纵横研报
SECTOR.AI AI 网络安全 2026·05·19 RESEARCH NOTE

AI 网络安全、Agent 安全、AI 应用安全与自主化 SOC 产业链

Ticker
SECTOR.AI
Rating
跟踪
Published
2026-05-19
EXECUTIVE SUMMARY AI 网络安全从"产品功能点"升级为 AI 产业链的控制面与治理层——横跨模型、Agent、数据、身份、运行时、开发与 SOC。两条预算曲线分开:用 AI 做安全(替代/升级现有 SIEM/SOAR/XDR/MDR)短期落地快;保护 AI 本身(AI-SPM/Agent 身份/RAG 权限/MCP 治理/AI 网关)长期弹性更大。最有收入弹性的上市公司是 Palo Alto Networks(NGS ARR $48 亿 +37%、RPO $130 亿)、CrowdStrike(FY25 ARR $42.4 亿)、Fortinet(Unified SASE/SecOps ARR +26%/+30%)、Zscaler、Rubrik(Subscription ARR $10.9 亿 +39%);防御型受益者 Microsoft / Datadog / Cloudflare / Check Point / Qualys。最易泡沫化的是纯 prompt injection / LLM firewall / 单点 red-teaming —— 这类多数会被平台并入或并购。

AI 网络安全从产品功能点升级为 AI 产业链的控制面与治理层,已经是企业大规模上线 AI 的准入条件。评级 跟踪

核心矛盾是两条预算线:「用 AI 做安全」替代 SIEM/SOAR/XDR,短期最快落地;「保护 AI 本身」身份/RAG/MCP 治理,长期弹性大但企业先投算力后投安全真把需求兑现成数字的只有五家——Palo Alto、CrowdStrike、Fortinet、Zscaler、Rubrik,ARR +23%~+39%;MSFT/DDOG 偏平台黏性,无独立收入桶。

最易泡沫化的是纯 prompt injection、LLM firewall、单点红队,大概率被平台并购吸收。Rapid7 收入两年从 +2% 滑到 -0.3% 是警示。三大风险:钱先去算力、平台免费内置、SOC 不敢全自主。

FULL REPORT · 完整研报 阅读完整研报 13,682 字 · ~27 分钟阅读

核心结论

  • AI 网络安全已经从“安全产品的一个功能点”升级为 AI 产业链里的控制面与治理层:它横跨模型、Agent、企业数据、身份、运行时、开发工具和 SOC,不再只是传统网络安全的边角能力,而是企业大规模部署 AI 的准入条件之一。Anthropic 将 MCP 定义为把数据源与 AI 工具建立“安全双向连接”的开放标准;OpenAI 则把 tracing、evaluations 放进 agent 开发栈;Microsoft、Palo Alto Networks、Zscaler、Check Point 都已把 AI 资产、Agent、运行时、数据与身份治理纳入主平台。

  • AI 对攻击侧的最大改变,不是“黑客突然更聪明”,而是攻击规模、个性化程度、社工逼真度、以及攻击链自动化显著上升;对防御侧的最大改变,则是SOC 工单处理、调查、响应、策略优化、数据分类、权限治理开始被 agent 化。Microsoft 已公开把 Security Copilot agents 用于 phishing、data security、identity management;其 2025/2026 系列材料也明确把 agent governance、shadow AI agents、agent identities 纳入安全框架。

  • “用 AI 做安全”和“保护 AI 本身”是两条完全不同的预算曲线。前者本质上主要是替代/升级现有安全运维预算,对应 SIEM、SOAR、XDR、MDR、威胁情报、邮件安全、代码审计等;后者则是伴随 AI 应用与 Agent 渗透率上升而新出现的安全预算,对应 AI-SPM、AI runtime security、RAG 权限控制、Agent identity、MCP/tool governance、AI 数据安全与模型 API 安全。前者更快落地,后者长期弹性更大。

  • 未来 12–24 个月最先落地的 AI 安全预算,不是“纯 prompt injection 防护”,而是五类:AI SOC 自动化、安全数据湖+AI SIEM、AI/Agent 身份与权限治理、AI 数据安全/RAG 权限控制、AI 网关/运行时控制面。原因是这几类最接近企业现有控制链、采购口径和 ROI 体系,也最容易嵌入现有平台。Palo Alto 的 Portkey 交易把 AI Gateway 明确定位为 autonomous agents 的关键控制面;Microsoft 把 agent identities 放入 Entra;CrowdStrike、Zscaler、Check Point、Fortinet 都在原平台中扩展 AI 安全能力。

  • 已经能够把 AI 安全需求较明确转化为收入、ARR、RPO 或利润率改善的上市公司,优先看 Palo Alto Networks、CrowdStrike、Fortinet、Zscaler、Rubrik。Palo Alto 的 Next-Generation Security ARR 在 FY25 Q2 达到 48 亿美元、同比增 37%,RPO 达 130 亿美元;CrowdStrike FY25 期末 ARR 达 42.4 亿美元,Next-Gen SIEM/Cloud/Identity 合计 ARR 超过 13 亿美元;Fortinet Q1 2025 的 Unified SASE ARR 与 Security Operations ARR 分别同比增 26% 与 30%;Zscaler FY25 Q2 收入同比增 23%,递延收入同比增 25%;Rubrik FY25 Q4 Subscription ARR 达 10.9 亿美元、同比增 39%。

