财务数据和关键指标变化 - 第二季度总收入为25.9亿美元，同比增长15% [32] - 产品收入同比增长22%，其中过去12个月软件形态收入占产品收入的45%，高于2025年第二季度末的38% [33] - 服务收入增长略高于13%，其中订阅收入增长14%，支持收入增长12% [33] - 第二季度总毛利率为76.1%，产品毛利率为78.2%，同比提升150个基点，服务毛利率为75.6%，同比下降100个基点 [34][35][36] - 第二季度营业利润率为30.3%，连续第三个季度超过30%，同比扩张190个基点 [37] - 稀释后非GAAP每股收益为1.03美元，再次超过指引区间高端 [37] - 第二季度调整后自由现金流为5.02亿美元，过去12个月调整后非GAAP自由现金流为37.5亿美元，利润率为37.9% [37] - 期末现金及现金等价物为79亿美元，反映了为收购Chronosphere支付的26亿美元现金对价 [37] - 剩余履约义务（RPO）增长23%至160亿美元，其中包含来自Chronosphere收购的约1.5亿美元，当前RPO为71亿美元，增长18% [32] - 第三季度指引：收入预计在29.41亿至29.45亿美元之间，同比增长28%-29%，其中并购贡献3.4亿美元 [42]；稀释后非GAAP每股收益预计在0.78至0.80美元之间 [42] - 2026财年指引：收入预计在112.8亿至113.1亿美元之间，同比增长22%-23%，其中并购贡献7.6亿美元 [44]；营业利润率预计在28.5%至29%之间 [44]；稀释后非GAAP每股收益预计在3.65至3.70美元之间 [44]；调整后自由现金流利润率预计为37% [44] 各条业务线数据和关键指标变化 - 下一代安全年度经常性收入（NGS ARR）增长33%至63.3亿美元，其中包含来自Chronosphere收购的2亿美元贡献，有机增长为28% [31] - 网络安防业务表现突出，SASE业务ARR超过15亿美元里程碑，同比增长约40% [14] - 软件防火墙业务ARR增长约25% [16] - 硬件业务收入增长近10%，部分得益于第五代防火墙的早期采用 [16] - Cortex业务中，XIM的ARR超过5亿美元里程碑，新增近150名客户，总客户数超过600，平均ARR近100万美元 [17] - Prisma AIRS（AI安全）在第二季度末客户数超过100，从第一季度到第二季度客户数增长超过两倍 [20] - Chronosphere在第二季度末产生约2亿美元的ARR，超出预期 [24] - CyberArk在2025年12月季度的订阅ARR增长30%，净新增ARR创纪录，其NGS ARR约为12亿美元 [25][65] - 平台化战略取得进展，第二季度实现约110个净新增平台化，创下季节性强势的第四季度以外的季度记录，平台化总数达到约1,550个，增长35% [8] - 平台化客户的净留存率（NRR）为119%，流失率为低个位数 [9] 各个市场数据和关键指标变化 - 从地域角度看，所有主要区域均表现强劲：美洲增长14%，欧洲、中东和非洲地区（EMEA）增长17%，日本及亚太地区（JAPAC）增长17% [33] 公司战略和发展方向和行业竞争 - 公司战略核心是平台化，旨在通过实时、数据驱动的集成平台应对现代企业安全挑战 [8] - 公司认为AI的普及扩大了攻击面，带来了新的风险类别，碎片化的防御策略不再可行，安全必须作为协调统一的实时系统在关键控制点运行 [6][7][29] - 通过收购CyberArk和Chronosphere，公司战略性地进入身份安全和可观测性这两个大型且处于拐点的市场 [10][25] - 公司致力于投资于技术拐点之前，例如早期投资安全浏览器（通过收购Talon），现已加速SASE业务，售出超过900万份许可 [10] - 公司最新的Unit 42研究表明，端到端攻击速度比一年前快4倍，近四分之一的案例中攻击者能在不到一小时内入侵并窃取数据，但90%的漏洞是可预防的 [8] - 公司目标是在2028财年实现40%的自由现金流利润率，并在2030财年达到200亿美元的NGS ARR [40] 管理层对经营环境和未来前景的评论 - 网络安全需求强劲，公司平台化战略执行良好，推动了第二季度的强劲有机增长 [5] - 公司认为正在进入AI采用的下一个阶段，大型企业正超越实验阶段，开始将基础模型集成到实际工作流程中 [6] - AI的嵌入使安全问题从能力转向控制，这为安全带来了重大影响 [6] - 尽管当前市场对AI和软件存在一些情绪，但公司坚信安全是推动创新安全、大规模前进的赋能层 [7] - 在快速变化的市场中，公司的责任是预见下一个拐点并确保平台准备就绪 [10] - 供应链方面，内存和存储价格对产品销货成本有轻微影响，但公司通过高软件占比、规模优势和定价行动来应对 [36] - 对于近期完成的两项大型收购（CyberArk和Chronosphere），公司已制定详细的整合计划，并专注于无缝整合和保持业务势头 [38][39] - 公司对AI在安全领域的长期影响持乐观态度，认为它将推动更多的安全采用、平台化以及数据一致性与协调 [50] 其他重要信息 - 公司宣布有意收购Koi，以增强其在XDR 2.0中的端点能力，并将其集成到通用AI安全平台中，以保护“智能体端点” [21] - 在第二季度关闭Chronosphere收购后，公司与一家领先的AI模型提供商签署了为期多年、金额达九位数的扩展协议 [24] - 公司通过CyberArk收购获得了Venafi，并正在构建名为“下一代信任订阅”的新能力，包括量子安全能力 [111] - 公司的量子安全能力不仅针对其防火墙，还着眼于企业级能力，并集成了10家其他供应商的量子数据 [111] - 公司已为超过4000名来自CyberArk和Chronosphere的新员工提供了协作工具，致力于打造一个 cohesive 的团队 [38] - 在会计处理上，CyberArk的定期许可前期部分和任何永久许可收入将确认为产品收入，而Chronosphere的所有收入将计入服务收入 [45] 总结问答环节所有的提问和回答 问题: 将当前的AI时代变革与之前的云变革进行比较，AI会淘汰哪些领域，并购是否仍是主要手段 [47] - 管理层认为，与云时代不同，市场不应将AI视为对网络安全的威胁，相反，AI正在推动整合和平台化趋势，因为客户需要更一致的安全栈来利用AI快速响应 [49] - 企业AI采用虽然慢于消费者端，但随着采用加深，安全对话正在增加，Prisma AIRS的客户增速快于当年的云安全产品 [50] - AI的普及将导致对AI代理或基础设施的控制需求增加，从而需要更多安全措施，这总体上是一个积极趋势 [50] - 与云周期初期相比，公司现在的起点不同，平台化战略已经确立，此次变革更侧重于利用现有平台基础应对新的AI安全需求 [49][50] 问题: 大型语言模型（LLM）对SIEM工具的威胁，以及是否面临新的强大竞争对手 [53] - 管理层认为LLM对安全能力是净增的、有益的，例如在数据丢失防护（DLP）和数据分类方面非常有用 [54] - 然而，LLM在提供全面安全方面面临挑战，关键在于其无法达到安全所需的近乎100%的准确率，安全防御必须时刻正确，而攻击者只需成功一次 [55] - AI和LLM是可用于总结、预处理数据的工具，但不会在短期内取代安全产品，每个安全公司都需要利用AI来提供其能力 [55][56] - 公司的安全产品位于边缘并生成专有数据，这些特定领域的威胁数据不会被LLM取代 [56][57] 问题: 与CyberArk的联合管道机会，以及CyberArk在本财年能为ARR贡献多少 [60][61] - 管理层表示，两家公司的销售团队已经意识到如何共同寻找机会，并已为重叠的管道制定了路线图和应对计划 [62] - 整合早期已出现双向的合作案例，例如CyberArk销售代表为Palo Alto产品寻找机会，反之亦然 [62] - 整合过程将是“爬、走、跑”的节奏，因为当前系统不同，需要手动操作，但已建立中央加速团队来推动 [63] - 财务方面，CyberArk在2025年12月的NGS ARR约为12亿美元，Chronosphere贡献了2亿美元ARR，管理层提供的第三季度及全年指引中包含了并购贡献总额，足以进行推算 [65] 问题: SASE业务在第二季度重新加速增长的原因 [69] - 管理层认为，驱动因素在于早期采用第一代SASE点产品的客户，发现其解决方案不足以应对当前威胁和复杂性，因此正在重新考虑，转向能够通过统一架构保护整个混合环境的平台方法 [70][71] - 公司通过平台化方法，能够将硬件、软件、SASE乃至Prisma浏览器安全以一致的方式桥接起来，同时保障安全效果和最终用户体验及生产力 [72] 问题: 客户广泛采用AI代理后网络流量的变化，以及对更广泛网络安防套件需求的影响 [75] - 管理层认为目前判断还为时过早，企业端的AI采用目前主要集中在编码领域（如使用Codex、Cursor等），这正好是Koi解决方案所针对的场景，涉及在端点上生成传统XDR无法看见的代码 [75] - 除此之外，公司开始看到企业在少数应用中运行大量token，这些流量更多在网络内部，目前网络可以处理，挑战在于如何整合这些AI流量以实现可见性、控制和行动 [76] - AI流量尚未对网络层流量产生重大影响，但随着采用率增长和大量数据中心的建设，预计未来会发生变化 [76] 问题: AI对安全的积极影响何时能在财务数据中体现出来 [86][88] - 管理层以云安全的发展历程类比，企业AI应用的全面铺开和产生巨大吞吐量需要时间，目前除了编码应用外，其他企业AI应用尚未大规模驱动资源消耗 [89] - Prisma AIRS的客户增长轨迹与当年的XIM相似，但收入规模尚未体现，因为吞吐量还未通过LLM大量产生 [90] - 公司相信正在建设的数据中心终将被消耗，其中约20%将来自企业端，目前行业正处于构建AI安全平台组件的“空中换引擎”阶段 [91][92] 问题: 如何使CyberArk的技术更易于普通用户使用，以及在保护智能体身份方面的最新认知 [96] - 管理层指出，特权访问管理（PAM）领域本身正在向现代化转型，例如采用即时控制和零常设权限，这既提升了安全性，也改善了最终用户体验 [97] - 公司计划通过CyberArk与Prisma浏览器等产品的集成，在用户工作场景中嵌入安全能力，使其更易使用，从而推动更广泛的采用 [98] - 对于智能体身份，它融合了机器身份和特权用户的特点，CyberArk在这两个基础领域的领导地位使其非常适合应对此市场，未来解决方案将结合独立的CyberArk身份平台以及与Prisma AIRS的集成 [99] 问题: Chronosphere获得九位数扩展协议的关键优势，以及关于第三季度有机NGS ARR增长的澄清 [103] - Chronosphere的关键优势在于其专为可观测性设计的新架构带来的高度可扩展性，使其能够以约为其他竞争对手一半或更低的价格提供能力，因此正在替代现有供应商 [104] - 该笔交易涉及一家大型LLM供应商，预计在未来6-12个月内完成全面过渡，Chronosphere约2亿美元ARR中的一部分即来自此类客户 [104] - 财务官澄清，公司的有机NGS ARR增长与市场预期基本一致，并已重申全年指引，可能市场未充分意识到Chronosphere在第二季度结束前已完成收购并贡献ARR [107] 问题: 量子安全机遇的早期客户反馈和未来展望 [109] - 通过收购CyberArk获得了Venafi，公司正在构建名为“下一代信任订阅”的能力，结合量子安全能力 [111] - 已有约100名客户正在测试相关产品Beta版，反馈非常积极 [111] - 公司的量子安全能力不仅针对其防火墙，还具备企业级视野，并集成了10家其他供应商的量子数据 [111] - 量子密码学和证书管理的传统方式是高度手动的，公司的技术方案旨在通过下一代防火墙等工具自动发现相关资产，并通过自动化实现修复，这不仅能提升安全，也有助于系统可靠性和正常运行时间 [112][113] 问题: 如何管理同时整合两项史上最大收购所带来的压力和执行风险 [115] - 管理层强调，两项收购（尤其是CyberArk）已筹划多月，并非突然发生，公司已与标的团队深入接触并制定了详细整合计划 [116] - 在CyberArk交易完成日，公司已告知每位员工其在新联合组织中的角色、目标和关键结果（OKR） [116] - Chronosphere虽然交易金额大，但本质上是一个250人的工程团队，其产品与公司现有业务差异较大，整合点主要在于与Cortex团队合作将智能体能力融入其平台 [117] - 这是公司的第32或33次收购，拥有丰富的经验教训，并且已提前增加内部资源以确保平稳过渡 [118][119]

财务数据和关键指标变化 - 公司2026财年第二季度总收入为25.9亿美元，同比增长15%，其中产品收入增长22% [32][33] - 非GAAP营业利润率连续第三个季度超过30%，第二季度为30.3%，同比扩张190个基点 [5][37] - 稀释后非GAAP每股收益为1.03美元，超出指引高端 [37] - 第二季度调整后自由现金流为5.02亿美元，过去12个月调整后非GAAP自由现金流为37.5亿美元，利润率为37.9% [37] - 现金及现金等价物为79亿美元，反映了为收购Chronosphere支付的26亿美元现金对价 [37] - 剩余履约义务（RPO）增长23%至160亿美元，其中约1.5亿美元来自Chronosphere收购 [32] - 当前RPO（代表近期收入确认）为71亿美元，增长18% [32] - 产品毛利率为78.2%，同比上升150个基点，主要受软件收入占比提高推动 [34][35] - 服务毛利率为75.6%，同比下降100个基点，反映了向处于增长曲线早期的高增长SaaS产品组合的积极转变 [35][36] 各条业务线数据和关键指标变化 - **下一代安全年度经常性收入（NGS ARR）** 增长33%至63.3亿美元，其中2亿美元来自Chronosphere收购；有机增长率为28% [31] - **网络安防业务**：SASE业务ARR超过15亿美元里程碑，同比增长约40% [14]；软件防火墙业务ARR增长约25% [16]；硬件收入增长近10%，部分受最新第五代防火墙早期采用推动 [16] - **Cortex业务**：XSIAM业务ARR超过5亿美元里程碑，新增近150名客户，客户总数超过600名，平均ARR近100万美元 [17] - **平台化战略**：第二季度实现了约110个净新平台化客户，创下季节性强势的第四季度之外的季度记录；平台化客户总数达到约1550个，增长35% [8]；平台化客户的净留存率高达119%，流失率仅为低个位数 [9] - **AI安全**：Prisma AIRS客户数量从第一季度到第二季度增长两倍多，超过100家 [20]；公司宣布有意收购Koi，以增强端点能力并扩展AI安全平台 [21] - **可观测性**：新收购的Chronosphere在第二季度贡献了约2亿美元的ARR，超出预期 [24]；第二季度与一家领先的AI模型提供商签署了多年期、价值九位数的扩展交易 [24] 各个市场数据和关键指标变化 - 从地域角度看，所有主要区域均表现强劲：美洲增长14%，EMEA增长17%，JAPAC增长17% [33] 公司战略和发展方向和行业竞争 - 公司战略核心是**平台化**，旨在通过集成平台提供统一架构，以应对混合环境、AI普及和攻击速度加快带来的安全挑战 [5][7][8] - 公司认为AI的普及将扩大攻击面，带来新的风险类别，碎片化的防御策略不再可行，实时、数据驱动的平台化方法是确保现代企业安全的唯一途径 [6][7] - 通过收购**CyberArk**（身份安全）和**Chronosphere**（可观测性）来扩展平台支柱，以应对AI时代的安全和数据挑战 [10][11][25] - 在**AI安全**领域，公司正在构建一个通用的AI安全平台（Prisma AIRS），以保护模型、智能体和运行环境，并计划将Koi的端点安全能力整合进来 [19][20][21] - 公司强调**创新引擎**依然强劲，新产品如AIRS和AgentiX获得良好发展势头，并计划将创新计划应用于新收购的业务 [28] - 公司认为大型语言模型（LLMs）对安全是净利好和补充，但因其准确性尚无法达到安全所需的99.9%水平，短期内不会取代安全产品 [54][55] - 