笔者曾在安全行业从业多年,并参与过企业安全审计工作。本文将分析 AI Agents 进入企业带来的挑战,并从安全治理的角度挑选一些相关标的,供读者参考;文末也会给出配置建议。
本文的核心观点是:AI agents 在企业的采用速度,已领先于审计、权限、代码归因、漏洞治理与合规流程的成熟速度。因此,为企业 AI Agents 安全提供护航的公司,将随着新的安全事件与挑战频发而逐步受到重视,进而获得更多预算与资本市场的上行机会。
文章将会从安全风险分析,治理相关标的和观察标的三个部分来论述。

AI Agents 全面进入企业所带来的安全风险
早在 2023 年以前,软件开发工具里面的代码助手大多还停留在编辑器内的代码补全阶段:早期以正则表达式和关键字匹配的静态补全为主,辅以基于抽象语法树(AST)的语法纠错/推断,主要开发环境还是以 VSCode/JetBrains 的内建能力为主,加上少数基于 LSP 的知名插件占据了主流应用。在那个阶段,企业软件(开发/运维)的供应链攻击暴露面还比较可控也比较传统——靠证书签名、漏洞和桌面安全,插件及代码扫描等,就可以对主要威胁进行防范。
而随着ChatGPT 的横空出世,直接导致了早期的各类 Copilot,以及随后写代码的"完全体"——coding agent 的出现,则进一步放大了企业在软件供应链上的攻击面:频繁的权限请求一旦被疏忽放行,很容易导致误装的 skills 被直接调用并生成代码、遭遇钓鱼式的提示词注入(prompt injection)、悄悄拉取带恶意代码的依赖包……与此同时,公众和企业对 AI 辅助编程的认知与采纳也被大幅推动。
到了 2025—2026 年,企业级的采用形态已明显升级为 coding agents:它们能够读取代码库、理解 issue、生成补丁、执行测试、修改 CI/CD 流水线、发起 PR,并参与 code review,成为半自动化的软件生产单元。它们还可以被自由搭建、组合成各种工作流,以完成极其复杂的任务,但是这样一来,从企业安全治理的角度来看,其安全风险的暴露面也越来越大。

Google DORA《2025年AI辅助软件开发现状报告》显示,在全球近 5,000 名受访技术从业者中,90% 已经在工作中使用 AI,较上一年提升 14 个百分点;受访者最近一个工作日中与 AI 协作的中位数时长约为 2 小时;65% 的受访者表示对 AI 存在中度以上(含"较多"和"非常多")的依赖。
![]() | ![]() |
企业安全威胁暴露面与安全治理相关标的
风浪越大,鱼越贵
既然企业,尤其是市值最高的科技公司,对 AI Agents 的采用已势不可挡,那么随着大规模部署推进,安全问题往往会先表现为 AI 生成代码的质量风险,随后扩展为开发工具链风险,再进一步演变为软件供应链安全风险,最终落到云、身份、数据与运行时防护等更广泛的领域。供应链安全只是其中一环,但它处在“代码进入生产”之前的关键瓶颈位置,因此最容易成为安全预算重新分配的核心入口。为此,我们梳理了一条从以 coding 为主的 AI Agent 出发、通向高附加值科技企业供应链安全的完整传导链条(风险暴露),并分析各环节对应的、可用于解决相应问题的标的:
生产主体的变化所导致的鉴权威胁 当权限的配置与管理从人让渡给 AI Agents(AI 持有大量密钥与权限)时,风险模型的视角也会随之发生根本性转变。例如,当大量 Agents 通过 MCP Server 等与 toolcall 相关的原语,与云服务账号等外部资源交互时,越来越多的非人身份开始持有 Agents Token、GitHub App token 等凭证;开发主体也从“开发者”扩展为“开发者 + agent + IDE 插件 + MCP Server + CI runner + 云服务接口”。这将导致大量非人身份与密钥参与开发流程:agent token、GitHub App token、CI token、云 service account、OAuth grant、包仓库 token、数据库 token 等都会被频繁使用。 安全治理与相关标的: 当安全控制从 human identity 扩展到 NHI(non-human identity)后,能力覆盖范围也随之扩大,涵盖 machine identity、secret governance、PAM、CIEM 以及 least privilege 等方向。PANW(尤其是其对 CyberArk 身份安全能力的整合)、TENB、CRWD、S(底仓)、ZS(底仓)都参与了这一环节的防护。尤其值得注意的是:Palo Alto Networks 已于 2026 年完成对 CyberArk 的收购,并表示将把 CyberArk 的能力整合进自身安全生态。 生产对象变化所带来的安全边界的延展 在过去,开发者是以碳基人类为主体的时候,其安全审计的主要对象是代码库,上游供应链(依赖库,上游服务提供商等),而如今 Agents 开始介入全域开发流程的时候,我们要深入到完整上下文的审计,因为 agent 处理的除了源代码,还有 issue,PR,comment,README,内部文档,API甚至聊天记录等,攻击者可以把恶意指令藏在 issue、README、依赖包说明、网页文档、日志输出或 MCP 返回内容中,诱导 agent 关闭测试、绕过扫描、泄露 secret、拉取恶意包或修改部署策略。甚至这个恶意指令不再需要是精心构建的 shellcode,一段自然语言就可以了。安全治理与相关标的:这个环节对应 AI security posture management、prompt injection defense、MCP gateway、AI runtime firewall、DLP、DSPM 和 agent audit。OWASP LLM Top 10 已将 prompt injection、insecure output handling、training data poisoning、model DoS 以及 supply chain vulnerabilities 列为 LLM 应用的核心风险。