  • 也有一批公司更像防御型受益者,即 AI 主要用于降本增效、提升平台黏性,而不是创造独立的新收入池。典型包括 Microsoft、Datadog、Cloudflare、Check Point、Qualys:它们都在加速把 AI 功能内嵌到平台,但大多数尚未单独披露 AI 安全 ARR,更多体现为更强的平台竞争力、更多 seat/workload 扩张或更高产能。

  • 真正处在 AI 安全平台核心位置的,不是单一“LLM firewall”厂商,而是同时掌握身份、数据、运行时、日志/遥测和响应闭环的平台。目前最接近这一形态的是 Palo Alto Networks、CrowdStrike、Microsoft、Zscaler,其次是 Fortinet、Check Point、Datadog、Cloudflare。这一判断来自它们把 Agent、AI 资产、数据保护、SOC 自动化和访问治理统一进既有控制平面的速度。

  • Agent 安全、AI 身份安全、Non-human identity、RAG 权限控制是收入弹性最大的细分赛道之一,因为企业一旦让 Agent 直接访问内部知识库、SaaS、代码仓库、工单系统和浏览器,就必须解决 inventory、identity、least privilege、tool approval、audit trail 和 secrets 管理。Anthropic 已在 MCP 设计中加入对 connectors 的许可控制;OpenAI 把 tracing/evaluations 做进 agent stack;Microsoft 则把 agent identities 放进 Entra 与 Zero Trust 体系。

  • 利润率最好的赛道通常不是最性感的“AI firewall”,而是建立在高毛利 SaaS 之上的身份、数据、安全运营软件层。这一点已经体现在 Check Point、Qualys、Fortinet 的利润率上,也开始体现在 CrowdStrike、Okta、Tenable、SentinelOne 的经营杠杆改善上。Check Point 2024 年 operating margin 为 34%;Qualys Q1 2025 GAAP operating margin 为 32%,Adjusted EBITDA margin 为 47%;Fortinet Q1 2025 非 GAAP operating margin 为 34.2%;SentinelOne FY2026 首次实现全年 non-GAAP operating profitability。

  • 最容易泡沫化的赛道,是那些短期很难形成强制性采购、同时又容易被平台内置的独立小品类,尤其是纯 prompt injection、防 jailbreak、泛化 LLM firewall、单点 AI red-teaming 工具。Palo Alto 连续并购 CyberArk、Koi、Portkey 并把 Prisma AIRS/Idira 做成统一控制面,Microsoft 把 Agent 安全嵌进 Entra/Defender,Zscaler 与 Check Point 也都把 AI 资产、数据与访问控制内嵌进主平台;这意味着很多单点厂商最终更像并购标的,而非长期独立平台。

  • 估值已经明显反映 AI 安全预期的,优先包括 CrowdStrike、Palo Alto Networks、Datadog、Cloudflare。按当前市值与最近财年收入粗算,CrowdStrike 的市销率约 39 倍,Palo Alto 约 22 倍,Datadog 约 22 倍,Cloudflare 约 40 倍以上;这些公司当然可能继续兑现,但“业务确定性”与“估值吸引力”已经明显分离。

  • 仍可能存在预期差的公司,更多在“已有控制面但 AI 安全收入尚未被市场充分单独定价”的平台里,例如 Fortinet、Check Point、SentinelOne、Okta、Tenable。它们共同特点是:估值显著低于最热门 AI 安全平台,但已经具备 agent identity、SecOps、exposure management、Zero Trust、Cloud/App/Identity 等向 AI 安全延展所必需的底层能力。

  • 被 AI 安全平台、云厂商或 AI 原生安全公司冲击风险最高的,首先是传统 SOAR、传统日志分析、单点漏洞管理、单点 CSPM、单点 DLP、单点邮件与反钓鱼、以及没有身份/数据/平台能力的点状工具。Rapid7 是典型警示样本:截至 FY2025 全年收入仅增 2%,ARR 8.40 亿美元,而 Q1 2026 收入同比下降 0.3%,说明其产品面临平台化、自动化和预算迁移的多重压力。

  • 未来 12–24 个月最重要的催化剂,是企业 Agent 普及速度、AI 安全付费率、平台型厂商的并购整合、以及 AI 安全是否进入 RPO/cRPO/ARR 披露口径。最大风险则是企业先投算力和应用、后投安全;平台把单点 AI 安全功能免费内置;以及自动化 SOC 在高风险处置上迟迟不敢 fully autonomous。Microsoft、Anthropic、OpenAI 都在快速推进 agent 能力,但这并不自动等于独立 AI 安全预算同步放量。

产业链全景与预算迁移

先回答最关键的十个问题。

AI 安全新增预算并不是单一科目,而是从四个采购池同时形成:其一,AI 项目预算中的“强制治理层”,包括 AI 资产发现、AI-SPM、Agent inventory、tool governance、runtime protection、审计与审批;其二,现有安全预算中的“平台升级层”,包括 AI SOC、AI SIEM、agentic SOAR、XDR、threat intel 自动化;其三,数据与身份预算中的“AI 扩容层”,包括 DSPM、DLP、RAG 权限、machine/agent identity、PAM、secrets 与 CIEM;其四,开发者与云预算中的“AI 应用保护层”,包括 AI code security、model API security、AI gateway、安全浏览器与本地 agent 控制。Palo Alto 的 Portkey/Koi/CyberArk 路线、Microsoft Entra 的 agent identity、Zscaler 的 AI Asset Management/DSPM、CrowdStrike 的 secure AI、Check Point 的 GenAI Protect/AI Cloud Protect,说明主流平台都在围绕这四个采购池布局。

