AI冲击SaaS，为什么网络安全是例外？

聊聊AI冲击软件股这件事，可能是今年美股市场里被说起最多的话题了。

截至6月15日收盘，美股软件ETF IGV年内跌了12.3%，WCLD跌了11.9%。再来看那些明星软件股，跌得就更猛了——Figma跌了50%，Adobe跌了41%。

市场给出的逻辑很直接：AI既然能替代人，那自然也能替代人用的软件。

但有意思的是，在大多数软件股都在往下走的时候，有一类软件反而越来越坚挺，甚至走出了独立行情——没错，就是网络安全。

同样截至6月15日，美股两大网络安全ETF CIBR和HACK，分别涨了20.74%和21.16%，双双跑赢IGV超过30个百分点。更值得留意的是，CIBR前十大持仓里，有6家公司的年内涨幅已经超过50%。

网络安全股非但没有被AI冲垮，反而成了今年美股表现最亮眼的板块之一。

借用Palo Alto CEO Nikesh Arora的一个判断：市场一度担心AI会给SaaS行业带来末日景象，但至少在网络安全领域，情况可能恰好翻转了过来。

背后的道理其实不复杂。AI本身带有高度的不确定性，企业用得越深，就越需要为确定性买单——而网络安全预算，恰恰就是这笔“确定性支出”里最大的一块。这也是为什么网络安全能成为少数几个持续受益于AI普及的软件赛道。

接下来，结合几个具体的产品和案例，把这个逻辑拆开来看看。

管理Agent的“身份与钥匙”

AI带来的第一个新增需求，是管理Agent的身份和权限。

过去企业的权限体系，基本是围绕人设计的。员工有账号，管理员有更高的权限。谁能登录系统、查看哪些文件、修改什么数据，基本都能明确对应到具体的个人。

但Agent出现后，这套规则开始行不通了。

一个Agent可能代表员工读取邮件，也可能替开发者修改代码，甚至还能跟其他Agent协作完成任务。它不再只是一个软件功能，而是成了一个可以代表企业行动的全新身份。

这就引出了一连串新问题：

比如，这个Agent代表谁？能看哪些数据？可以用哪些工具？跑任务时用的是谁的账号和密钥？任务结束以后，这些权限什么时候能收回？

如果这些问题没有清晰答案，企业部署的Agent越多，内部就会冒出越多不受控制的“机器员工”。

这些Agent可能长期持有API密钥，继承了远超任务所需的权限，甚至在员工离职或项目结束后，依然还能访问企业核心系统。

这才是Palo Alto Networks愿意花约250亿美元收购CyberArk的真正原因。

CyberArk最核心的业务，是管理企业内部最敏感的那一层权限。比如数据库管理员账号、云平台密钥、服务器密码，还有那些能修改生产系统的高权限凭证。

过去，它的主要价值在于防止管理员账号被盗，或者阻止员工长期挂着一个不必要的超级管理员权限。

但到了Agent时代，这套能力有了全新的用武之地。

企业可以给Agent分配一个独立身份，只在执行任务时临时授权。比如一个负责查询库存的Agent，只能在几分钟内读取库存数据，任务一完成，权限立刻自动失效。

Palo Alto买下CyberArk，相当于直接买下了一套管理机器员工钥匙的系统。

这也恰好补上了Palo Alto过去最明显的一块短板。过去，Palo Alto能看到网络里发生了什么，却没有足够的能力去决定这个账号为什么拥有权限、这份权限又该在什么时候被收回。

这就是AI给网络安全行业创造出的第一个新市场：当软件开始替人行动，企业就必须像管理员工一样，去管理每一个Agent的身份、权限和责任边界。

盯住那个“AI黑盒”

AI带来的第二个新增需求，是保护模型和Agent的运行过程本身。

AI和传统软件最大的不同，在于它的行为高度不确定，就像一个黑盒。

传统软件按预先写好的代码运行，结果完全可控。而Agent会依据模型的输出动态决定下一步动作。一个再简单不过的指令，背后可能藏着几十次模型调用和工具操作。

任何一个环节出了岔子，AI的行为就可能被彻底带偏。这些风险未必来自传统意义上的病毒，可能只是提示词注入、模型幻觉、错误配置，或者第三方插件和模型本身的问题。

举个例子：一个Agent在浏览网页时，读到一段隐藏的恶意指令，被诱导忽略了本来要完成的任务，转而偷偷上传内部文件。

正因为这样，企业不光需要检查Agent的权限，还必须持续监控它运行时发生的每一步。

Palo Alto Networks的Prisma AIRS主要解决的就是这个问题。

它被部署在企业AI应用和模型之间，专门检查员工向模型输入了哪些信息、模型返回了什么内容，以及Agent调用工具时有没有出现异常。

比如，当员工试图把客户数据输入未经批准的公共模型时，Prisma AIRS可以立刻识别并拦截；当Agent读取到包含提示词注入的网页或文件时，它也能阻断恶意指令。

这相当于在模型与企业数据之间、Agent与外部工具之间，加了一道实时检查层。

从去年5月推出到今年5月底，Prisma AIRS的客户已经从一季度前的约100家增加到了300多家。

Palo Alto管理层预计，这款产品在未来几个季度就能达到1亿美元ARR。今年一季度，公司还拿下了超过2000万美元的单笔订单。

为了更细致地监测AI的每一步动作，今年年初Palo Alto又花了33亿美元收购了可观测性公司Chronosphere，用来提高AI系统的可观测性。

在一季度电话会议上，Palo Alto透露，Chronosphere最新季度的ARR已经突破3亿美元，环比增长超过50%。

其中，一家头部前沿AI实验室贡献的ARR就超过了2亿美元。随着这名客户把业务逐步从原供应商迁移到Chronosphere上，使用量还在增长，成了这一季度增长的主要来源。