公司目标是在2028财年实现40%的自由现金流利润率，并在2030财年实现200亿美元的NGS ARR [40] 管理层对经营环境和未来前景的评论 - 网络安全需求依然强劲，推动了第二季度的强劲业绩 [5] - 企业AI应用正在超越实验阶段，开始将基础模型集成到真实工作流中，这带来了从能力到控制的核心问题转变 [6] - Unit 42研究显示，端到端攻击速度比一年前快四倍，近四分之一的案例中攻击者能在一小时内入侵并窃取数据，但90%的漏洞是可预防的 [8] - 早期SASE采用者正在重新评估其第一代点产品，转而青睐能够保护整个混合环境的平台化方法 [14] - 后量子加密威胁已经存在，攻击者采用“现在收获，以后解密”的策略，这正成为客户高层关注的优先事项 [16] - AI代理的兴起将身份（登录）转变为主要攻击媒介，收购CyberArk使公司成为唯一能同时验证“谁”和保护“什么”的公司 [26] - 技术周期在变化，架构在演进，公司坚持在技术拐点出现前进行投资的纪律，以保持领先地位 [30] - 对于AI在财务数字上的体现，管理层认为目前仍处于早期阶段，类似于云安全的发展轨迹，企业采用滞后于消费者，需要耐心 [89][90] 其他重要信息 - Chronosphere收购于第二季度末完成，因此当季收入贡献微不足道 [32]；CyberArk收购在第三季度初完成，预计将产生23亿美元的现金支出 [38] - 为收购CyberArk，公司发行了1.12亿股股票，并担保了CyberArk 2030年到期的可转换优先票据的支付义务 [38] - 供应链中内存和存储价格对产品销货成本有轻微影响，但公司通过高软件占比、规模优势和计划中的定价行动来应对 [36] - 公司对CyberArk和Chronosphere的整合计划周密，已建立清晰的治理结构和工作流程，优先确保业务势头和员工、客户、合作伙伴的连续性 [39] - 2026财年第三季度和全年指引已包含CyberArk和Chronosphere收购的影响 [40] - 根据会计政策，CyberArk的定期许可前期部分和任何永久许可收入将确认为产品收入，而Chronosphere的所有收入将计入服务收入 [45] 总结问答环节所有的提问和回答 问题: 将当前的AI变革与之前的云变革进行比较，AI会淘汰哪些领域，并购是否是主要手段 [47] - 管理层认为市场将AI视为网络安全威胁令人困惑，实际趋势是客户为更快响应而推动安全堆栈整合与平台化，这从创纪录的平台化数量中可见 [49] - AI在企业的采用虽慢于消费者，但一旦开始，安全对话就会出现，Prisma AIRS的客户增速快于当年的云安全 [50] - 随着企业将关键功能交给AI，对控制和AI基础设施安全的需求将增加，因此AI总体上会推动更多安全采用，尤其是平台化 [50] - 与云周期初期相比，公司现在的起点不同，已拥有强大的平台基础 [48][49] 问题: LLM对SIEM工具的威胁以及可能面临的新竞争对手 [53] - 管理层认为LLM对安全能力是净增和补充，例如在数据防泄露的数据分类和红队演练中很有用 [54] - 但安全的挑战在于需要100%正确，而LLM目前达不到99.9%的准确度，因此不会很快取代安全产品 [55] - AI（包括Copilot）将帮助理解模式、更快回答问题，但不会取代安全产品，因为安全产品在边缘生成专有威胁数据，这不是LLM能替代的系统记录 [56] 问题: 与CyberArk的联合管道机会以及CyberArk在本财年的ARR贡献 [60][61] - 双方团队已就联合机会进行规划，并已开始出现交叉销售案例，早期势头真实，但整合需要经历爬、走、跑的过程 [62][63][64] - CFO指出，CyberArk在2025年12月的NGS ARR约为12亿美元，Chronosphere贡献了2亿美元ARR，并且已提供总的并购贡献指引，足以进行推算 [65] 问题: SASE业务重新加速增长的原因 [69] - 驱动因素包括：早期采用第一代点产品的客户，因其解决方案不足以应对当前威胁和复杂性，正在回归寻求更全面的平台化解法 [70] - 公司平台能够以一致的方式提供从硬件、软件、SASE到浏览器（Prisma Browser）的安全体验，满足用户生产力和安全成果的需求 [71][72] 问题: AI代理普及对网络流量及更广泛网络安全需求的影响 [75] - 目前企业AI采用主要在编码领域（如Codex, Cursor），这恰好是Koi解决方案针对的场景，因为传统XDR对边缘生成的代码不可见 [75] - 企业也开始在少数应用中使用大量tokens，但这类流量更多在网络内部，尚未对网络层级流量产生重大影响，当前挑战在于如何整合AI流量以实现可见性和控制 [76] - 随着数据中心建设和采用增长，预计企业流量将会增加，但现阶段消费者应用远超企业 [76] 问题: AI对安全的积极影响何时能在财务数据中体现 [86][88] - 类比云安全，企业AI应用采用滞后，且需要时间迁移工作负载，因此财务体现会有延迟 [89] - 目前企业AI应用（除编码工具外）尚未产生巨大吞吐量，Prisma AIRS客户增长轨迹与当年XSIAM类似，但收入规模尚小 [90] - 关键在于是否相信正在建设的6000亿美元数据中心将被消耗，公司正在构建AI安全平台的各个部分 [90][92] 问题: 如何使CyberArk技术更易于普通用户使用，以及在保护智能体身份方面的最新认知 [96] - CyberArk所在的特权访问管理领域正在向现代PAM转型，采用即时控制和零常设权限等技术，这既能提升安全也改善用户体验 [97] - 计划通过集成（如与Prisma Browser）来简化用户操作，推动更广泛采用 [98] - 智能体身份将融合机器身份和特权用户的特点，CyberArk因其在这两个基础领域的领导地位而具有优势，部分解决方案将独立，部分将与Prisma AIRS集成 [99] 问题: Chronosphere获得九位数扩展交易的关键优势，以及关于第三季度有机NGS ARR增长的澄清 [102] - Chronosphere的优势在于其专为可观测性设计的新架构，具有极高的可扩展性，成本约为其他厂商的一半，因此能够替代现有供应商 [103] - 该交易涉及替换另一家厂商，过渡期预计6-12个月，部分已实现的2亿美元ARR来自大型LLM厂商 [103] - CFO澄清，公司有机NGS ARR增长与市场预期基本一致，全年指引也已重申，可能市场未充分意识到Chronosphere在第二季度结束前已完成收购 [106] 问题: 量子安全领域的早期客户反馈和未来机会 [108] - 公司通过收购Venafi（属于CyberArk交易）和开发“下一代信任订阅”及量子能力，已与约100名测试版客户进行讨论并获得大量反馈 [109] - 量子能力不仅针对公司自身防火墙，还集成了10家其他厂商的量子数据 [109] - 量子密码学和证书管理的现状多是手动、人力密集型任务，公司计划利用技术（如下一代防火墙）进行自动发现和修复，这既能提升安全，也有可靠性和运行时间效益 [110][111] 问题: 如何管理两起大型收购带来的整合压力和执行风险 [113] - 两起收购（Chronosphere约2-3个月，CyberArk约7个月）已筹备多时，管理层已深入参与，并非突然发生 [114] - 对于CyberArk，在交易完成日即告知每位员工其在新组织中的角色、目标和OKR，系统转换工作正在快速推进 [114] - Chronosphere是一个约250人的工程团队，业务与公司原有业务根本不同，整合点主要在于与Cortex团队合作融入智能体能力 [115] - 这是公司的第32或33次收购，积累了丰富经验，并且已提前增加资源以确保平稳过渡 [116][117]