“用 AI 做安全”和“保护 AI 本身”的区别在于:前者优化防守效率函数,后者定义企业 AI 上线边界。前者解决的是警报泛滥、误报、人员短缺、调查慢、剧本固化等问题;后者解决的是 AI 资产不可见、Agent 权限过宽、RAG 过读、模型/工具/浏览器被滥用、敏感数据外流、运行时行为不可审计等问题。因而前者最容易由现有安全供应商承接,后者则更容易把身份安全、数据安全、云安全、应用安全重新拉回预算中心。

企业为什么不会只依赖传统安全工具?因为 Agent、RAG、MCP 和多模型 API 让“谁可以读什么、调用什么、代表谁行动、输出被谁接收、行为如何审计”变成全新问题。Anthropic 明确表示 MCP 需要对 connectors 进行访问控制,并支持一次性或永久授权;OpenAI 也把 tracing 与 evaluations 变成 agent stack 的组成部分;这意味着 AI 安全需要新的控制点,而不是只在网络边界或终端层面追加规则。

下表给出产业链全景图。评分为 1–5,数值越高表示 AI 普及下的受益/投资弹性越强;这是基于公开披露和本报告的分析框架做的主观评分,而非管理层指引。

产业链位置 细分环节 核心产品 AI安全需求驱动因素 收入模式 主要客户 竞争壁垒 利润率特征 代表公司 上市/未上市 受益强度 投资弹性 关键来源
模型层 基础模型安全 model safeguards、评测、tracing、connector controls 模型外部调用、企业私有数据接入、行为审计 API/平台附加、企业版 模型开发者、平台方、大企业 模型能力、数据、评测框架 高毛利,但安全收入常不单列 OpenAI、Anthropic 未上市 4 4
应用层 AI应用安全 AI gateway、runtime policy、输出过滤 企业内嵌 AI 应用快速扩张 按应用/API/seat SaaS、开发者平台、大企业 运行时遥测、策略引擎、集成广度 SaaS 高毛利 PANW、Zscaler、Check Point 上市 5 5
Agent层 Agent 安全 inventory、行为监控、审批、日志 autonomous agents 开始执行真实操作 按 seat/agent/usage 大企业、金融、开发团队 审计链、权限模型、工作流集成 高毛利,但早期竞争激烈 Microsoft、PANW、CrowdStrike 上市 5 5
工具调用层 MCP / tool governance connector allow/deny、tool approval、sandboxing MCP、function/tool calling 成为默认架构 平台附加、每 agent/API AI 开发平台、企业 IT 协议控制与身份绑定 高毛利,独立厂商易被平台吸收 Anthropic、OpenAI、PANW 混合 5 5
数据层 RAG 与知识库安全 权限继承、向量检索授权、内容级 DLP RAG 导致“查询即读数” 按数据量/seat/库数 大企业、受监管行业 数据分类、ACL 映射、内容理解 高毛利,实施复杂 Zscaler、Microsoft、Varonis、Rubrik 上市 5 4
数据层 AI 数据安全 DSPM、DLP、敏感数据发现 AI 对企业数据访问面大幅扩大 按 TB/对象/用户 大企业、云原生企业 分类准确率、上下文与权限联动 高毛利 Zscaler、Check Point、Microsoft 上市 5 4
身份层 AI 身份安全 IAM、PAM、CIEM、agent identity、NHI Agent/service account/secret 激增 按用户、工作负载、权限对象 全行业 身份图谱、least privilege、审计 高毛利、客户迁移成本高 Microsoft、Okta、PANW-Idira 上市 5 5
运行时层 AI runtime security LLM firewall、runtime inspection、abuse detection 实时阻断 prompt injection、越权工具调用 按请求量/API 调用 AI 应用团队 低延迟、策略与日志规模 早期高毛利但价格易承压 PANW Prisma AIRS、CrowdStrike、Check Point 上市 4 5
评测层 AI 红队与模型评测 eval、red teaming、policy testing 强监管、高风险场景上线前验证 项目制+订阅 金融、政府、模型公司 方法论与案例库 很多厂商“好产品难赚钱” OpenAI、Anthropic、平台安全厂商 混合 3 3
开发层 AI代码安全 code review、secret scan、supply chain AI 编程提高代码量与依赖复杂度 seat/仓库/流水线 开发团队、平台工程 代码语义理解、生态集成 高毛利但竞争多 Microsoft/GitHub、Elastic、Datadog 上市 4 4
运维层 AI SOC AI analyst、自动 triage、调查总结、响应 人力短缺、告警爆炸、MTTR 压力 平台订阅、按数据/事件 SOC、MSSP、大企业 安全数据、case graph、workflow 随规模利润改善明显 CrowdStrike、PANW、Microsoft、Fortinet 上市 5 5
数据平台层 AI SIEM / 安全数据湖 湖仓一体、搜索、AI 查询、检测 需要低成本存储+AI 分析 数据量/节点/平台包 SOC、云原生企业 数据模型、搜索、生态 较高毛利,规模效应强 CrowdStrike、Elastic、Datadog、Microsoft 上市 5 4
编排层 Agentic SOAR 自动化剧本、agent workflow、审批 从规则驱动转向目标驱动响应 平台附加 SOC、MDR 场景库、连接器、审批链 独立 SOAR 利润池趋弱 PANW、Microsoft、CrowdStrike 上市 4 4
检测层 XDR / EDR / NDR / ITDR 端点、身份、网络、云联合检测 AI 攻击让跨域关联更重要 按 endpoint/user/workload 大企业、政府 遥测规模、威胁图谱、响应闭环 高毛利 CrowdStrike、SentinelOne、PANW、Fortinet 上市 5 4
云层 CNAPP / AI-SPM AI 资产发现、模型暴露面、配置风险 多模型、多云、shadow AI 爆发 workload/云账户/平台包 云原生企业 云控制面集成、图谱 高毛利但整合迅速 PANW、Check Point、CrowdStrike、Fortinet 上市 5 4
网络与访问层 SASE / SSE / Secure Browser AI 使用治理、浏览器隔离、本地 agent 控制 员工直接在浏览器/终端使用 Agent 按用户/站点/带宽 大企业、分布式办公 网络分发+身份+数据 毛利好,平台化强 Zscaler、Cloudflare、Fortinet、PANW 上市 4 4
API层 API 安全 model API 保护、abuse monitoring 工具调用与模型 API 暴露增加 API/请求量 开发团队、SaaS 流量理解、策略引擎 高毛利但易被平台捆绑 Check Point、Cloudflare、PANW 上市 4 3
弹性与恢复层 数据韧性 / Cyber Recovery 备份、隔离恢复、AI 数据保护 AI 时代数据更值钱、勒索更昂贵 订阅/容量/节点 大企业、受监管行业 恢复能力、数据面粘性 高毛利且 AR R强 Rubrik 上市 4 4
运营服务层 MDR / MSSP AI 辅助检测、调查、处置 客户缺人缺能力 订阅/托管服务 中大型企业 人+平台+流程 毛利取决自动化率 CrowdStrike、Fortinet、PANW 生态 上市 3 3
买方预算层 企业客户 安全、AI、数据、IT 联合采购 AI 项目上线前必须过治理 平台包、附加模块 Fortune 500、金融、政府、医疗 采购关系、合规门槛 大单驱动 Microsoft、PANW、CrowdStrike、Zscaler 上市 5 5
攻击侧 AI 驱动攻击 深度伪造、社工、自动化钓鱼、越权代理 攻击规模化与定制化 N/A 攻击者 低门槛扩散 N/A 需求驱动,不是投资标的 N/A 5 5

