益者,不是所有“讲 AI 安全故事”的公司,而是已经能把身份、权限、密钥、证书、授权与审计做成平台 SKU、扩展 ARR 或带动 RPO/cRPO 的公司。当前证据最强的一批是 CyberArk、SailPoint、Okta、Microsoft Entra、IBM/HashiCorp Vault、JFrog;CrowdStrike、Cloudflare、Cisco、Zscaler、Palo Alto Networks 更多处于“平台增强、财务贡献未单列”的阶段。
身份安全大概率会成为 AI Agent 时代的安全控制平面,但前提不是“SSO 更重要”,而是“身份图谱 + 授权图谱 + secrets/cert lifecycle + runtime policy + audit trail”被统一。单点 SSO/MFA 厂商如果不能扩展到 NHI、runtime authorization、data entitlements 和 human-in-the-loop governance,平台地位会下降。
纯 NHI/Agent 身份创业公司是真实威胁,而不是营销噱头。Aembit、Oasis、Entro、Astrix、Veza、SGNL、Reco、Valence、Grip 都在用“发现—归属—权限—持续授权—审计”重构预算入口;其中 Cisco 拟收购 Astrix、CrowdStrike 已收购 SGNL,正说明大平台承认这个方向不是小功能,而是下一代控制面入口。
收入弹性最大的细分赛道,优先级依次是:PAM 向 NHI/Agent 扩展、machine identity management、secrets management 与 developer token security、IGA 向 NHI ownership/attestation 扩展、data access governance/RAG permission control。MCP tool authorization 和 agent runtime authorization 的技术重要性高,但商业化仍偏早期。
利润率最好的赛道通常不是“安全咨询”或“单点检测”,而是嵌入工作流、能坐在控制面上的软件层:PAM、IGA、identity graph、policy engine、secrets vault、certificate lifecycle automation。相反,MCP observability、point OAuth monitoring、point secrets scanning 容易被平台整合,除非它们占据独特的系统级数据入口。
估值最容易泡沫化的,并不是传统 IAM 龙头,而是“Agent 安全叙事很强、收入尚未单列”的高成长平台股与创业公司。Cloudflare、CrowdStrike、Palo Alto Networks、Zscaler 当前股价中已经明显嵌入 AI 安全溢价;而 SailPoint、IBM/HashiCorp、部分偏基础设施的软件公司对 AI 身份安全的预期反而没有被完全计入。
已经看到明确“收入落地信号”的公开案例包括:SailPoint FY26 ARR 11.25 亿美元、SaaS ARR 同比增长 38%;CrowdStrike FY26 期末 ARR 52.5 亿美元、并把 SGNL 收入整合进更大的身份与持续授权叙事;JFrog FY25 Security Core 已占收入 7%、ARR 10%、RPO 16%;Okta FY26 Q4 RPO 同比增长 15%、cRPO 增长 12%。这些都比“发布一个 Agent 安全功能”更重要。
需要警惕把“身份安全防御增强”误判成“新增增长曲线”。Palo Alto Networks、Zscaler、Cisco、Trend Micro、Check Point、很多中国综合安全厂商当前更像是在用身份与 AI 安全能力加固现有平台,而不是已经形成可单独验证的新收入池。公开资料中,相关产品发布明显多于独立收入披露。
云厂商对基础能力的挤压是真风险。AWS、Azure、GCP、Oracle、Alibaba Cloud、Tencent Cloud 都已把 IAM、workload identity federation、temporary credentials、secrets manager、policy analysis 做成内建能力,因此单云 secrets、单云 CIEM、基础证书/密钥工具会持续商品化。真正还能保住利润池的,是跨云、跨 SaaS、跨目录、跨数据面的 ownership、least privilege、runtime enforcement 与统一审计。
未来 12–24 个月最大催化剂有四类:微软 Entra Agent ID GA、Okta for AI Agents GA、CyberArk Secure AI Agents 与 Venafi 整合推进、Cisco/Astrix 与 CrowdStrike/SGNL 这类并购后平台化加速。最大风险则是企业 Agent 落地慢于预期,导致“纯 Agent Identity”预算推迟,而现实采购继续优先投向 secrets、PAM 和 data governance。
产业链全景与预算迁移
从人类身份扩展到非人类身份
企业现在面对的不是“人通过浏览器登录系统”这一单一身份问题,而是大规模软件实体在相互调用。AWS 明确把 IAM identity 定义为既可代表 human user,也可代表 programmatic workload;IAM Roles Anywhere 又把 X.509 证书变成临时云凭证入口。Google Cloud 的 Workload Identity Federation 允许外部工作负载直接获得 IAM 权限,不再依赖长期 service account key;GitHub Actions 则鼓励用 OIDC token 替代长期 secrets。微软进一步把 workload identity 定义为应用、服务、脚本、容器等软件实体,并强调这类身份通常不能做 MFA、往往没有正式生命周期流程、还必须把凭证存放在某处。换句话说,NHI 并不是新问题,而是原本“隐藏在 DevOps、云、SaaS、自动化里的身份”开始在 AI Agent 时代集中暴露出来。
AI Agent 让这个问题从“隐藏成本”变成“安全主战场”。Agent 不是纯粹的 API caller;它需要读取企业知识库、访问邮箱与工单系统、触发 SaaS workflow、调用浏览器或 RPA、申请 token、使用 MCP 工具、链接其他 agent,并在某些场景下以“代表某个用户”的 delegated authority 运行。Ping Identity 公开把 Identity for AI 定义为把 AI agents 视为一等非人类身份,并要求 delegated authority、least privilege、全面审计、human-in-the-loop approvals;微软 Entra Agent ID 则把 sponsor、访问包、agent lifecycle、OAuth 2.0、MCP、A2A 放到同一框架里。