财务数据和关键指标变化 - 第二季度总收入为25.9亿美元，同比增长15% [30] - 产品收入同比增长22%，其中过去十二个月软件形态收入占产品收入的45%，高于2025年第二季度末的38% [31] - 服务收入增长略高于13%，其中订阅收入增长14%，支持收入增长12% [31] - 总毛利率为76.1%，产品毛利率为78.2%，同比提升150个基点，服务毛利率为75.6%，同比下降100个基点 [32] - 营业利润率连续第三个季度超过30%，第二季度为30.3%，同比扩张190个基点 [34] - 稀释后非GAAP每股收益为1.03美元，超过指引区间上限 [34] - 第二季度调整后自由现金流为5.02亿美元，过去十二个月调整后非GAAP自由现金流为37.5亿美元，利润率为37.9% [35] - 期末现金及现金等价物为79亿美元，反映了为收购Chronosphere支付的26亿美元现金对价 [35] - 下一代安全年度经常性收入（NGS ARR）增长33%至63.3亿美元，其中包含来自Chronosphere收购的2亿美元贡献，有机增长率为28% [29] - 剩余履约义务（RPO）增长23%至160亿美元，其中包含来自Chronosphere收购的约1.5亿美元贡献，当前RPO为71亿美元，增长18% [30] - 第三季度指引：预计NGS ARR在79.4亿至79.6亿美元之间（增长56%，含14.7亿美元并购贡献），收入在29.41亿至29.45亿美元之间（增长28%-29%，含3.4亿美元并购贡献），稀释后非GAAP每股收益在0.78至0.80美元之间 [39][40] - 2026财年指引：预计NGS ARR在85.2亿至86.2亿美元之间（增长53%-54%，含15.2亿美元并购贡献），收入在112.8亿至113.1亿美元之间（增长22%-23%，含7.6亿美元并购贡献），营业利润率在28.5%至29%之间，稀释后非GAAP每股收益在3.65至3.70美元之间，调整后自由现金流利润率为37% [40][41] 各条业务线数据和关键指标变化 - **网络安全性业务**：表现突出，SASE业务年度经常性收入（ARR）超过15亿美元里程碑，同比增长约40%，巩固了其作为规模化增长最快SASE提供商的地位 [12] - **软件防火墙业务**：ARR增长约25%，硬件收入增长近10%，部分得益于第五代防火墙的早期采用 [14] - **Cortex平台与XIM**：XIM的ARR超过5亿美元里程碑，新增近150名客户，总客户数超过600名，平均ARR近100万美元，超过60%的已部署客户实现平均修复时间少于10分钟 [15] - **Prisma AIRS（AI安全）**：从第一季度到第二季度，客户数量增长两倍多，超过100名客户，预订量同期翻倍，已形成九位数的销售管道 [17] - **平台化战略**：第二季度实现了约110个净新增平台化，创下除季节性强劲的第四季度外的季度记录，平台化总数达到约1,550个，增长35%，平台化客户的净留存率高达119%，流失率为低个位数 [7][8] - **浏览器安全**：Prisma Browser已被超过1,500名客户采用，其中10%为全球2000强企业，第二季度以来额外售出200万份许可 [13] - **Chronosphere（可观测性）**：截至第二季度，ARR约为2亿美元，超过预期，超过80%的新客户在上个季度采用了指标、日志、追踪等多种产品 [21][22] - **CyberArk（身份安全）**：在截至2025年12月的季度中，CyberArk实现了创纪录的净新增ARR和30%的订阅ARR增长 [23] 各个市场数据和关键指标变化 - 从地域角度看，所有主要区域均表现强劲：美洲增长14%，欧洲、中东和非洲地区（EMEA）增长17%，日本和亚太地区（JAPAC）增长17% [31] 公司战略和发展方向和行业竞争 - 公司正执行平台化战略，旨在通过统一、实时的数据驱动模型来保护现代企业，该战略的成功体现在平台化客户的高净留存率和低流失率上 [7][8] - 公司通过收购（如CyberArk和Chronosphere）和内部开发（如Prisma AIRS、Cortex AgentiX）积极投资于市场拐点，以扩展平台能力，覆盖身份安全、可观测性和AI安全等新支柱领域 [9][18][23] - 公司认为AI的普及扩大了攻击面，带来了新的风险类别，而碎片化的安全防御策略已不再可行，这强化了其平台化方法的价值主张 [5][6] - 公司最新的Unit 42研究表明，端到端攻击速度比一年前快4倍，近四分之一的案例中攻击者能在不到一小时内入侵并窃取数据，但90%的漏洞是可预防的 [7] - 在SASE市场，公司观察到早期采用者正在重新考虑其第一代单点产品，转而选择能够保护整个混合环境的统一平台架构 [12] - 公司宣布有意收购Koi，以增强其在代理化端点的安全能力，并将其整合到XDR 2.0和通用AI安全平台中 [18] - 公司目标到2028财年实现40%的自由现金流利润率，到2030财年实现200亿美元的NGS ARR [38] 管理层对经营环境和未来前景的评论 - 管理层认为公司正在进入AI采用的下一个阶段，大型企业正超越实验阶段，开始将基础模型集成到实际工作流程中，这导致组织的核心问题从能力转向控制 [5] - 管理层坚信安全是使创新能够安全、大规模推进的赋能层，尽管当前存在关于AI和软件的某些市场情绪 [6] - 管理层看到身份安全和可观测性这两个庞大且成熟的市场正面临拐点，并计划将平台化策略应用于这些领域 [9] - 管理层认为后量子加密威胁已经存在，对手正在采用“现在收集，以后解密”的策略，这正成为客户高层关注的优先事项 [14] - 对于供应链中内存和存储价格上涨对产品成本的轻微影响，管理层认为公司具备良好的应对能力，包括软件占比提高的自然对冲、规模与供应链专业知识，以及将在本财年晚些时候生效的定价行动 [33] - 管理层对整合CyberArk和Chronosphere充满信心，已建立清晰的治理结构和工作流程，优先确保业务势头，同时系统性地整合平台和运营节奏 [37] 其他重要信息 - 公司每日拦截超过300亿次攻击，并在其AI SOC中处理15 PB的遥测数据 [26] - Cortex AgentiX已使200名XIM客户能够构建自主AI代理工作队伍，这些代理可以安全地扩展到第一方和第三方基础设施中进行自动修复 [16] - 公司最近与一家领先的AI模型提供商签署了一份为期多年、金额达九位数的扩展协议，证明了Chronosphere在最大最复杂环境中的扩展能力 [22] - 在收购CyberArk的交易中，公司担保了CyberArk 2030年到期的可转换优先票据的支付义务，并将提出回购要约，同时发行了1.12亿股股票作为收购对价的一部分 [36] - 公司预计在第三季度为CyberArk收购支付23亿美元现金，两笔收购的总现金支出为49亿美元 [36] - 根据会计政策，CyberArk的定期许可前期部分和任何永久许可收入将确认为产品收入，而Chronosphere的所有收入将计入服务收入 [42] 总结问答环节所有的提问和回答 问题: 将当前的AI变革与过去的云变革进行对比，AI会淘汰哪些领域，并购是否仍是主要手段 [45] - 管理层认为，与云转型时公司需要解决上云和提供云安全两大挑战不同，当前市场将AI视为对网络安全的威胁令人困惑，实际观察到的趋势是客户为更快响应而推动安全堆栈整合与平台化，AI的采用将带来更多安全需求，是平台化和数据统一的积极趋势 [46][47][48] - 管理层指出，企业AI采用虽慢于消费者端，但一旦开始，安全对话随即出现，Prisma AIRS的客户增速快于当年的云安全产品，AI的普及将推动更多安全采用 [48] 问题: 大型语言模型对SIEM工具的威胁与机遇，以及是否面临新的强大竞争对手 [51] - 管理层认为LLMs对提升安全能力是净积极和补充性的，例如在数据防泄漏的数据分类和红队演练中很有用，但其挑战在于无法达到安全所需的近乎100%的准确性，因此不会很快取代安全产品 [52][53] - 管理层指出，每家安全公司都需利用AI来提供能力，AI助手（Copilot）有助于更快理解模式和回答问题，但不会取代安全产品，因为安全产品在边缘生成专有威胁数据，这些数据不会被LLM取代 [54][55] 问题: 与CyberArk的联合管道机会，以及CyberArk在本财年能贡献多少ARR [58] - 管理层表示，双方团队已就联合机会进行规划，包括识别重叠管道并制定应对计划，整合初期需要手动操作，但已观察到双向的合作机会，随着相互了解和下一代产品开发，势头将增强 [59][60][61][62] - 管理层澄清，CyberArk在2025年12月的NGS