预算迁移判断。

我的判断是:AI 安全预算里,短期(未来 12 个月)约有一半以上仍会以“原安全预算再分配”的形式出现,最典型是在 SIEM/SOAR/XDR/MDR、SASE、数据安全、身份安全里加购 AI 模块或平台包;但中期(12–36 个月)新增预算占比会快速上升,尤其来自 AI 应用负责人、数据平台主管、Copilot/Agent 项目负责人和企业架构团队。原因在于,当 AI 从“问答工具”升级为“可调用工具、可访问知识库、可代表用户执行动作”的 Agent 后,安全责任链会从 CISO 扩展到 CIO、CTO、数据与业务负责人。Microsoft 披露已有 23 万+ 组织使用 Copilot Studio 构建 AI agents 与自动化;这会把 Agent 治理需求前移到部署时点。

情景推演。

维度 保守 基准 激进
核心假设 AI 主要停留在 copilot/检索层,Agent 只在少数流程使用 企业从 copilot 走向 workflow agents,开始多模型与知识库接入 Agent 大规模接管内部流程,浏览器/终端/知识库/API 深度联动
企业AI采用率 55% 70% 85%
Agent采用率 10% 20%~25% 35%~45%
AI安全付费率 20% 35% 50%+
AI攻击增长 中等 较快 很快
安全预算变化 安全总预算 +2%~4%,以再分配为主 安全总预算 +5%~8%,新增与替代并存 安全总预算 +10%~15%,AI 安全形成独立预算
最受益环节 AI SOC、SASE、DLP、Identity AI SOC、AI-SPM、RAG 安全、Agent identity、安全数据湖 Agent 安全、MCP 安全、AI runtime、NHI、AI 数据安全
受益公司 FTNT、CHKP、OKTA、TENB PANW、CRWD、ZS、FTNT、RBRK、S PANW、MSFT、CRWD、ZS、OKTA、RBRK、S
被冲击公司 传统 SOAR、单点日志工具 传统 SOAR、点状 CSPM、点状 DLP、RPD 传统 SIEM/SOAR、点状 AppSec、仅漏洞管理工具
主要风险 付费率低、客户把 AI 安全视为平台免费功能 标准未成熟、自动化处置边界保守 云厂商/平台吸收利润池,独立小品类难独立上市

企业AI安全架构与赛道价值

企业级 AI 安全系统的典型架构,正从“网络—终端—云”的三层防御,变成“资产发现—身份—数据—运行时—日志—治理”的六层控制面。最核心的变化是:AI 不只是被访问的对象,而是会主动读取、推理、调用、写回与执行动作的主体。因此,长期护城河最深的层,不再只是终端或网关,而是能把身份、数据血缘、运行时遥测、审批与审计串起来的平台层。Microsoft 把 agent identities 放入 Entra 并落到 Zero Trust;Anthropic 在 MCP 中强调 connector 级控制;OpenAI 在 agent stack 中加入 tracing/evals;PANW 通过 Portkey、Koi、CyberArk 试图把入口、身份、端点与运行时收敛到 Prism AIRS / Idira 这类控制面上。