除了Palo Alto，CrowdStrike也在切这个市场。

这其实正是CrowdStrike最擅长的领域。它的核心产品EDR，本质上就是监视终端设备上的一举一动——简单说，就是“这台电脑干了什么”。

到了AI时代，CrowdStrike想把同样的事情再做一遍。

它新推出的AIDR，可以监测企业里究竟运行了多少Agent，以及这些Agent正在用哪些身份和凭证。

这话说起来容易，做起来并不简单。

很多企业内部的Agent根本不是由IT部门统一部署的。员工可能自己装了个AI编程工具，业务部门可能接入了第三方Agent，开发团队也可能在云服务器上偷偷跑自己的自动化程序。

安全部门甚至完全不清楚这些Agent是否存在，更别提知道它们连了哪些模型、拿到了什么权限、又访问了哪些敏感数据。

AIDR要做的，就是把这些躲在暗处的Agent全找出来，然后持续监控它们的行为。

截至4月底，AIDR的ARR环比增长超过250%。虽然公司没有透露起始规模，但已经出现了真实的大订单——一家汽车金融公司为超过3万台终端采购了AIDR，合同金额达到七位数美元。

CrowdStrike CEO George Kurtz甚至判断，这很可能是一个长期足以超过EDR（传统终端安全）的市场。换句话说，这是一个至少在百亿美元级别量级的新市场。

给数据中心修一道“防火墙”

AI带来的第三个新增需求，是保护AI背后的基础设施。

在AI数据中心里，模型训练和推理需要频繁地搬运数据。GPU之间要不断交换计算结果，集群也要反复从存储系统读取数据。随着集群规模越建越大，数据中心内部产生的通信量也在指数级地增长。

这类发生在服务器和工作负载之间的通信，在专业术语里叫做“东西向流量”。

过去，企业的安全体系更看重数据中心边界。但AI集群扩大后，内部网络也需要更细颗粒度的隔离。不同用户、不同任务、不同GPU集群之间不能随意互访，否则攻击者只要打穿一个节点，就能顺着内部网络一路扩散。

这里有一个棘手的问题：AI基础设施对性能极其敏感。

一套GPU集群可能价值几千万甚至几亿美元。如果防火墙处理速度跟不上，造成了网络延迟，那些昂贵的GPU就会因为干等着数据而白白闲置。

因此，企业不光需要安全，还要求安全系统不能明显拖慢训练和推理的节奏。

这也让Fortinet成了AI基础设施扩张的直接受益者。Fortinet最核心的优势，就是自研的FortiASIC安全芯片。

传统防火墙主要靠通用处理器来检查网络流量。流量越大，需要消耗的计算资源和电力就越多。

Fortinet的思路是把加密、流量识别和安全检查这些任务，都放到专用芯片里去处理，目标是在更低的功耗下，提供更高的网络吞吐量。

这个能力过去主要服务于大型企业和数据中心，而AI数据中心出现后，它的价值被进一步释放了出来。

今年一季度，Fortinet披露了好几笔与AI基础设施相关的订单，其中包括两笔AI数据中心项目。

一家GPU云基础设施提供商，为了新建AI数据中心采购了FortiGate，用来做数据中心边界保护、内部网络分区和安全连接。另一家生成式AI公司，也为新建的AI数据中心项目采购了Fortinet产品。

截至3月底，Fortinet季度产品收入同比增长41%，远高于服务收入11%的增速。虽然没有明确披露其中有多少收入直接来自AI，但管理层已经明确提到，AI数据中心的部署正在拉动高性能FortiGate的需求。

新的付费逻辑：用得越深，预算越高

除了这些明面上的产品需求，AI也在悄悄改变网络安全行业的付费逻辑。

第一个变化，是安全公司能收费的对象变多了。

过去，企业安全基本是围绕员工、电脑和服务器来设计的，收费模式也通常跟账号、终端或者工作负载的数量绑定。

Agent出现后，这套稳定的对应关系开始松动。

一个员工未来可能同时用好几个Agent，分别处理代码、邮件、数据查询和业务流程。哪怕企业员工总数没变，需要管理的机器身份和访问权限也可能大幅增加。

这给安全公司创造了一个全新的付费对象。

第二个变化，是安全需求开始直接跟AI的实际使用量挂钩。

模型每运行一次，就会产生新的数据输入、模型输出和工具调用。AI系统用得越频繁，需要检查、记录和审计的行为就越多，安全成本自然也跟着水涨船高。

目前，Palo Alto的Prisma AIRS Runtime API已经开始按Token用量来授权，让AI的使用规模可以直接转化为收入。

总结一下，对普通SaaS公司来说，AI可能会减少一部分人工席位。但对网络安全公司来说，情况恰恰相反。

AI天然带有不确定性，而企业的经营却高度依赖稳定、可控和可追责。这两者之间的落差，不会随着AI的普及而消失，反而会在模型和Agent进入核心业务之后不断放大。

AI用得越深，企业愿意为确定性支付的安全预算就越高。这也正是网络安全能成为少数持续受益于AI普及的软件赛道的根本原因。