行业与公司 * 涉及的行业是美洲科技板块下的软件行业，具体研究主题为网络安全[1] * 报告重点讨论了网络安全行业在人工智能时代下的竞争护城河和终端价值，并基于与行业专家的对话、RSA会议（3月23-26日）以及高盛2月27日活动的见解[1] * 报告提及并分析了多家网络安全公司，包括Cloudflare (NET)、Palo Alto Networks (PANW)、Okta (OKTA)、Fortinet (FTNT)、CrowdStrike (CRWD)、SentinelOne (S)、Wiz、Databricks、Microsoft等[3][5][17][18][20][24][27][28][32][33] 核心观点与论据：AI对网络安全行业的影响 * **前沿AI实验室的定位**：前沿AI实验室（如Anthropic, OpenAI）当前优先发展“基础级”安全功能（如代码安全、渗透测试），以消除用户采用其核心产品的摩擦[3][11] * **“基础级”与“防护级”安全**：AI原生安全能力可分为“基础级安全”（由平台提供商嵌入核心产品以降低采用门槛）和“防护级安全”（由第三方供应商提供的最佳解决方案），两者可能共存[3][14][15][16] * **AI带来的竞争与机遇**：生成式AI（GenAI）加剧了竞争，加速了产品功能的重叠（例如在RSA会议上，约600家公司中有约300家安全运营公司听起来非常相似），但也可能使行业更健康[3][4][21] * AI可能侵蚀“不良粘性”产品的转换成本（例如因迁移困难而难以替换的产品），同时加速用户向创新平台和初创公司转移[3][22][23] * AI可能通过为防御者提供100%的可见性来扭转攻防态势，使攻击者需要做到100%完美才能成功[12][23] * **持久的竞争护城河**：报告认为存在两个持久的护城河，且必须同时存在[3][27] * **数据/遥测收集与执行的控制点**：例如执行深度包检测的防火墙，或已部署在终端/虚拟机上的代理[3][27] * **应用于遥测的安全领域经验**：通过更强形式的AI（如人类强化学习反馈循环）进行复合，转化为更好的威胁检测和修复效果[3][27] * 安全供应商在其专业数据和客户独特数据上训练通用大语言模型（LLM），应能提供更好、更便宜的结果，无论通用LLM的性能如何发展[3][27] * **并购（M&A）的作用**：安全公司善于通过并购吸收突破性创新并快速在庞大客户群中运营，预计在GenAI周期中也会如此[8][28] * 例如，估计Palo Alto Networks对其6个以上Cortex资产在2020-2025年间的内部收益率（IRR）为38%[8][28] * **需求与产品周期**：当前AI安全支出尚未完全显现，存在对成熟产品的预算挤出效应，客户正重新谈判SaaS预算以释放资金用于AI实验和推理[8][30][32] * 预计AI安全的发展将与云安全周期类似：部分功能由LLM和LLM应用捕获，部分由超大规模云提供商捕获，部分由专业安全提供商捕获[30] * 参考云安全案例：云安全支出约占云基础设施支出的2-5%，若AI基础设施支出有类似附着率，将为安全市场总规模（TAM）带来更有意义的顺风，尤其是在2026年及2027年[31] 具体公司观点与动态 * **增量看涨**：Cloudflare（创新速度非常快，于3月24日发布了用于沙盒代理的Dynamic Workers）、Palo Alto Networks（交叉销售和执行能力已验证，积极并购）、Okta（智能身份产品周期）[5] * **观点喜忧参半**：Fortinet（与内存定价相关的防火墙需求前置可能导致下半年业绩波动）、CrowdStrike（对其平台的积极看法部分被高估值和Databricks进入SIEM领域所抵消）、SentinelOne（终端和SIEM领域竞争均加剧）[5] * **Cloudflare**：处理全球超过20%的互联网流量，其边缘网络既是传感器也是执行点，创新节奏高[5][27][32] * 发布了Dynamic Workers，增强了边缘AI用例的灵活性[5][32] * 可能放缓近期的GPU采购，并评估利用现有CPU基础设施进行边缘AI推理[33] * **CrowdStrike**：采用多模型AI架构，使用在专有Falcon遥测数据上训练的小型语言模型进行实时检测，形成了网络强化学习人类反馈（RLHF）循环[20][27] * **Palo Alto Networks**：虚拟防火墙占其产品收入的40%以上，通过并购（如近期收购运行时智能安全公司Koi）和平台化实现增长[18][28][29] * AI应用使其IT服务票证修复所需人手减少了约50%，最高效开发者的生产力提高了约40%[20] * **Microsoft**：将安全研发支出从10亿美元增至40亿美元，E5许可的附着率上升，其E7产品旨在成为企业智能安全的“简易按钮”[17][33] * 在身份和访问管理（IAM）领域，估计其市场份额仍不到总市场规模的10%[17] * **Databricks**：通过推出SIEM产品进入安全市场，旨在通过开放生态系统、不收取数据摄取费用、提供迁移工具Genie等方式，实现比传统方案低80%的总拥有成本（TCO）[3][24] * 通过收购Antimatter和SiftD.ai获得了安全领域专业知识[26] 其他重要内容 * **市场表现**：年初至今（YTD）网络安全股票波动较大，但相对于更广泛的软件板块仍保持约30%的估值溢价（基于EV/Sales NTM）[1][6][7] * **“良好粘性”与“不良粘性”**：报告引入此概念评估公司持久力。“良好粘性”产品因快速创新和高参与度而受客户喜爱（如Cloudflare），“不良粘性”产品则因迁移困难而难以替换，但AI可能降低其转换成本[3][22] * **具体AI安全应用案例**： * **代码安全**：是最成功的用例之一，例如Anthropic的Claude Code Security在开源代码库中发现了500多个以往未被发现的漏洞[12] * **数据安全**：随着LLM应用加速，数据安全保护（DSPM）类别重要性提升（如Cyera），但价值最终累积在网络层还是终端层仍在争论中[32] * **运行时智能安全**：针对AI智能体的运行时保护成为新兴领域（如Oligo，Palo Alto收购的Koi）[8][29] * **行业架构趋势**：尽管多数平台试图拥有数据层，但向更开放、以数据为中心的架构（由Databricks引领）发展的趋势明显，封闭生态系统可能面临阻力[21]