下表把用户要求的 15 层架构合并成一个价值拆解表,并直接回答“哪里最有护城河、哪里最容易被内置、哪里最适合独立切入”。

架构层 主要控制目标 最容易形成护城河 最容易被云厂商/平台内置 最适合独立安全公司切入 最适合大型平台整合 付费意愿 利润率 增长/竞争态势 主要判断
AI资产发现层 发现模型、Agent、API、知识库 高增长/高竞争 容易被云/安全平台吸收,独立厂商更适合作 wedge
模型与Agent清单层 inventory、owner、risk 中高 中高 高增长 与身份、审批、配置管理强绑定,适合平台
数据发现与分类层 敏感数据、权限、血缘 高增长 长期价值最高之一,尤其在 RAG 和 Copilot 上线后
身份与权限层 human/NHI/agent identity、least privilege 很高 很高 很高 很高 高增长 AI 时代的核心安全预算之一
Prompt 与输入防护层 注入、越权输入、恶意上下文 中低 中高 高增长/高竞争 好产品很多,长期独立定价未必强
输出与数据泄露防护层 输出过滤、脱敏、策略 稳健增长 与 DLP、合规绑定,更容易收入口碑与预算
RAG 权限控制层 检索授权、ACL 继承 高增长 关键瓶颈层,最容易形成粘性
MCP / 工具调用治理层 tool allow/deny、审批、审计 最快增长之一 早期独立切入空间较好,但中期会被平台吞并
Agent 运行时监控层 行为、成本、异常、滥用 最快增长之一 类似云运行时安全在 AI 时代的再版
Agent 行为审计层 可追溯、证据链、归因 高增长 与合规/审批结合后价值抬升
AI 红队与评测层 上线前后安全性验证 中高 中高 高增长/高竞争 “好产品但难赚钱”风险高
安全数据湖层 遥测、检索、长期存储 很高 很高 高增长 自主化 SOC 的底座,平台壁垒最强之一
SIEM / SOAR / XDR 层 检测、调查、响应 很高 重构中 AI 会重写工作流,但不会消灭这一层
人类审批与治理层 HITL、policy、例外处理 中高 中高 中高 稳定增长 在高风险流程里是强制存在,不会被纯自动化替代
合规与审计层 监管、记录、责任链 中高 中高 稳定增长 AI 预算落地越快,这一层越刚性

赛道价值排序。

以未来 12–24 个月的“可商业化程度 × 平台护城河 × 预算落地速度”看,我更看重的不是最热门的单项技术,而是以下 8 个主赛道:

赛道 赛道逻辑 商业化阶段 收入如何转化 主要客户 定价/毛利率趋势 护城河 12–24个月催化剂 主要风险 投资吸引力
AI SOC 用 AI analyst 提升 triage、investigation、response 已商业化 平台扩容、seat、事件量、MDR 附加 大企业、MSSP 毛利率与平台化一起提升 数据湖+流程+威胁情报 AI agents 从 copilot 升级到 autonomous workflows 幻觉/误处置 5
AI SIEM / 安全数据湖 AI 查询与自动调查需要低成本高质量遥测层 已商业化 数据量、平台包、增购 SOC、云原生企业 高毛利、规模效应强 数据模型、搜索、生态 日志/安全/AI 数据统一 成本与迁移复杂度 5
Agentic SOAR 从 playbook 转向 agent workflow 早中期 替代旧 SOAR、附加到 XDR/SIEM SOC、中大型企业 单独定价弱,捆绑更强 workflow、审批链 平台内 agent 大规模上线 独立 SOAR 被边缘化 4
XDR / EDR / ITDR 攻击链跨端点/云/身份/数据,AI 提升检测与响应 已商业化 module 扩容、平台包、Flex 合约 大企业、政府 高毛利 遥测与响应闭环 AI 驱动攻击加快 同质化竞争 4
CNAPP / AI-SPM 从云资产可见性扩展到 AI 资产可见性 早中期 workload/云账户/平台包 云原生企业 高毛利 云控制面集成 AI 资产/模型/数据集发现需求爆发 云厂商内置 5
身份安全 / NHI / Agent Identity Agent 本质是新的非人身份 早中期 user、workload、secret、privilege 全行业 高毛利 身份图谱与最小权限 Agent 生产化、零信任前移 标准未成熟 5
AI运行时 / LLM firewall / Prompt / Jailbreak 解决实时滥用、注入、越权调用 早期 API 调用量、应用数 AI 应用团队 毛利率高,但价格压力大 运行时策略与日志 高风险 AI 应用上线 容易被平台内置 3
RAG安全 / AI数据安全 DSPM/DLP 数据是 AI 的燃料,也是最高风险暴露面 已进入放量期 数据对象、TB、seat、平台加购 大企业、受监管行业 高毛利 分类+权限+上下文 企业知识库与 Copilot 真正落地 实施复杂 5
Agent安全 / MCP安全 / Tool Governance Agent 开始“做事”后必须可控可审计 早期但极具弹性 按 agent/API/connector 计费或平台附加 AI 开发团队、大企业 早期高毛利 协议控制、审计链 MCP/connectors 普及 易被平台并购吸收 5
AI红队 / 模型评测 上线前评估模型与应用风险 早期 项目制+企业包 模型方、大企业 毛利率可高,但规模难 方法论与数据集 监管与高风险行业采用 预算非刚性 2
代码安全 / 软件供应链 / API安全 AI 编程增加代码量和依赖风险 已商业化 seat/仓库/API 调用 开发团队 高毛利 与 DevOps/SDLC 深度集成 AI coding 普及 开源压价 4
浏览器安全 / 本地Agent / Secure Browser 人和 Agent 共用浏览器/终端 早中期 user/device/浏览器 seat 分布式办公企业 中高毛利 端点+网络+身份联动 agentic browser 流行 客户教育成本 4
邮件安全 / AI 钓鱼 / 深度伪造检测 AI 放大社工与身份仿冒 已商业化 seat/domain/mailbox 全行业 高毛利 数据标注与图谱 攻击升级 易被平台挤压 3
MDR / MSSP AI 提升人均产出与毛利 已商业化 托管合同、平台附加 中大型企业 毛利受自动化影响大 流程与口碑 人才紧缺持续 平台直营竞争 3
AI安全合规与治理 审计、政策、责任链 早中期 seat/项目/平台包 受监管行业 较好 合规模板与工作流 监管细化 被 GRC 大厂吸收 3
AI原生安全创业公司 以 Agent/MCP/runtime 为楔子 早期 试点到平台附加 Frontier AI adopters 早期毛利高 先发与专精 并购潮 独立市场难做大 4