ARR约为12亿美元，Chronosphere贡献了2亿美元ARR，并且全年指引中已包含并购贡献总额，足以进行计算 [63] 问题: SASE业务在第二季度重新加速增长的原因 [67] - 管理层认为，驱动因素包括新客户以及早期采用第一代单点产品的客户回归，寻求更全面的解决方案，公司平台能够跨硬件、软件、SASE乃至浏览器提供一致的安全结果和终端用户体验，这是当前SASE业务的主要趋势 [68][69] 问题: AI代理广泛采用对客户网络流量的影响，以及对更广泛网络安全套件需求的影响 [73] - 管理层表示目前影响尚早，企业AI采用主要在编码领域，这恰恰是Koi解决方案的用武之地，其他企业应用产生的流量目前对网络影响不大，但未来随着AI数据中心建设完成，流量预计会增长，当前的挑战在于如何整合AI流量以实现可见性和控制 [73][74] 问题: AI对安全的积极影响何时能在财务数据中体现 [85] - 管理层以云安全发展历程类比，指出企业AI应用大规模普及需要时间，目前除编码应用外，高吞吐量的企业AI应用尚不多见，Prisma AIRS的客户增长轨迹与当年XIM类似，但收入量级尚未体现，因为流量尚未到来，公司正在构建AI安全平台的各个部分，需要耐心等待市场成熟 [86][87][88] 问题: Chronosphere获得九位数扩展协议的关键优势，以及关于第三季度有机NGS ARR增长的计算澄清 [99] - 管理层指出，Chronosphere凭借全新的可观测性架构实现了卓越的可扩展性和约半价的成本优势，因此能够替代现有厂商，与大型语言模型提供商的合作已通过所有技术障碍，预计在未来6-12个月内完成全面过渡 [100][101][102] - 管理层补充，Chronosphere为高端市场构建了独特方案，下一步将增强企业级集成功能，以便更容易替代现有基础设施 [103] - 管理层澄清，第三季度有机NGS ARR增长大致符合市场共识，并且已重申全年指引，可能市场未充分意识到Chronosphere在第二季度结束前已完成收购 [104] 问题: 关于后量子加密和证书管理的早期客户反馈与未来机会 [106] - 管理层透露，已有100名客户正在测试相关产品的测试版，并获得了大量反馈，公司的量子能力不仅针对自身防火墙，还集成了10家其他厂商的量子数据 [107] - 管理层指出，当前证书管理和量子密码学的替代方案是高度手动的，公司正利用下一代防火墙等技术实现自动发现和修复，这不仅提升安全性，也提高了系统可靠性和运行时间 [108][109] 问题: 如何管理同时完成两笔史上最大收购带来的执行压力和分心风险 [111] - 管理层回应，两笔收购已筹备数月（Chronosphere约2-3个月，CyberArk约7个月），并与管理团队深入沟通，在交易完成日即为每位员工明确了未来角色、目标和关键结果，公司拥有超过30次收购的经验教训，并增加了内部资源以确保平稳过渡 [112][113][114][115]

公司战略与项目发布 - 公司宣布推出其下一代NextWave合作伙伴计划 旨在为AI时代从根本上重新定义合作伙伴的盈利能力 [1] - 该计划将行业焦点从交易量转向奖励提供以平台为中心的安全成果的合作伙伴 以应对行业向AI驱动安全的转变 [1] - 该计划现已向合作伙伴提供 其构建基于全球合作伙伴社群的直接反馈 [2] 计划核心目标与优势 - 该计划旨在使整个合作伙伴生态系统摆脱“单点产品”的陷阱 通过聚焦平台化 帮助合作伙伴整合客户跨网络、云和安全运营中心的安全架构 [2] - 此举旨在降低复杂性 同时增加高利润的、由合作伙伴主导的服务机会 [2] - 计划专注于三大变革性优势：提升合作伙伴利润、加速交易速度、为增长进行再投资 [2] 提升合作伙伴利润 - 通过简化的返利政策聚焦于下一代防火墙、下一代安全和平台化 以奖励专业技术并最大化盈利能力 [7] 加速交易速度 - 通过增强的配置、定价、报价流程以及新的自动化交易注册 结合改进的服务交付工具 以减少摩擦并缩短成交时间 [7] 为增长进行再投资 - 新的合作伙伴发展基金将把获得的返利直接再投资于合作伙伴主导的需求生成、培训和解决方案开发 以推动差异化并加速共同客户的成功 [7] 合作伙伴类型与针对性措施 - 针对托管安全服务提供商：提供可预测的分层定价 以构建高利润的托管服务 确保加速实现成果 [7] - 针对分销商：增强能力、治理和对分销商管理合作伙伴增长的支持 [7] - 针对全球系统集成商：将于今年晚些时候推出“全球路径”计划 奖励跨区域影响力和战略咨询 并提供白手套服务体验 [7] - 针对授权服务中心：提供实时部署协助 以确保客户“首次即正确”的实施 [7] 高管与合作伙伴评价 - 公司首席合作伙伴官表示 合作伙伴生态系统对于满足AI驱动安全平台的需求至关重要 该计划奖励“平台化”而非交易 旨在使合作伙伴能够消除让客户面临风险的复杂性 [4] - 该计划不仅是销售软件 更是确保客户通过单一、统一的防御实现全面的AI驱动韧性 [4] - 合作伙伴Orange Cyberdefense的CEO认为 该计划是深化战略合作与信任的催化剂 通过增加透明度 特别是在团队激励方面 能够更紧密地协调努力 促进共同创新 并定制解决方案以更好地保护共同客户 [5] 公司背景 - 公司是全球AI和网络安全领导者 致力于通过持续创新保护数字生活方式 [5] - 公司为全球超过70,000家组织所信赖 提供跨网络、云、安全运营和AI的全面AI驱动安全解决方案 并辅以Unit 42的专业知识和威胁情报 [5] - 公司对平台化的关注使企业能够大规模简化安全 确保保护推动创新 [5]

核心观点 - 投资银行Citizens分析师Trevor Walsh重申对Palo Alto Networks的“市场表现优于大盘”评级 目标价为250美元 其看好该网络安全公司的平台化潜力[1] 行业趋势 - 网络安全市场正朝着整合的方向发展 行业参与者发现客户持续偏好来自单一供应商的综合性平台解决方案[3] - 行业反馈显示 客户希望“在网络安全领域整合单一供应商”[4] 竞争格局 - 与网络安全领域私营供应商高管的对话持续聚焦于 要取代Palo Alto Networks等大型现有平台非常困难[2] - 一位高管甚至认为 只要公司不出现重大的战略或执行失误 这“就是他们的市场”[2] - 一家身份与网络安全公司的联合创始人表示 “交易中的竞争格局没有改变”[4] 公司优势 - Palo Alto Networks是AI驱动网络安全领域的领导者[4] - 该公司扩展的平台能力“很有帮助” 因为它符合客户整合供应商的需求[4]

公司核心业务表现与战略 - 派拓网络下一代安全业务年经常性收入在2026财年第一季度同比增长29%至58.5亿美元，平台化战略是主要驱动力[1][2] - 平台化战略旨在让客户采用其涵盖网络、云和安全运营的多种产品，从而使用其完整的安全平台[1] - 增长主要来自软件防火墙、安全访问服务边缘和Cortex XSIAM，这些产品客户使用量持续增加[2] 客户采用与平台扩展 - 2026财年第一季度，公司新增约60个净新平台客户[3] - NGS ARR超过500万美元的客户数量增至近170个，超过1000万美元的客户数量增至50个，这两个群体均较去年增长约50%[3] - 大型交易支持增长，例如一家美国电信公司签署了价值8500万美元的XSIAM交易，为有史以来最大；一家美国联邦机构在替换旧工具后签署了价值3300万美元的SASE交易[4] 增长前景与市场预期 - Zacks共识预期显示，公司2026财年和2027财年收入增长率分别约为14.1%和13.3%[6] - 2026财年和2027财年的每股收益共识预期分别暗示同比增长15%和12%[17] - 过去60天内，2026财年的每股收益预期被上调了5美分；过去30天内，2027财年的预期被下调了1美分[17] 同业竞争态势 - 竞争对手如CrowdStrike和SentinelOne也通过平台扩展和人工智能创新取得进展[7] - CrowdStrike的下一代SIEM在2026财年第三季度创造了净新ARR记录，因其相比成本高、速度慢的旧SIEM工具更具吸引力[8] - SentinelOne在2026财年第三季度的ARR同比增长23%，增长由其AI优先的Singularity平台和Purple AI的采用增加推动[9] 估值与市场表现 - 过去三个月，派拓网络股价下跌15.6%，同期Zacks安全行业指数下跌14%[10] - 公司远期市销率为11.24倍，低于行业平均的12.17倍[14] - 公司目前Zacks评级为3（持有）[19]