MCP 把身份与授权复杂度再抬高一层。MCP Authorization 规范要求 client 在授权和 token 请求中带上 resource 参数,server 必须验证 token 是否专门为该资源签发,并明确禁止 token passthrough;Anthropic 的 Claude Code 文档又要求通过 oauth.scopes 把允许的 scope 固定到安全团队批准的子集。换言之,MCP 工具调用不是“多一个插件”,而是把 OAuth、resource server、scope governance、tool permission、session storage、agent approval 链接到同一条执行路径。
AI 身份安全需求与收入化全景
| 产业链位置 | 细分环节 | 核心产品 | AI 身份安全驱动 | 收入模式 | 主要客户 | 壁垒 | 利润率特征 | 代表公司 | 上市状态 | 受益强度 | 投资弹性 | 关键公开证据 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 入口控制 | Workforce Identity | SSO、MFA、Passwordless、Device trust | 员工与 Agent 协作、跨 SaaS 访问、零信任入口 | seat/MAU/订阅 | 大中型企业 | 目录与集成深度 | 软件高毛利 | Microsoft、Okta、Ping | 上市/未上市 | 4 | 3 | Entra 明确覆盖 workforce、workload、agentic identities;Okta 已将 AI agents 纳入统一身份架构。 |
| 外部身份 | Customer Identity | CIAM、Auth0、OAuth/OIDC | AI 助手代表客户调用动作、第三方 app 授权 | MAU/认证量/API 调用 | 互联网、金融、零售 | 开发者生态与 SDK | 高毛利 | Okta/Auth0、Ping | 上市/未上市 | 3 | 3 | Auth0 已把 Auth for GenAI / AI Agents 当成开发者入口。 |
| 治理层 | IGA | lifecycle、access reviews、entitlement mgmt | AI agent 需要 owner、审批、生命周期与 SoD 检查 | 订阅/连接器/治理模块 | Fortune 500、受监管行业 | 身份图谱与流程嵌入 | 高毛利但实施重 | SailPoint、Saviynt、Oracle | 上市/未上市 | 5 | 4 | SailPoint 明确把 human、machine、AI agent 统一为平台增长方向,FY26 ARR 11.25 亿美元。 |
| 特权层 | PAM | vault、session mgmt、JIT、ZSP | Agent 默认是高权限执行体,需最小权限与临时授权 | 订阅/节点/管理员数 | 企业 IT、云运维、安全运维 | 深度工作流与高切换成本 | 高毛利 | CyberArk、Delinea、BeyondTrust | 上市/未上市 | 5 | 5 | CyberArk 将 AI agents 视为 privileged identities,并以 gateway 做 MCP/tool enforcement。 |
| 检测层 | ITDR | identity risk、token theft、session hijack | Agent 与 NHI 的异常行为更难靠传统 EDR 发现 | 平台附加模块 | 安全部门 | telemetry 与 detection graph | 高毛利、常被平台捆绑 | Microsoft、CrowdStrike、Zscaler | 上市 | 4 | 3 | Microsoft、CrowdStrike 都把身份威胁作为平台能力,并持续扩展。 |
| 云权限层 | CIEM | cloud entitlement analysis、role right-sizing | overprivileged cloud roles 被 agent 放大 | 订阅/云账户/资源量 | 多云企业 | 云 API 深度、权限解析能力 | 中高 | Microsoft、Oracle、Veza、Wiz/Saviynt | 上市/未上市 | 4 | 4 | Oracle 已做 Policy Analysis 与 Access Governance AI 自动化;Saviynt 与 Wiz 联手治理 NHI 和 AI agents。 |
| 密钥层 | Secrets Management | vault、rotation、ephemeral credentials | AI coding、CI/CD、agent tools 增加 secret sprawl | 每 secret / 客户端 / 订阅 | 开发、平台工程、SecOps | 与 CI/CD / runtime 深度整合 | 高毛利,但单云商品化快 | IBM/HashiCorp Vault、AWS、GCP、Alibaba Cloud、1Password | 上市/未上市 | 5 | 4 | Vault 被 IBM 纳入混合云平台;AWS/GCP/Alibaba 均公开提供 secrets 生命周期与定价。 |
| 证书层 | Certificate Lifecycle | discovery、renewal、internal CA、code signing | machine identities 与短周期证书扩张 | 每证书/订阅/平台 | 大型企业、平台团队 | PKI/CA 与发现能力 | 高毛利 | CyberArk/Venafi | 上市 | 5 | 4 | CyberArk 已把 Venafi 整合为 machine identity security 主轴。 |
| 机器身份层 | Machine Identity Management | certs、SSH、SPIFFE、workload identity | 云原生、Kubernetes、edge、agent runtime | 订阅/工作负载量 | 云原生企业 | inventory+rotation+policy | 高毛利 | CyberArk、Aembit、Entro | 上市/未上市 | 5 | 5 | Aembit 直接定位为 NHI IAM;Entro 以发现、保护、生命周期管理切入。 |
| 治理扩展层 | NHI Governance | ownership、classify、attest、review | 机器身份数量远超人类,必须绑定 owner 与权限解释 | 平台订阅 | 大型复杂企业 | entitlement graph 与 owner model | 高毛利 | SailPoint、Veza、Saviynt、Oasis | 上市/未上市 | 5 | 5 | Veza 与 Oasis 都把 service accounts、API keys、bots、AI identities 作为核心对象。 |
| 新控制面 | Agent Identity | 注册、sponsor、delegation、approval | Agent 需要独立身份而非共用人类账号 | 平台模块/seat/usage | 先从大企业试点 | 身份模型、delegation、审计链 | 早期,高潜力 | Microsoft、Okta、Ping、CyberArk | 上市/未上市 | 5 | 5 | Entra Agent ID GA、Okta for AI Agents GA、Ping Identity for AI GA、CyberArk Secure AI Agents 已发布。 |