结论上,最值得继续深挖的五个细分方向是:AI SOC / 安全数据湖、Agent 身份与权限治理、RAG/AI 数据安全、AI-SPM/CNAPP 延伸、Agent/MCP/runtime 控制面。这些方向同时满足“预算刚需”“可落入现有采购科目”“能形成平台控制面”“有较强并购价值”四个条件。

投资标的总表与分层

下表只放入本轮检索中高置信、具有较明确财务证据或平台路径的重点上市标的。估值中的“粗略市销率”采用当前市值与最近完整财年收入简单换算,未扣除净现金/有息债务,因此更适合做横向比较而非精确估值。

公司 代码 市场 细分环节 核心AI安全产品/路径 AI安全受益路径 关键财务证据 毛利率/利润率 粗略估值观察 分类 综合判断 关键来源
Palo Alto Networks PANW NASDAQ 平台型、AI runtime、身份、SOC、CNAPP Prisma AIRS、Portkey、Koi、Idira、Cortex 直接受益+平台型;AI Gateway、agent endpoint、identity、SOC 统一控制面 FY25 Q2 NGS ARR 48 亿美元、+37%;RPO 130 亿美元、+21%;FY24 收入 80.3 亿美元;FY26 Q1 NGS ARR 59 亿美元、RPO 155 亿美元 FY24 总毛利率 74.3%;FY26 Q2 非 GAAP op margin 超 30% 当前市值约 1760 亿美元、PE 约 136 倍,预期已高 A 受益最清晰,但估值不便宜
CrowdStrike CRWD NASDAQ AI SOC、XDR、Identity、Cloud、Next-Gen SIEM Charlotte AI、Falcon Flex、Secure AI 直接受益+平台型;AI-native SOC 与多模块扩张 FY25 期末 ARR 42.4 亿美元、+23%;FY25 收入 39.5 亿美元、+29%;Next-Gen SIEM/Cloud/Identity 合计 ARR >13 亿美元;97% gross retention FY25 总毛利率 75%;FY25 FCF 10.7 亿美元 当前市值约 1555 亿美元、粗市销率约 39 倍 A 最强 AI SOC 资产之一,但估值最热
Fortinet FTNT NASDAQ 安全运营、SASE、平台型网络安全 FortiOS、SecOps、Unified SASE 直接受益;AI 带动 SecOps 和 SASE 模块化扩张 Q1 2025 收入 15.4 亿美元、+14%;Unified SASE ARR +26%;Security Operations ARR +30%;RPO 64.9 亿美元 FY24 总毛利率 80.6%;Q1 2025 非 GAAP op margin 34.2% 当前市值约 940 亿美元、PE 约 49 倍 A 受益路径清晰,估值低于最热 AI 安全股
Zscaler ZS NASDAQ SASE/SSE、AI资产与数据安全 AI Security、AI Asset Management、DSPM、Copilot Data Protection 直接+平台型受益;Zero Trust 向 AI 与数据控制面扩张 FY25 Q2 收入 6.48 亿美元、+23%;billings +18%;deferred revenue 18.8 亿美元、+25%;FY24 收入 21.7 亿美元、+34% FY24 gross margin 78% 当前市值约 279 亿美元、粗市销率约 13 倍 A 平台化能力强,估值相对可接受
Rubrik RBRK NYSE 数据韧性、AI数据安全、恢复 Cyber resilience、AI data protection 直接受益;AI 时代数据价值提升,恢复与隔离更关键 FY25 Q4 Subscription ARR 10.93 亿美元、+39%;FY25 收入 8.87 亿美元、+41%;FY26 Q4 收入 3.78 亿美元、+46% 订阅模式推高可见性 当前市值约 129 亿美元、粗市销率约 15 倍 A 不是“Agent 安全”叙事中心,但是真正能收钱的高弹性资产
SentinelOne S NYSE XDR、AI SOC、AI安全平台 Singularity、Purple AI、AI security 中高受益;从 EDR 向 AI-native autonomous security 平台演进 FY2026 收入 10.0 亿美元、+22%;ARR 11.19 亿美元、+22%;$100k+ ARR 客户 1667、+18%;FY2026 non-GAAP op margin 转正到 3% FY2026 GAAP gross margin 74%,non-GAAP 79% 当前市值约 58 亿美元、粗市销率约 5.8 倍 B 弹性大、估值不高,但与平台巨头竞争激烈
Okta OKTA NASDAQ IAM、Agent identity、Zero Trust Identity cloud、RPO/cRPO 驱动 中高受益;Agent 身份、访问与治理长期受益,但 AI 安全收入未单列 FY25 Q4 收入 6.82 亿美元、+13%;RPO 42.15 亿美元、+25%;cRPO 22.48 亿美元、+15%;FY2026 non-GAAP op margin 26% 利润率显著改善 当前市值约 155 亿美元、PE 约 78 倍 B 如果 Agent 身份成为核心预算,可能被重估