行业与公司研究纪要总结 涉及的行业与公司 * 行业：网络安全软件行业 [1] * 覆盖公司评级： * **增持 (Overweight)**：PANW, CLBT, NTSK, ZS, VRNS, FROG, CRWD, SAIL, OKTA, TENB, CHKP, ESTC [1] [25] [32] * **中性 (Neutral)**：IBM, GTLB, CYBR, S, RPD [1] [32] * **减持 (Underweight)**：FTNT, AI, QLYS [1] [13] [32] 核心观点与论据 2026年行业展望 * 对2026年网络安全软件行业持**积极看法**，认为需求环境健康、预期合理，存在多个优于预期的执行机会 [13] * 预计2026年将是**相对轻松的一年**，网络安全支出将得到高水平需求、更可预测的支出环境以及推动整个行业转型和效率提升能力的支持 [14] * 网络安全预算压力**有利于平台型厂商**，IT安全预算增速预计将低于去年，安全支出占IT支出的比例预计将下降，但压力主要来自与人员相关的支出，软件支出预计仍将保持健康 [22] * **人工智能 (AI) 构成行业顺风**：AI已被证明是威胁环境的加速器，威胁的数量和复杂性持续增加；从供应商角度看，随着企业AI项目从试点转向生产，多个细分领域将受益 [23] * **并非所有“平台”都生而平等**，预计支出将青睐平台供应商，尤其是那些能够整合多个高优先级支出类别的平台 [24] 2025年市场回顾 * 2025年市场表现分化：能够执行并整合份额的公司（“拥有者”）实现了更好的基本面表现，而任何执行失误、份额损失或被AI颠覆的预期都因估值收缩而被放大（“未拥有者”）[14] * 覆盖范围内公司的平均EV/NTM销售额倍数**收缩了约1倍**，但表现优异者的倍数扩张被执行疲软者的倍数收缩所抵消 [47] * FROG的倍数扩张最多（6.1倍），股价年内上涨125%，其次是CRWD（扩张4.5倍，股价上涨超40%），表现归因于坚实的执行和有效的预期管理 [53] * 执行问题/预期管理不佳/特殊问题拖累了S、FTNT、VRNS、AI和RPD等股票的表现 [47] [53] 增长前景与高优先级支出类别 * 安全预算增长放缓：47%的受访CISO表示2025年安全预算增加，39%持平 [59] [63] * 安全预算占整体IT预算的比例在下降，但下降主要源于人员配置和自动化变革，软件支出预计保持稳定 [63] * SecOps、端点、网络、云和身份安全占安全软件支出的**一半** [63] * 网络安全风险仍是CEO和董事会的**顶级关切** [64] [69] * **增长仍然至关重要**：“40法则”仍是评估增长质量的常用指标，但增长在将盈利增长与估值关联时权重更大，报告更倾向于“X法则”框架 [72] * 高增长细分市场（2024-2029年复合年增长率）： * 云安全：24% [83] * 数据/隐私：13% [83] * 端点安全：13% [83] * 应用安全：11% [83] * 网络安全：11% [83] * 身份安全：9% [83] * 最大的安全市场总规模：网络安全（470亿美元）、身份安全（230亿美元）、端点安全（210亿美元）[83] 平台化与整合趋势 * **平台化全面展开**：AI正在使天平向平台解决方案倾斜，平台供应商因能分析和处理其可见系统和网络流量中的遥测数据而具有优势 [93] * 预计2026年平台型厂商将继续胜出，网络、端点、身份领域的赢家包括PANW、ZS、CRWD、SAIL [92] [97] * 市场仍然**高度分散**，企业可能使用超过70家安全供应商，但平台化有潜力简化其技术栈 [98] * **并购活动在2025年加速**，预计将持续到2026年，私募市场在独立网络安全领域持续获得健康投资 [105] * 多家覆盖公司（如TENB, PANW, VRNS, CHKP, ZS, IBM, FTNT, CLBT, S, SAIL, OKTA, CRWD）在2025年进行了技术补强型并购 [105] 关键行业主题 * **AI智能体 (AI Agents) 的兴起**：组织正从试点转向生产部署，驱动系统基础设施升级，为AI平台、治理工具和运维管理解决方案创造需求拐点 [124] * **保护AI安全**：市场高度分散且处于早期，预计大型安全厂商将持续投资，竞争和可用解决方案将增加 [145] [148] * **量子计算威胁临近**：“量子日”指量子计算机能够破解当前公钥密码系统之时，恶意行为者正进行“现在收集，以后解密”的攻击 [153] * **数据安全格局演变**：IDC预测全球数据生成量将从2025年的213 ZB增长到2029年的527 ZB（复合年增长率24.9%），企业数据增长最快（复合年增长率约29.7%）[159] [164] * **SASE/SSE需求保持高位**：53%的受访IT高管表示防火墙更新周期将是考虑转向SASE/SSE的催化剂，预计ZS、PANW、FTNT将受益 [177] [220] * **网络地缘政治冲突加剧**：IT和政府机构是受网络威胁影响最严重的部门，国家行为体的主要目标国是以色列、美国、阿联酋 [181] [182] * **政府支出增加**：联邦安全预算预计将超过更广泛的自由支配支出增长，为安全供应商提供扩大的合同机会 [189] * **云安全需求保持高位**：云安全是安全领域增长最快的细分市场之一，CSPM预计是云安全中增长最快的子领域 [228] [231] 其他重要内容 估值与基本面 * 覆盖范围内的平均估值倍数已收缩，但高倍数和低倍数股票之间的差距扩大 [111] * 安全软件领域的投资兴趣增加，因为更广泛的软件领域中一些细分领域失宠 [111] * 安全领域存在大量复苏故事，表现将取决于公司重新加速增长同时提供更好盈利和现金流的能力 [111] * 高增长供应商的估值倍数在2025年利率下调后出现最大涨幅 [117] 风险与成本 * Accenture估计，截至2023年的五年间，因安全防护不足导致的**风险价值达5.2万亿美元** [205] * 对于一家2018年收入200亿美元的平均G2000公司，这相当于2019-23年每年平均**2.8%的收入或5.8亿美元**面临风险 [205] * Cybersecurity Ventures预计，到2025年，全球网络犯罪造成的损失成本将达到**每年10.5万亿美元**，高于2015年的3万亿美元 [205] * 企业每年花费超过**2000亿美元**应对威胁和漏洞，但目前只有1250亿美元用于可扩展的技术（软件和硬件）[209] 具体公司观点摘要 * **PANW**：建立了最全面的端到端安全软件平台，具有整合份额的能力，是长期份额整合者；收购CyberArk将使其涉足高优先级的身份安全领域；预计未来几年FCF利润率将扩大至40%或更高 [27] * **CLBT**：是覆盖范围内最具吸引力的加速增长故事之一；股价因对美国联邦政府关门的过度敞口而表现不佳；但有望在积压的联邦和国际政府需求推动下重新加速增长；估值具有吸引力 [28] * **NTSK**：高增长故事，在需求加速的市场中吸引力改善；被视为最佳SASE供应商之一，受益于网络、数据和AI安全需求加速 [29] * **ZS**：受益于网络架构重新评估、云负载采用以及智能体采用带来的攻击面扩张认知；增长加速，积压订单增加，销售效率改善 [30] * **FTNT**（评级下调至减持）：受益于行业防火墙支出周期和重大更新周期，但周期已被定价，增量软件份额正转向更具平台整合优势的同行，为FY26股票带来挑战性局面 [32]