| 工具授权层 | MCP Tool Authorization | MCP gateway、scope control、tool approval | Prompt injection 直达工具滥用,需执行前授权 | 平台附加模块 | AI 平台、安全平台 | 协议控制点 + 日志 | 早期 | Cloudflare、CyberArk、SGNL、Astrix | 上市/未上市 | 4 | 5 | Cloudflare MCP Server Portals、CyberArk AI Agent Gateway、SGNL 的 MCP governance、Astrix MCP 研究均已公开。 |
| API 权限层 | API Access Governance | API authz、connector governance、rate limits | Agent 通过 API 横向移动和放大 blast radius | API 调用/订阅 | SaaS-heavy 企业 | 接口覆盖与审计 | 中高 | Cloudflare、Google Workspace、Microsoft Entra | 上市 | 4 | 4 | Cloudflare 强调 agent 的 authn/authz;Google 与 Microsoft 提供 API/OAuth scopes 管理。 |
| SaaS-to-SaaS 层 | OAuth App Security | consent governance、scope review、revocation | OAuth app 是最典型“隐形 NHI” | 订阅/应用数 | SaaS-heavy 企业 | app graph 与 scope intelligence | 早期-成长期 | Astrix、Valence、Reco、Grip | 未上市 | 4 | 5 | Microsoft 官方持续强调 consent phishing;Astrix/Valence/Reco/Grip 都把 OAuth/SaaS identities 作为切入口。 |
| 云原生层 | Kubernetes / Cloud Workload Identity | federation、service account、pod identity | K8s 和多云把 NHI 数量推到爆发点 | 按集群/工作负载/平台 | 平台工程团队 | 云原生集成深度 | 中高 | AWS、GCP、Azure、Teleport | 上市/未上市 | 5 | 4 | AWS IAM Roles Anywhere、GCP WIF、Azure Workload ID、Teleport 都以 workload/agents 为核心对象。 |
| 开发者层 | Developer Token Security | secret scanning、token inventory、ephemeral auth | AI 编码与自动化让 token 泄露更频繁 | seat/repo/secret 数 | 开发组织 | repo 数据与 remediation 流程 | 高毛利 | GitGuardian、GitLab、1Password、JFrog | 上市/未上市 | 5 | 4 | GitGuardian 2026 报告显示 2025 年 public GitHub 新增硬编码 secrets 2865 万个,同比增 34%。 |
| 数据权限层 | Data Access Governance | entitlement mapping、activity monitoring | RAG/Agent 访问 KB 时必须看“谁可读什么” | 订阅/数据源/容量 | 数据密集行业 | data graph + permissions map | 高毛利 | Varonis、Cyera、BigID | 上市/未上市 | 4 | 4 | Cyera 把未使用权限与 agent 风险绑定;BigID 明确把 DAG 与 AI SPM 一体化。 |
| RAG 控制层 | RAG Permission Control | document-level ACL、retrieval authz | “能搜到”不等于“能看到” | 附加模块/平台订阅 | 有私有知识库企业 | 文档权限同步难度 | 早期但关键 | Varonis、Cyera、BigID | 上市/未上市 | 4 | 4 | BigID、Cyera 均把 AI data exposure 与 agentic AI governance 作为卖点。 |
| 持续授权层 | Zero Standing Privilege / JIT | just-in-time、continuous access | AI 与 NHI 把 standing privilege 升级为核心风险 | 平台模块 | 高安全行业 | runtime enforcement | 高毛利 | CyberArk、SGNL、StrongDM、Teleport、Delinea | 上市/未上市 | 5 | 5 | SGNL/Teleport/Delinea 都把 ZSP 或 no standing privilege 作为核心价值。 |
| 企业平台层 | Zero Trust | ZTNA、private access、device/context checks | Human+machine+agent 都需统一 policy | seat/流量/订阅 | 企业广谱 | 网络+身份一体数据 | 高毛利 | Zscaler、Cloudflare、Microsoft、Tailscale | 上市/未上市 | 4 | 3 | Cloudflare、Microsoft、Tailscale 均已把 AI/agents 纳入零信任访问。 |
这张表背后的投资含义很明确:最值得买方重点看的,不是“有一个 Agent 安全页面”的公司,而是那些已经占住 IGA、PAM、secrets、machine identity、runtime authorization 或 data entitlements 这些强付费控制点的公司。越靠近“执行前授权”和“可审计委托链”,收入弹性通常越大;越靠近单云基础能力,越容易被云厂商内建吞噬。
AI Agent 如何改变身份安全预算
预算迁移的逻辑,可以概括成一句话:Agent 把原本分散在 IAM、PAM、DevOps、CloudSec、DataSec 和 SaaS 管理里的隐性身份成本,集中变成可采购、可审计、可问责的控制平面预算。 这种迁移不会一夜完成,但方向已经在官方产品和客户文档中出现:Cloudflare 在 2026 年 Q1 财报里直接说 agents 已经成为其 workforce 的核心组成部分;Okta 把“agentic AI readiness is identity readiness”作为 2026 年企业信号;Microsoft、Ping、CyberArk 都在 2025–2026 年把 Agent identity 作为正式产品线推出。