Check Point CHKP NASDAQ 平台型、AI应用安全、云与邮件安全 Infinity AI Copilot、GenAI Protect、AI Cloud Protect 中等受益;AI 将增强平台黏性,但财务贡献未单独披露 FY2024 收入 25.65 亿美元、+6%;operating margin 34%;Q1 2025 收入 6.38 亿美元、+7%;Security subscriptions +10%;RPO +11% 高利润、高现金流 当前市值约 144 亿美元、粗市销率约 5.6 倍 B 财务质量优,但 AI 收入验证仍弱
Datadog DDOG NASDAQ 安全数据平台、云安全、AI运维安全 Bits AI Security Agent、MCP Server、Cloud/App Security 平台型受益;AI 加强 observability+security 融合 Q1 2026 收入 10.06 亿美元、+32%;约 4550 个 $100k+ ARR 客户;FY2025 收入 34.3 亿美元、+28%;FY2025 non-GAAP op margin 22% 高毛利、现金流强 当前市值约 762 亿美元、PE 很高,粗市销率约 22 倍 B 好公司,但 AI 安全更多是平台加分项而非独立收入桶
Cloudflare NET NYSE AI应用/浏览器/网络/开发平台安全 AI apps/agents/workforce、Workers、AI features 平台型受益;AI 应用托管与安全并行,安全收入不易拆分 Q1 2025 收入 4.79 亿美元、+27%;落地首个 >1 亿美元 Workers 合同;签下最长年期 SASE 合同;2024 年年化收入 >10 万美元客户 3497 Q1 2025 GAAP gross margin 75.9% 当前市值约 711 亿美元、估值很高 B 平台位置优,但“AI安全”更多是战略解释,不宜等同独立收入
Microsoft MSFT NASDAQ 身份、数据、安全 Copilot、Agent 治理 Security Copilot、Entra agent identity、Defender/Purview/Intune agents 平台型+防御型受益;可吸收大量 AI 安全利润池 23 万+ 组织使用 Copilot Studio 构建 agents/自动化;Security Copilot agents 已覆盖 phishing、data security、identity;Entra 扩展到 agentic workforce 公司级盈利能力极强,但安全收入未单独拆 AI 当前 PE 约 25 倍 B 作为“控制面拥有者”极强,但二级市场上 AI 安全不是单独估值因子
Elastic ESTC NYSE 搜索、安全数据湖、AI SIEM Search AI Company、Elastic Security 防御型/间接受益;AI 会强化其安全数据与搜索定位 Q3 FY2026 收入 4.50 亿美元、+18% 安全与 observability 共平台 当前市值约 57 亿美元 C 有技术价值,但 AI 安全财务外显度弱于头部平台
Tenable TENB NASDAQ Exposure Management、漏洞与资产 Exposure 管理向 AI 资产风险延伸 中等受益;AI-SPM/暴露面可受益,但需产品验证 Q1 2025 收入 2.39 亿美元、+11%;current billings +9%;non-GAAP op margin 20%;Q1 2026 收入 2.62 亿美元、+9.6%,转为 GAAP op profit 利润率改善 当前市值约 27 亿美元 C 如果 AI 资产发现与暴露管理真正成形,存在预期差
Qualys QLYS NASDAQ 漏洞管理、云安全、合规 传统平台加 AI 提效 防御型受益;更多是提升平台效率 Q1 2025 收入 1.60 亿美元、+10%;GAAP gross margin 82%;GAAP operating margin 32%;Adjusted EBITDA margin 47% 极强利润率 当前市值约 35 亿美元、PE 约 17.6 倍 C 财务防守性强,但 AI 安全增长弹性有限
Okta 同行补充:CyberArk 已被 PANW 并购 N/A PAM / Identity Security Idira 作为独立标的已不适用,但身份安全赛道价值被验证 PANW 已完成收购并将其平台更名为 Idira N/A N/A N/A 对“AI 时代身份中心化”是重要佐证
Rapid7 RPD NASDAQ 风险检测、传统安全运营 传统平台补 AI 被冲击风险较高;增长慢、平台化承压 FY2025 收入 8.60 亿美元、+2%;ARR 8.40 亿美元;Q1 2026 收入 2.10 亿美元、同比 -0.3% 现金流为正,但增长显著放缓 当前市值约 4.5 亿美元 E 典型“可能被 AI 安全平台整合/替代”的样本

公司分层。

A 类:PANW、CRWD、FTNT、ZS、RBRK。它们共同特征是:已有明确平台、已有 ARR/RPO/收入加速证据、可把 AI 安全功能转化为平台扩张与更高利润率。