涉及的行业与公司 * **行业**：网络安全 (Cybersecurity) [1][3][4][5][7][10][14][15][17][18][30][52][54][60][62][64][66][68][71][73][74][77][78][79][80][81][82][83][84][85][86][87][88][89][90][91][92][93][94][95][96][97][98][99][100][101][102][103][104][105][106][108][109][110][111][113][114][115][116][117][119][121][122][124][125][126][127][128][130][131][132][135][136] * **主要平台公司**：Palo Alto Networks (PANW), CrowdStrike (CRWD), Zscaler (ZS), CyberArk (CYBR) [3][4][5][7][8][10][12][14][17][18][21][23][28][30][31][32][37][52][54][55][60][68][71][72][73][74][80][81][82][83][84][85][86][90][91][92][93][115][132][135][138][139][140][141][142][143][144][145][146][147][148][149][150][151][152][153][154][155][156][157][158][159][160][161][162][163][164][165][166][167][168][169][170][171] * **其他重点公司**：Netskope (NTSK), SailPoint (SAIL), Okta (OKTA), Fortinet (FTNT), Varonis (VRNS), Tenable (TENB), SentinelOne (S), Rapid7 (RPD), Qualys (QLYS), Check Point (CHKP), Jamf (JAMF), Gen Digital (GEN) [3][4][5][7][9][10][12][14][17][18][21][23][28][30][32][33][34][35][36][37][38][39][40][41][42][43][44][45][46][47][48][49][50][51][52][54][60][62][68][69][70][71][72][73][74][77][78][79][80][81][82][83][84][85][86][90][91][92][93][115][132][135][136][137][190][191][192][193][194][195][196][197][198][199][200][201][202][203][204][205][206][207][208][209][210][211][212][213] 核心观点与论据 * **2025年市场表现高度分化**：网络安全板块全年整体表现基本持平，但内部差异巨大。平台型公司（PANW, CRWD, ZS, CYBR）平均上涨约30%，而非平台型公司平均下跌约12% [3][5][7][14][18][60] * **平台化是核心投资主题**：平台型公司凭借网络效应（更多客户/数据带来更好的遥测/检测能力）和整合效益（减少工具数量、统一控制台），被视为长期的复合增长标的，是参与网络安全投资的最简单方式 [3][5][7][23][54][55][68][80][81][82] * **2026年上半年平台公司可能面临并购整合的短期压力**：PANW和ZS等公司在2025年下半年进行了大规模收购（如PANW收购CyberArk和Chronosphere，ZS收购Red Canary），这些交易在长期看是积极的，但在短期内会造成有机/无机增长拆分不清晰、交易稀释等噪音，可能为其他“最佳单点方案”公司提供表现机会 [4][5][7][8][55][56] * **存在平台之外的投资机会**：市场可能忽视了那些增长故事清晰、基本面扎实、具备AI优势潜力的公司，特别是年增长率超过20%的“最佳单点方案”公司，如NTSK和SAIL，以及增长较低但存在重加速潜力的OKTA [3][5][7][9][23][69][70] * **估值框架显示平台已获溢价，但其他机会仍存**：公司的估值框架已给予平台型公司更高的盈利增长溢价。然而，基于清晰的增长故事、扎实的渠道检查以及AI带来的超额收益潜力，其他公司仍存在跑赢大盘的机会 [3][69][71][73] * **身份安全是表现突出的垂直领域**：身份安全板块在2025年上涨约20%，是网络安全各垂直领域中表现最好的，部分得益于PANW即将收购CYBR的交易 [14] * **AI对网络安全意味着双重机遇与挑战**：AI既扩大了攻击面并催生了更智能的攻击载体（如提示词注入、数据投毒），也带来了通过AI自动化安全运营中心（SOC）以提升防御效率的机会。预计AI安全市场到2028年将超过450亿美元，年复合增长率达30-40% [122][124][125][126][127][128][130][131][132][135] * **SIEM市场正在与XDR和网络安全平台融合**：传统的安全信息与事件管理市场正被融合了XDR、SOAR能力以及AI/ML的云原生下一代解决方案所颠覆。IDC预计该市场将以约10%的年复合增长率增长，到2029年达到113亿美元 [88][89][90][94][95][96][97][98][99] * **量子计算是长期需要关注的领域**：虽然商业化尚早，但量子计算对现有加密方法构成潜在威胁。主要的网络安全供应商已开始投资后量子密码学解决方案 [113][114][115][116][117][119][121][122][124] 具体公司观点与目标价调整 * **Palo Alto Networks (PANW)**：**首选推荐 (Top Pick)**，评级**增持 (Overweight)**，目标价从228美元上调至245美元。估值在平台公司中最合理，为25倍 EV/27年预期自由现金流，与大型软件公司基本一致。公司通过平台化战略和收购（CyberArk, Chronosphere）横跨多个安全领域，定位良好 [5][7][31][138][139][140][141][142][143][144][145][146][147][148][149][150][151][152][153][154] * **CrowdStrike (CRWD)**：评级**持股观望 (Equal-weight)**，目标价从515美元上调至537美元。公司是长期市场领导者，但当前估值较高（18倍 EV/CY27销售额 vs 大型软件同行平均10倍），需要等待更好的入场时机或业绩上修 [5][37][155][156][157][158][159][160][161][162][163][164][165][166][167][168][169][170][171] * **Zscaler (ZS)**：评级**增持 (Overweight)**，目标价从335美元下调至305美元。公司在高速增长的SASE市场处于领先地位，业务势头强劲。AI安全部门年增长超过80%，规模已超4亿美元。近期Red Canary收购带来短期增长拆分噪音，但长期平台建设前景看好 [5][32][172][173][174][175][176][177][178][179][180][181][182][183][184][185][186][187][188][189] * **Fortinet (FTNT)**：评级**减持 (Underweight)**，目标价从66美元上调至70美元。对防火墙刷新周期规模小于预期、服务订阅增长疲软持谨慎态度，认为市场共识预期仍有下调风险 [5][38][190][191][192][193][194][195][196][197][198][199][200][201][202][203][204][205][206][207][208][209] * **Netskope (NTSK)**：评级**增持 (Overweight)**，目标价27美元。看好其作为现代网络安全架构投资标的，有望实现25-30%的持续增长。第三财季总ARR增长加速至34% [9][33][34] * **SailPoint (SAIL)**：评级**增持 (Overweight)**，目标价25美元。