AI 编码与软件自动化会率先带动 secrets、developer tokens、CI/CD identities 的预算。GitGuardian 统计 2025 年 public GitHub commits 中新增 2865 万个 hardcoded secrets,同比增加 34%,AI-service leaks 增加 81%,AI-assisted commits 中泄露 secrets 的概率约为非 AI 提交的 2 倍;GitHub、Google、Azure 现在都鼓励工作流从长期 secrets 迁移到 OIDC 和 federation。这意味着第一波预算不是“神秘的 Agent 安全平台”,而是更现实的 secret scanning、vault、ephemeral credentials、developer token policy 和 pipeline identity hardening。
RAG 和企业知识库会把数据权限治理推到更前面。Cyera 公布的研究称,96% 的企业权限实际上长期未使用,而 AI agents 不会像人一样“懒得点开某资源”;只要给了权限,它们就可能在毫秒内批量读取、关联和导出。BigID 也把 DSPM、Data Access Governance 与 AI SPM 合并成一体化叙事,强调核心问题是“哪些敏感数据存在、谁能访问、访问是否过度”。因此,数据访问治理虽然不是传统 IAM 核心预算,但在 Agent 上线后的第二阶段,很可能成为身份安全的大增量池。
三种情景预测
| 维度 | 保守 | 基准 | 激进 |
|---|---|---|---|
| 关键假设 | Agent 仍集中在试点、只做低风险任务;云厂商内建功能已经够用 | 企业把 Agent 用于 IT、客服、知识检索、代码辅助;审计需求上升 | Agent 进入生产执行环节,多 Agent 协作,MCP/工具调用广泛普及 |
| 企业 Agent 采用率 | 低到中 | 中 | 高 |
| NHI 数量增长 | 中速增长 | 高速增长 | 爆发式增长 |
| Agent 身份治理付费率 | 低 | 中 | 高 |
| 身份安全预算变化 | 主要是存量预算再分配 | 新增预算 + 替代预算并存 | 新增预算显著,身份控制面独立成大类 |
| 主要受益环节 | secrets、PAM、基本 workload identity | PAM 向 NHI 扩展、IGA、NHI governance、developer token security、data entitlements | Agent identity、runtime authorization、tool governance、RAG permissions、continuous authorization |
| 主要受益公司 | IBM/HashiCorp、CyberArk、AWS/Azure/GCP 内建、1Password | CyberArk、SailPoint、Okta、Microsoft、JFrog、Cloudflare、Veza | Microsoft、CyberArk、Okta、Ping、SGNL/CrowdStrike、Cloudflare、Aembit、Oasis、Astrix |
| 被冲击公司 | point MCP、point OAuth、纯概念 Agent 安全创业公司 | 单云 secrets、单点 CIEM、静态凭证工具 | 只做登录、不做运行时授权的传统 IAM;静态 secrets/certs 单点工具 |
| 主要风险 | Agent 预算延后,采购更偏内建 | 集成复杂,部署周期长 | 标准未成熟、平台整合过快、估值泡沫 |
基准情景是当前最合理的假设。原因不是所有企业都会很快部署 fully autonomous agents,而是只要企业把 Agent 用在“能操作真实系统和真实数据”的地方,最小权限、delegation、human approval、tool authorization、secret rotation 和 audit trail 就会从“安全建议”变成“上线门槛”。这就是为什么预算会先流向 成熟控制点,再向 纯 Agent 身份层 扩散。
架构层与细分赛道价值拆解
企业级 AI Agent 身份安全系统的典型架构
一个可落地的企业级 AI Agent 身份安全系统,通常由十五层组成:Agent discovery、NHI inventory、lifecycle、authentication、authorization/policy、least privilege、JIT/ZSP、secrets & certificates、API/MCP access control、RAG/data entitlements、ITDR、session/audit、human approval、compliance reporting、SOC/SIEM integration。现在真正值得研究的是:哪几层最可能形成护城河,哪几层会被内建吃掉。
| 架构层 | 核心价值 | 最容易形成护城河 | 最易被云厂商内建替代 | 最适合独立公司切入 | 付费意愿 | 利润率 | 增速 | 现阶段结论 |
|---|---|---|---|---|---|---|---|---|
| Agent 发现层 | 找到 shadow agents / known agents | 中 | 中 | 是 | 中 | 中 | 高 | 容易成入口,但单独难长期收费 |
| NHI 资产清单层 | service account、token、OAuth apps、bots 统一清单 | 高,尤其跨云跨 SaaS | 低 | 是 | 高 | 高 | 高 | 是 NHI 平台护城河起点 |
| 生命周期管理层 | 注册、owner、审批、退役 | 高 | 低 | 是 | 高 | 高 | 中高 | IGA/NHI 平台核心 |
| 身份认证层 | 让 agent/workload 被识别 | 中 | 高 | 否,更多被 IdP/云吸收 | 中 | 高 | 中 | 基础但易商品化 |
| 授权与策略层 | 谁能做什么 | 很高 | 中 | 是 | 很高 | 高 | 很高 | 最关键的长期利润池 |
| 最小权限层 | 减少过度授权 | 高 | 中 | 是 | 很高 | 高 | 很高 | 直接对应事故和审计 |
| JIT / ZSP 层 | 零常驻权限 | 很高 | 低 | 是 | 很高 | 高 | 高 | PAM/continuous identity 的高价值延伸 |
| Secrets 与证书层 | 凭证发放、轮换、撤销 | 高 | 中高 | 是 | 很高 | 高 | 高 | 近期最易落地 |
| API / MCP 工具授权层 | tool scopes、connector governance | 很高 | 低 | 是 | 高 | 高 | 很高 | 新市场,前景优于当期收入 |
| RAG / 数据权限层 | 文档、表、列、对象级授权 | 很高 | 低 | 是 | 很高 | 高 | 高 | Agent 时代的第二控制面 |
| ITDR 层 | token theft、abuse、行为异常 | 中高 | 中 | 是 | 高 | 高 | 高 | 平台捆绑概率高 |
| Session / 行为审计层 | 可回放、可归责 | 高 | 中 | 是 | 很高 | 高 | 中高 | 合规与责任归因刚需 |
| 人类审批与治理层 | HITL、break-glass | 中高 | 低 | 是 | 高 | 高 | 中 | 不是炫技层,但客户真愿意付费 |
| 合规报告层 | 审计、保险、监管证据 | 中 | 中 | 是 | 高 | 高 | 中 | 更多是平台附加值 |