B 类:S、OKTA、CHKP、DDOG、NET、MSFT。受益明显,但要么 AI 安全收入未单列,要么估值已部分反映,要么更多体现为平台控制权而非独立披露。

C 类:ESTC、TENB、QLYS。AI 更像防御型能力或中等弹性扩展,短期财务弹性不如 A/B。

D 类:本轮高置信证据不足,未单独量化排序;这一类更多出现在单点 LLM firewall / prompt defense / 独立 AI red-team 初创公司。这不是否认需求,而是强调产品发布不等于收入落地。支持这一判断的是平台大厂持续内置与并购节奏,而非某一家初创公司的负面结论。

E 类:Rapid7,以及更广泛的传统 SOAR、点状日志、点状 CSPM/DLP/邮件安全。其共同问题是:缺乏身份/数据/AI runtime/平台化控制面,容易被 AI 平台整合。

评分模型。

本报告采用如下主观权重:AI 安全收入直接暴露度 25%、平台地位和客户基础 20%、数据与技术壁垒 15%、产品覆盖与整合能力 15%、财务质量和利润率 10%、成长弹性 10%、估值合理性 5%。据此给出的研究优先级如下(满分 100,为研究排序而非投资建议):

排名 公司 总分 核心逻辑
1 Palo Alto Networks 88 平台完整度最高,连续并购把身份、Agent、AI Gateway、端点与 SOC 收拢到统一控制面
2 CrowdStrike 86 AI-native SOC 与多模块 ARR 兑现最强,但估值最贵之一
3 Fortinet 80 Security Operations 与 SASE 已形成可见 ARR,利润率优秀,估值相对没那么极端
4 Zscaler 79 Zero Trust 向 AI、数据、资产控制面延伸,收入与递延收入增长仍强
5 Rubrik 76 AI 时代数据韧性的重要性被低估,ARR 与订阅增长快
6 SentinelOne 73 自主化 SOC 与平台升级逻辑清晰,估值相对温和
7 Okta 71 Agent 身份长期价值高,但短期 AI 安全收入未单列
8 Microsoft 70 控制面极强,但 AI 安全是集团级变量,证券弹性不如纯安全股
9 Check Point 69 利润率高、估值低,但 AI 叙事强于收入验证
10 Datadog 68 数据平台价值高,但安全只是平台的一部分,估值偏高
11 Cloudflare 66 AI apps/agents/workforce 的位置很好,但“AI安全”更偏战略叙事
12 Tenable 64 Exposure 管理若延伸到 AI 资产,可能有预期差
13 Qualys 61 财务质量高,AI 弹性较弱
14 Elastic 59 有数据湖价值,但安全/AI 货币化能见度一般
15 Rapid7 42 被平台整合与预算迁移冲击风险高

反向风险评分(“被 AI 安全平台冲击风险”)中,风险最高的样本是:Rapid7 > 传统独立 SOAR/日志工具 > 单点漏洞管理 > 独立 prompt/jailbreak 小工具 > 点状 CSPM/DLP。原因在于这些领域最容易被平台吸收,且最难形成身份+数据+运行时的复合护城河。

INVESTOR Q&A · 投资者问答

投资者问答

关于本研报有疑问?在下方提问,运营团队会基于研报内容用 AI 协助整理回答,已答内容将在此公开展示。

以上分析基于本篇研报内容整理,不构成投资建议,市场有风险。

MENTIONED · 本研报提及 15 个标的
代码 公司 行业 现价 市值 库内研报
MSFT.US
微软
科技 · 基础软件
$384.93
-1.55%
$2.86T 1 篇 →
PANW.US
派拓网络
科技 · 基础软件
$352.89
+6.84%
$265.62B 1 篇 →
CRWD.US
CrowdStrike Holdings, Inc.
科技 · 基础软件
$210.73
+12.14%
$191.34B 1 篇 →
FTNT.US
飞塔信息
科技 · 基础软件
$166.83
+3.87%
$115.40B 1 篇 →
NET.US
科赋锐
科技 · 基础软件
$281.75
+4.53%
$95.27B 1 篇 →
DDOG.US
Datadog, Inc.
科技 · 应用软件
$270.73
+4.03%
$92.64B 1 篇 →
OKTA.US
Okta, Inc.
科技 · 基础软件
$154.62
+10.81%
$24.09B 1 篇 →
ZS.US
Zscaler, Inc.
科技 · 基础软件
$152.09
+7.24%
$22.93B 1 篇 →
ESTC.US
Elastic N.V.
科技 · 应用软件
$62.32
-0.18%
$6.48B 1 篇 →
S.US
SentinelOne, Inc.
科技 · 基础软件
$19.92
+7.39%
$5.07B 1 篇 →
RBRK.US
Rubrik, Inc.
科技 · 基础软件
$70.22
+1.42%
$17.37B 暂无
CHKP.US
Check Point软件科技
科技 · 基础软件
$122.33
+0.36%
$13.70B 暂无
QLYS.US
科力斯
科技 · 基础软件
$111.3
-0.78%
$5.38B 暂无
TENB.US
Tenable Holdings Inc
科技 · 基础软件
$26.87
-0.04%
$4.32B 暂无
RPD.US
Rapid7 Inc
科技 · 基础软件
$6.73
-0.59%
$746M 暂无