股价低于23美元的IPO发行价，估值约为7倍 CY27销售额。公司有望通过SaaS迁移、数十亿美元的旧系统替换机会以及超越核心IGA的扩张，维持20%以上的ARR增长 [9][35][69][70] * **Okta (OKTA)**：评级**增持 (Overweight)**，目标价110美元。增长低于NTSK和SAIL，但作为身份访问管理领域的巨头，聚焦身份安全标准化机会，AI和GTM改进可能成为重加速的催化剂，估值具有吸引力（约4倍 CY27销售额） [9][36][70] * **Varonis (VRNS)**：评级**增持 (Overweight)**，目标价从54美元下调至44美元 [5][136] * **Tenable (TENB)**：评级**持股观望 (Equal-weight)**，目标价从32美元下调至30美元 [5] * **Jamf (JAMF)**：评级**持股观望 (Equal-weight)**，目标价从10美元上调至13美元，主要反映并购可能性 [5][137] * **Rapid7 (RPD)**：评级**持股观望 (Equal-weight)**，目标价从20美元下调至18美元 [5] * **Qualys (QLYS)**：评级**减持 (Underweight)**，目标价从104美元上调至117美元，但仍对长期平台增长和竞争力存疑 [5][45][46] 其他重要内容 * **关键争论与主题**：报告列出了2026年的核心行业争论，包括：平台能否继续跑赢大盘、是否需要持有平台以外的公司、当所有公司都提供弹性计划时会发生什么、大型并购结束的影响、SIEM市场动态、量子计算对安全的意义、企业AI应用对安全的意义 [10][30][52][53] * **数据优势矩阵**：展示了主要公司在网络、终端、身份、云、邮件等安全领域的覆盖广度，PANW, MSFT, CRWD, ZS在跨领域覆盖上领先 [68] * **弹性计划普及**：多家公司推出了平台化/弹性定价计划（如PANW的Platformization, CRWD的Falcon Flex, ZS的Z-Flex），以灵活的方式推动平台采用，预计将继续获得市场青睐 [80][81][82] * **2025年重大并购的影响**：提及了PANW收购CyberArk和Chronosphere、ZS收购Red Canary、谷歌以320亿美元收购Wiz等交易。这些交易凸显了争夺最佳平台解决方案的竞争，以及大型云服务提供商可能更深入参与网络安全领域的趋势 [8][83][84][85][86] * **网络安全估值水平**：网络安全公司整体交易估值约为0.6倍 EV/26年预期销售额增长率 和 1.8倍 EV/26年预期自由现金流增长率，略高于整体软件板块（约0.5倍和1.4倍），但与大型软件公司基本一致（0.6倍和1.6倍） [14] * **风险提示**：报告包含摩根士丹利可能与所覆盖公司有业务往来从而存在利益冲突的声明 [6]

消费者面临的网络安全威胁与成本 - 网络攻击预计将在今年给消费者造成约150亿美元的经济损失 [1] - 攻击形式包括利用合成身份窃取个人数据并与伪造数据结合 创建由人工智能驱动的虚假身份以造成财务损害 [2] - 目前已拦截了140,000个由人工智能驱动的假冒电子商务网站 这些网站旨在攻击消费者并窃取其钱财 [2] 企业面临的网络安全挑战 - 大型企业同样面临网络攻击持续增加的问题 攻击规模更大、更复杂、更具系统性 [4] - 攻击者利用人工智能和生成式人工智能扩大攻击面 对消费者进行大规模个性化攻击 [5] - 攻击的共性在于身份盗用 这已成为攻击者与消费者及企业之间新的主战场 [5] 网络安全行业的平台化趋势 - 平台化是网络安全行业的一个明确趋势 安全公司正试图整合多种服务而非专注于单一领域 [6][7] - 这一趋势源于威胁态势的动态变化 攻击可能针对设备、用户、身份或隐私 [7] - 平台化导致服务高度集中 单一供应商（如Crowdstrike或AWS）的服务中断可能造成大范围瘫痪 [6][10] 针对平台化风险的应对策略 - 提供全面的威胁态势可见性和端到端解决方案被视为关键 [8] - 与专注于企业和中小企业的安全供应商不同 部分公司策略聚焦于消费者 围绕个人数字足迹构建全面防御 [8][9] - 对于消费者而言 主要风险并非来自其自身环境的数据泄露 而是来自受那些安全供应商保护的企业环境被攻破 [11][12] 人工智能在网络安全攻防中的应用 - 攻击者正利用人工智能进行恶意活动 例如创建虚假身份和窃取数据 [13] - 防御方同样利用人工智能来更好地预测风险位置 追踪个人数据在网络的分布 并帮助清理数字信息 [13] - 防御措施包括向用户发出警报 并在必要时提供数据泄露保险和恢复服务 [14]

文章核心观点 - 冬季市场由特定催化剂驱动，包括拉尼娜天气模式推高能源需求、通胀与关税推动消费者转向折扣零售、以及新财年企业IT预算释放[2][4] - 有效的投资策略是进行行业轮动，将资金转向第一季度历史上表现优异的行业，并寻找已完成基础设施建设、能在需求高峰时收获回报的市场领导者[1][3] - 2025年冬季，三个主题汇聚驱动市场活动：全球供暖需求激增、消费者向价值驱动型零售迁移、以及新企业预算的关键释放[4] - 投资者应关注能源、防御性零售和网络安全等行业，并识别如Cheniere Energy、Walmart和Palo Alto Networks等拥有独特优势的市场领导者，以把握季节性增长机会[18][19] 能源行业：供暖需求与基础设施 - 拉尼娜天气模式已确认，历史上会降低气温并推高能源价格，预计将为东北亚和欧洲等关键市场带来低于平均水平的温度[2][6] - Cheniere Energy作为美国领先的液化天然气出口商，其商业模式依赖于套利：在美国以较低价格购买天然气，并在稀缺的国际市场以溢价出售[7] - 公司的主要增长催化剂是基础设施的完成：其Corpus Christi第三阶段扩建项目已于2025年12月达到商业产能，使其处理和运输的天然气量较往年显著增加[8] - 公司通过长期合同锁定了约80%至90%的产能，确保了稳定、可预测的现金流，免受短期市场价格波动影响[9] 零售行业：价值消费与运营效率 - 持续的通胀和关税问题推动价格上涨，促使消费者转向折扣零售巨头[2] - Walmart成功利用了“消费降级”效应，数据显示其正从年收入超过10万美元的家庭中夺取市场份额，这些消费者此前常光顾高端商店，但现在寻求更优惠的食品杂货和必需品价格[10] - 公司的增长不仅在于销售更多产品，更在于提高销售利润率：目标是在2026财年末，实现65%的门店由自动化系统服务，以降低货物移动成本并直接提升利润率[11] - Walmart正在迅速转型为数字广告巨头，其Walmart Connect业务允许品牌在网站和店内投放广告，这部分数字广告收入的利润率远高于传统零售销售[12] 科技行业：网络安全与预算周期 - 新日历年的开始是企业释放新IT预算的时候，在数字威胁上升和监管压力加大的2025年，网络安全已成为不可或缺的支出项目[14] - Palo Alto Networks是此支出周期的主要受益者，其增长驱动力是“平台化”趋势：企业首席信息官为节省成本和简化运营，正寻求将所有安全需求整合到单一供应商，而公司广泛、集成的平台成为理想选择[15] - 公司与美国总务署签署的OneGov协议是一个重要的信心投票，该协议简化了联邦机构采购其AI驱动安全工具的流程，标志着政府层面对其基础设施的信任[16] - 公司正转向更有利可图的商业模式，专注于软件订阅而非一次性硬件销售，这构建了经常性收入基础，为投资者提供了对未来收益的高度可见性[17] 投资策略与市场领导者 - 冬季为股市带来一系列独特变量，从严寒天气模式到企业预算周期的重置[18] - 成功的导航需要平衡的方法，通过关注能源、防御性零售和网络安全等行业，投资者可以定位自己以利用这些趋势[18] - 识别市场领导者如Cheniere Energy、Walmart和Palo Alto Networks，能让投资者持有具备明显优势的公司，这些优势包括满足全球供暖需求的出口能力、提升零售利润率的自动化系统，以及保护企业数据的平台[19]