| 安全运营集成层 | SIEM/SOAR/IR 联动 | 中 | 中 | 平台更强 | 中 | 中高 | 中 | 很重要,但更像平台粘性而非纯新市场 |
长期护城河最强的,是 NHI/agent inventory + authorization graph + least-privilege/JIT + secrets/cert lifecycle + audit trail 这一整组能力,而不是某一个单独功能点。微软 Entra Agent ID、CyberArk AI Agent Gateway、Ping Identity for AI、SGNL、Cloudflare MCP Portals 等产品路线都在朝这个方向收敛:先给 agent 一个身份,再给它一个 owner,再给它一个作用域,再给它一个可撤销、可审计的执行面。
细分赛道深度拆解
下表把你列出的三十个赛道压缩成投资视角最关键的判断。评分为 1–5,5 为最高。
| 赛道 | 赛道逻辑 | 商业化阶段 | 定价模式 | 壁垒 | 主要风险 | 投资吸引力 |
|---|---|---|---|---|---|---|
| Workforce Identity | 存量大、续费强,但新增 AI 弹性有限 | 成熟 | seat/MAU | 目录与集成 | 增长天花板、价格竞争 | 3 |
| Customer Identity | AI customer assistants 增强价值,但受应用周期影响 | 成熟 | MAU/API | 开发者生态 | 宏观波动、价格压力 | 3 |
| IGA | AI 让非人类 owner/attestation 更刚需 | 成熟升级 | 平台订阅/连接器 | 身份图谱与流程嵌入 | 实施周期长 | 5 |
| PAM | Agent/NHI 把 privileged access 推向中心 | 成熟升级 | 订阅/管理员/节点 | 强粘性与高切换成本 | 与云原生流程磨合 | 5 |
| ITDR | 身份滥用检测必要,但常被平台捆绑 | 成长 | 模块/SKU | telemetry 联动 | 单点产品易被吸收 | 4 |
| Non-Human Identity Security | 新预算最清晰的成长点之一 | 成长期 | 平台订阅 | inventory+owner+policy | 市场定义仍在演变 | 5 |
| Machine Identity Management | 证书、workload、SSH、SPIFFE 是最确定的爆发口 | 成长期 | 每工作负载/平台订阅 | 生命周期与自动化 | 云厂商基础能力挤压 | 5 |
| Secrets Management | 离事故最近,最容易立项 | 成熟升级 | 每 secret/客户端/订阅 | DevOps 集成 | 商品化与云内建替代 | 5 |
| Certificate Lifecycle Management | 机器身份与后量子迁移带来再加速 | 成熟升级 | 每证书/平台 | PKI、发现与自动续签 | 若仅做证书会被整合 | 4 |
| OAuth App Security | SaaS-to-SaaS/NHI 的关键盲点 | 早期-成长期 | 每应用/订阅 | scope intelligence | 易与 SSPM/IGA 合并 | 4 |
| API Access Governance | Agent 天然通过 API 行动 | 成长期 | API/平台订阅 | 连接器覆盖与审计 | API 网关与 IAM 边界重叠 | 4 |
| Agent Identity Security | 重要性很高,收入验证刚开始 | 早期 | 平台模块 | 身份模型与委托链 | 企业落地速度不确定 | 4 |
| MCP Tool Access Governance | 安全意义极高,收入处在 very early stage | 早期 | 平台附加模块 | 协议控制点 | 标准仍在快速变化 | 4 |
| Agent Runtime Authorization | 未来最大控制点之一 | 早期-成长期 | policy engine/usage | 执行前决策与实时上下文 | 技术复杂、销售教育成本高 | 5 |
| Agent Audit Trail | 合规、法务、保险都会需要 | 早期-成长期 | 模块/平台 | 可归责性 | 单独收费难,常被捆绑 | 4 |
| CIEM | 多云过度授权治理仍有需求 | 成长期 | 云账户/资源量 | 权限解析 | 单云 CIEM 面临内建替代 | 3 |
| Kubernetes / Workload Identity | NHI 爆发最直接的技术源头 | 成长 | 集群/工作负载 | 云原生深度整合 | OSS 与云内建替代 | 4 |
| Zero Standing Privilege | 最能体现“agent 不能常驻高权” | 成长期 | 平台模块 | runtime enforcement | 推进需要业务改造 | 5 |
| JIT Access | 采购理由直接、ROI 容易讲清 | 成熟升级 | 模块/平台 | 与审批工作流整合 | 落地复杂度 | 5 |
| Data Access Governance | RAG/AI 时代的重要增量控制层 | 成长期 | 数据源/容量/平台 | 数据图谱与权限映射 | 需与数据平台深耦合 | 5 |
| RAG Permission Control | 检索层与授权层的结合点 | 早期-成长期 | 模块 | ACL 同步与上下文控制 | 客户教育成本高 | 4 |
| Developer Token Security | AI coding 直接推高需求 | 成长期 | repo/seat/secret | 开发工作流嵌入 | 被 DevSecOps 平台吸收 | 5 |
| CI/CD Identity Security | 从“保护流水线”升级到“保护自动执行者” | 成长期 | pipeline/runner/平台 | CI 深度集成 | 可能被 Git 平台整合 | 4 |
| Software Supply Chain Identity | artifact signing、build provenance 与 token policy 结合 | 成长期 | 平台/企业版 | 供应链数据与签名链 | 客户预算常分散 | 4 |
| Passwordless / Passkeys | 人类身份持续升级,但 AI 弹性中等 | 成熟 | seat/MAU | 用户体验与标准化 | 竞争拥挤 | 3 |
| Zero Trust Identity | 身份作为访问中心仍是大趋势 | 成熟升级 | 平台捆绑 | 网络+身份+设备 | 平台竞争激烈 | 4 |
| Identity Analytics | 解释权限、发现异常、做治理推荐 | 成长期 | 模块 | 图谱与行为数据 | 易被平台吸收 | 4 |
| Identity Security Posture Management | 对复杂环境有吸引力 | 早期-成长期 | 平台模块 | 跨域可视化 | “好产品难单独卖高价” | 3 |
| Managed Identity Security Services | 部署复杂带来服务需求 | 成熟 | 服务费/项目费 | 本地交付与合规理解 | 毛利率较低 | 2 |
| AI 原生身份安全创业公司 | 潜在并购热点与高弹性来源 | 早期 | 订阅/平台 | 模型与执行链创新 | 收入验证不足、整合风险高 | 4 |
最值得强调的一点是:MCP Tool Access Governance 和 Agent Runtime Authorization 重要性非常高,但它们当下还不是最确定的收入池;相反,PAM、secrets、machine identity、IGA 扩展更像是接住这一波预算的“现实承接层”。 从投资时点看,这意味着不应只盯“最前沿的新名词”,而要先找那些能把前沿需求嵌入成熟预算科目的公司。
公司地图与投资分层
直接受益、平台受益、挑战者与伪受益公司总表
| 公司 | 状态 | 细分领域 | AI/NHI/Agent 受益路径 | 财务/采用证据 | 分类 | 初步判断 | 关键来源 |
|---|---|---|---|---|---|---|---|
| CyberArk | 上市 | PAM、Machine Identity、AI Agent Security | 以 PAM 为根,向 machine identity、AI agent gateway、MCP tool control 延展 | 2025 年 ARR 12.15 亿美元,同比增长 65%;Venafi 并表;已发布 Secure AI Agents | 平台型直接受益 | 受益路径最清晰之一 | |
| SailPoint | 上市 | IGA、NHI Governance | 把 human、machine、AI agent 放到同一治理平面 | FY26 ARR 11.25 亿美元,同比增 28%;SaaS ARR 增 38%;收入增 24% | 平台型直接受益 | IGA 向 NHI/Agent 延展最有证据 | |
| Okta | 上市 | Workforce/CIAM、Agent Identity | Universal Directory + AI agents discover/onboard/govern | FY26 Q4 RPO +15%,cRPO +12%;AI Agents 已 GA | 直接受益 | 产品强,收入单列仍少 | |
| Microsoft | 上市 | Workforce、Workload、Agent Identity、CIEM | Entra 把 workforce/workload/agentic identities 放进同一产品族 | Entra Agent ID 已 GA;Workload ID/Conditional Access/Permissions 已完整成套;微软 FY25 收入 2817 亿美元、营业利润 1285 亿美元 | 平台型受益 | 最强控制面候选,但身份收入不单列 | |
| IBM / HashiCorp | 上市 | Secrets、Vault、Hybrid identity | Vault 直接承接 secrets、PKI、workload auth;IBM 并购后具备更强平台分发 | IBM 2025 年完成收购 HashiCorp;Vault 已有公开定价 | 直接受益 | 偏基础设施,预期差可能大 | |
| JFrog | 上市 | DevSecOps、developer tokens、software supply chain identity | 安全核心覆盖制品、模型、MCP、开发者工作流 | FY25 收入 5.318 亿美元,同比增长 24%;Security Core 已占收入 7%、ARR 10%、RPO 16% | 直接受益 | 开发侧身份与供应链暴露真实 | |
| CrowdStrike | 上市 | ITDR、continuous identity、runtime auth | Falcon Identity + SGNL + FalconID,把身份接入更大安全平台 | FY26 ARR 52.5 亿美元,同比增 24%;收购 SGNL;发布 FalconID | 间接受益偏平台 | 方向正确,但身份并非独立收入池 | |
| Cloudflare | 上市 | Zero Trust、MCP、AI agent networking | MCP Server Portals、Managed OAuth、Mesh 把工具调用与 agent lifecycle 纳入网络/访问层 | Q1 2026 收入 6.398 亿美元,同比增 34%;cRPO 增 34%;发布 Mesh 与 MCP 产品 | 间接受益偏平台 | 叙事很强,收入单列不清 | |
| Zscaler | 上市 | Zero Trust、Identity context | 更像 identity-centric ZTNA 与 policy 平台,而非纯身份厂商 | Q1 FY26 收入 7.881 亿美元,同比增 26% | 间接受益 | 受益真实但身份不是主线 | |
| Palo Alto Networks | 上市 | CNAPP、IR、identity-adjacent controls | 身份更多作为平台化安全上下文,而非独立控制面收入 | Unit 42 报告称 65% 初始访问由 identity-based techniques 驱动;但身份收入未单列披露 | 防御型受益 | 叙事强于独立财务验证 | |
| Cisco | 上市 | Duo、Splunk、agentic workforce security | 通过 Duo/Splunk/网络平台和拟收购 Astrix 进入 AI/NHI 身份控制 | 2026 年宣布拟收购 Astrix;公司整体 FY26 规模巨大但身份收入未单列 | 间接受益 | 更像并购整合者 | |
| Oracle | 上市 | OCI IAM、Access Governance | 以云 IAM、policy analysis、AI 自动化治理承接企业权限问题 | OCI 已提供 IAM、Generative AI IAM policies、AI automation for Access Governance | 防御型受益 | 产品齐但财务暴露弱 | |
| Alibaba Cloud | 上市业务线 | Secrets、IAM | KMS Secrets Manager、RAM 政策 | 官方提供 secrets 存储、轮换与 AccessKey/SSH 管理 | 防御型受益 | 更像云内建,非独立利润池 | |
| Tencent Cloud | 上市业务线 | IAM | CAM、细粒度资源授权 | 官方提供 CAM 与细粒度资源访问控制 | 防御型受益 | 同样偏云内建 | |
| Trend Micro | 上市 | Identity-first AI defense | 身份作为 AI 安全框架核心,但公开收入未单列 | 2026 年强调 identity-first AI protection,与 NVIDIA 扩展合作 | 防御型受益 | 偏平台防御,不是高确定性新增长 | |
| QAX / 奇安信 | 上市 | 综合安全、AI 安全运营 | 具备 AI 安全与安全运营叙事,但身份/NHI 收入未见分拆 | 官方强调 AI 安全模型与大规模客户基础 | 伪受益风险较高 | 需单独验证身份收入落地 | |
| Saviynt | 未上市 | IGA、ISPM、NHI/AI identity | 从治理视角切入 NHI 与 AI agent ownership | 与 Wiz 合作治理 NHI 和 AI agents;官网已把 AI/NHI 写入主叙事 | 平台型挑战者 | 值得重点跟踪 IPO 可能性 | |
| Ping Identity | 未上市 | Workforce/CIAM、Agent Identity | Identity for AI 把 agent 视为 first-class NHI | Identity for AI 已 GA | 直接受益 | 如果重启 IPO 值得重点看 | |
| Delinea | 未上市 | PAM、Machine/NHI | PAM 向 NHI、runtime auth 延展 | 被 KuppingerCole 列为 NHI 领导者,且与 StrongDM 结合 JIT/runtime auth | 平台型受益 | 具备并购/IPO 双重可能 | |
| BeyondTrust | 未上市 | PAM、Machine Identity、AI agents | privilege-centric identity 平台化 | 2026 年宣布统一 privileged identity 方案覆盖 AI agent coworkers 与 workloads | 平台型受益 | 接近“全栈 privilege plane” | |
| 1Password | 未上市 | XAM、developer/AI credentials | 从密码管理升级到 Extended Access Management 与 agentic AI security | 覆盖 15 万家企业,明确将 AI agents 纳入 XAM | 间接受益 | 好产品,但收入贡献未单列 | |
| Veza | 未上市 | NHI Governance、Authorization graph | 以统一授权图谱治理 SaaS、on-prem、NHI、custom apps | 2025 年 Series D 融资 1.08 亿美元,估值 8.08 亿美元 | AI 原生挑战者 | 很可能成为平台并购热点 | |
| Aembit | 未上市 | NHI IAM | 直接做 workload/non-human access | 2024 年 Series A 2500 万美元 | AI 原生挑战者 | 赛道纯度高、财务未披露 | |
| Oasis Security | 未上市 | Non-Human Identity Management | discovery、lifecycle、AI identities | 官方定位为 NHI Management Platform,覆盖 AI identities | AI 原生挑战者 | 值得重点跟踪 | |
| Entro Security | 未上市 | NHI + secrets lifecycle | 解决 machine secrets 与 lifecycle | 2024 年 Series A 1800 万美元 | AI 原生挑战者 | 偏执行层,容易成为并购标的 | |
| Astrix Security | 未上市/被并购中 | OAuth/NHI/MCP server security | 从 SaaS-to-SaaS/OAuth apps 延伸到 AI agent & MCP server security | 总融资 8500 万美元;Cisco 已宣布拟收购 | AI 原生挑战者 | 已进入并购兑现阶段 | |
| SGNL | 未上市/被收购 | Continuous Identity、ZSP | 在 IdP 与 SaaS/hyperscaler 之间做 runtime enforcement | CrowdStrike 已收购 SGNL | AI 原生挑战者 | 方向验证度极高 | |
| Reco | 未上市 | SaaS/AI identities | 发现 AI agents、owner、permissions 与风险 | 2025 年 5x 增长,2026 年再融 3000 万美元 | AI 原生挑战者 | 偏 SaaS/Shadow AI 入口 | |
| Valence | 未上市 | SaaS + AI governance | 治理 SaaS 与 AI sprawl、NHI、agents | 明确覆盖 NHI/AI agents,融资公开 | AI 原生挑战者 | 偏治理与 remediation | |
| Grip | 未上市 | SaaS identity risk | 发现并治理 AI + SaaS,含 risky OAuth 与 unmanaged accounts | 官网披露高比例客户避免多起 SaaS breach | AI 原生挑战者 | 更像 SaaS identity 侧入口 | |
| Teleport | 未上市 | Infrastructure identity、JIT/ZSP | 统一 humans、machines、agents 的 infrastructure identity layer | 把 no shared secrets / no standing privilege 作为主价值 | AI 原生挑战者 | 值得重点跟踪 |
哪些公司叙事强但财务验证不足
目前“叙事强、财务单列不足”的典型组合有三类。第一类是大平台安全厂商:Cloudflare、Palo Alto Networks、Cisco、Trend Micro 等已经推出 MCP、agent lifecycle、AI security、identity-first 等功能,但公开财报仍主要按更大平台口径披露,难以证明 AI/NHI 身份子产品已形成独立 ARR。第二类是高热度创业公司:Aembit、Oasis、Entro、Valence、Grip、Noma、Lasso 等方向正确,但公开收入/ARR 披露非常有限。第三类是区域综合安全公司,尤其中国与部分日韩/印度综合安全或服务商,它们可能从项目与防御需求中边际受益,但公开材料很少把 NHI、Agent identity、MCP governance 单列成可验证收入项。
一级市场最值得跟踪的未上市名单
| 公司 | 地区 | 细分领域 | 核心产品 | 融资/估值公开信息 | 与上市公司关系 | 关注点 | 主要风险 | 来源 |
|---|---|---|---|---|---|---|---|---|
| Veza | 美国 | NHI Governance / Authorization | 统一授权平台,治理 SaaS、on-prem、NHI、custom apps | 2025 Series D 1.08 亿美元,估值 8.08 亿美元 | 与 Snowflake/Atlassian/Workday 生态紧密 | 可能成为 IGA/NHI 平台级公司 | 与 SailPoint/Saviynt 正面竞争 | |
| Saviynt | 美国 | IGA / AI identity | secures every identity—human, non-human, AI | 未披露最新收入 | 与 Wiz 合作 | 若 IPO,可能是 SailPoint 最直接可比 | 财务透明度不足 | |
| Ping Identity | 美国 | Agent Identity / CIAM | Identity for AI | GA,财务未单列 | 与 Okta/Microsoft 竞争 | 在 delegated authority 上产品定义清晰 | 私有化后透明度下降 | |
| Delinea | 美国 | PAM / NHI | centralized authorization、runtime access | 未披露 | 与 StrongDM 联动 | 很适合并购或二次上市观察 | 财务不透明 | |
| BeyondTrust | 美国 | PAM / AI agents / machine identity | Pathfinder + AI agent coworkers | 未披露 | 与 CyberArk/Delinea 竞争 | privilege-centric 路线明确 | 财务不透明 | |
| 1Password | 加拿大 | XAM / AI credentials | Extended Access Management | 覆盖 15 万家企业 | 与 CrowdStrike、Okta 有生态联动 | 从密码走向身份治理 | 未见 AI 收入单列 | |
| Aembit | 美国 | NHI IAM | workload access management | Series A 2500 万美元 | 获 Okta Ventures、CrowdStrike Falcon Fund 支持 | 赛道纯度高 | 市场教育成本高 | |
| Oasis Security | 以色列/美国 | NHIM | AI identities + NHI lifecycle | 2024 年 4000 万美元融资;平台面向 AI identities | 与平台厂商竞争/合作皆可 | 可能成为大厂收购目标 | 收入未披露 | |
| Entro Security | 以色列 | NHI + secrets | discovery、rotation、lifecycle | 2024 年 Series A 1800 万美元 | 可能与 PAM/Secrets 大厂合作 | 落点清晰 | 可能被整合 | |
| Astrix Security | 以色列 | OAuth/NHI/MCP | non-human identity security、MCP server security | 总融资 8500 万美元 | Cisco 已宣布拟收购 | 并购已验证需求存在 | 独立投资窗口收缩 | |
| SGNL | 美国 | Continuous Identity / ZSP | runtime access enforcement | 未披露 | 已被 CrowdStrike 收购 | 方向正确性已被大厂验证 | 公开独立研究价值下降 | |
| Reco | 以色列/美国 | SaaS + AI identities | Secure every agent、owner、permissions | 2025 额外融资 2500 万美元,2026 再融 3000 万美元;公开称 2025 年增长 5x/ARR +400% | 可能对 SSPM 与 OAuth 安全构成压力 | SaaS identities 与 AI agents 结合紧密 | 仍偏早期 | |
| Valence | 以色列/美国 | SaaS/AI governance | shadow SaaS + AI + NHI | Series A 2500 万美元 | 与 Microsoft 生态有关 | 更像治理与 remediation 入口 | 与 Reco/Grip 竞争激烈 | |
| Grip | 以色列/美国 | SaaS identity risk | discover, assess, govern AI + SaaS | Series B 4100 万美元(媒体引用) | 可能与 IdP/SSPM/ITSM 集成 | unmanaged SaaS + AI 是现实痛点 | 差异化需持续验证 | |
| Teleport | 美国 | Infrastructure identity | unified identity layer for humans, machines, agents | 2022 Series C 1.1B valuation | 与云与 PAM 生态竞争合作并存 | 对 AI infra identity 暴露高 | 收入未披露 | |
| Noma Security | 以色列/美国 | AI/Agent security | unified platform for AI and agent security | 2025 Series B 1 亿美元 | 对传统 AI security 厂商形成挑战 | 增长快 | 与身份收入交界尚需验证 |
投资者问答
关于本研报有疑问?在下方提问,运营团队会基于研报内容用 AI 协助整理回答,已答内容将在此公开展示。
以上分析基于本篇研报内容整理,不构成投资建议,市场有风险。
| 代码 | 公司 | 行业 | 现价 | 市值 | 库内研报 |
|---|---|---|---|---|---|
| MSFT.US | 微软 | 科技 · 基础软件 | $384.93 -1.55% | $2.86T | 1 篇 → |
| CSCO.US | 思科 | 科技 · 通信设备 | $117.09 -1.81% | $478.14B | 1 篇 → |
| ORCL.US | 甲骨文 | 科技 · 基础软件 | $127.94 -2.74% | $405.11B | 1 篇 → |
| IBM.US | International Business Machines Corporation | 科技 · IT 服务 | $217.07 -25.21% | $270.27B | 1 篇 → |
| PANW.US | 派拓网络 | 科技 · 基础软件 | $352.89 +6.84% | $265.62B | 1 篇 → |
| CRWD.US | CrowdStrike Holdings, Inc. | 科技 · 基础软件 | $210.73 +12.14% | $191.34B | 1 篇 → |
| NET.US | 科赋锐 | 科技 · 基础软件 | $281.75 +4.53% | $95.27B | 1 篇 → |
| OKTA.US | Okta, Inc. | 科技 · 基础软件 | $154.62 +10.81% | $24.09B | 1 篇 → |
| ZS.US | Zscaler, Inc. | 科技 · 基础软件 | $152.09 +7.24% | $22.93B | 1 篇 → |
| FROG.US | 捷蛙科技 | 科技 · 应用软件 | $91.17 -0.92% | $11.15B | 1 篇 → |
| GTLB.US | GitLab Inc. | 科技 · 基础软件 | $32.98 -1.46% | $5.48B | 1 篇 → |
| SAIL.US | SailPoint, Inc. Common Stock | 科技 · 基础软件 | $13.33 +0.91% | $7.95B | 暂无 |
| 688561.SHG | 奇安信 | 科技 · 基础软件 | ¥24.07 -1.59% | $2.47B | 暂无 |
| CYBR.US | CYBR.US | — | — | — | 暂无 |
| 4704.TSE | 4704.TSE | — | — | — | 暂无 |