对应标的是 PANW、NET、ZS、VRNS、S、TENB。 开发流程和入口的变化 与此同时,Agent 正在把“开发入口”从本地 IDE 扩展到 repo/issue/PR/CI 的全链路:它既能通过 PR、自动修复、批量重构、代码迁移等方式将改动直接并入主干,也会修改 GitHub Actions / GitLab CI、Dockerfile、Terraform、Helm/Manifest 等交付与部署配置。由此,风险从传统代码缺陷(如注入、鉴权/隔离缺失、secret 硬编码、上传/限流校验不足等)外溢到流水线层面:一旦被诱导篡改 pipeline,可能触发 poisoned pipeline execution、关闭安全扫描、绕过审批、泄露凭证/打印 secret、投递恶意产物,或将临时权限固化为长期权限;OWASP CI/CD Top 10 亦将依赖链滥用、流水线投毒、凭证卫生不足、制品完整性校验不当等列为关键风险。 安全治理与相关标的:这一层可以合并理解为“CI/CD 安全治理 + AI AppSec/ASPM”的组合拳:一方面围绕 CI/CD security posture management 与 PBAC(pipeline based access control),落到 branch protection、workflow integrity、secret hygiene、build isolation、least privilege runner、artifact signing、attestation、SLSA provenance 与 release gate(SLSA 的目标是防篡改、提完整性、护构建基础设施);另一方面以 AI AppSec/ASPM 为抓手,覆盖 SAST/DAST/IAST、secret scanning、IaC scanning、secure code review、policy as code 以及 AI 生成代码的 provenance/归因。综合对应标的包括 GTLB、FROG、PANW、CRWD、S、DDOG、TENB;其中 GitLab 将 SAST/DAST/SCA/Secret Detection 等整合为应用安全测试方案,Datadog Code Security 覆盖 SAST/SCA/IAST 等代码安全能力。 来自产品依赖(供应链上游)和可信部署方面的威胁 当 Agent 介入选型与交付后,威胁会从“写代码”外溢到“依赖与制品”的全链路:它可能自动引入开源包、镜像、插件、模型与自动化工作流等上游组件,扩大供应链攻击面;同时生产环境真正部署的是镜像/二进制/IaC 等制品而非源码,agent 触发的构建与变更会让来源与责任更难追溯。结果是企业必须在可信部署前回答并固化一组可审计的证据:制品来自哪个仓库与流程、由谁/哪个 agent 触发、包含哪些依赖,是否完成签名与 SBOM/AIBOM、是否满足 SLSA 与策略检查,从而避免“上游投毒 + 不可追溯交付”的组合风险。 安全治理与相关标的:这一层聚焦“制品与依赖进入交付链路前的可信治理”。核心概念可合并为:供应链可见性与合规证据(SBOM/AIBOM、provenance、release/compliance evidence)+ 制品/依赖完整性与准入控制(artifact integrity、signed builds、secure registry、container/model scanning、build attestation;以及 SCA、dependency firewall、package curation、malicious package detection、license compliance、dependency pinning、private registry/artifact repository)。对应标的主要是 FROG、PANW、GTLB、DDOG、CRWD;其中 Palo Alto Cortex Cloud 强调端到端供应链可见性,JFrog 更偏“制品仓库 + 包/模型治理”的入口把控。 从云原生角度看权限,运行时和数据访问的变化 由于 Agent 生成的代码与 IaC 会直接触达 AWS、Azure、GCP、Kubernetes、Snowflake、Databricks、Supabase、Firebase、Vercel、Cloudflare Workers 等环境,使风险从传统代码漏洞扩展为各类权限配置潜在的滥用。应用上线后,运输形式也从静态代码交付变成 API、LLM endpoint、MCP server、serverless function 与云边缘运行时的持续暴露,进一步带来 prompt injection、PII 泄露、模型滥用、DDoS、bot 枚举、token 滥用和成本型攻击。与此同时,coding agent 和企业 AI agent 会跨代码库、客户数据、日志、文档、邮件、工单和知识库执行任务,数据访问风险的核心变成:Agent 到底继承了谁的权限、是否能间接读取敏感数据、是否会跨权限汇总信息,以及这些泄露路径能否被持续监控。 安全治理与相关标的:对应的安全治理会从过去偏“代码扫描”的单点工具,升级成覆盖云权限、运行时入口和数据暴露面的云原生安全体系。关于权限问题:比如 agent 创建了哪些云资源、哪些存储桶被公开、哪些账号权限过大、哪些 Kubernetes 或 service account 配置有风险,这对应 CNAPP、CSPM、CIEM、KSPM、IaC security 等云安全能力,相关标的包括 PANW、TENB、CRWD、S、DDOG。要保护应用上线后的运行时入口,比如 API、LLM endpoint、MCP server 和 serverless function,防止 prompt injection、PII 泄露、模型滥用、DDoS、bot 枚举、token 被刷和成本型攻击,这对应 WAF、API security、bot management、DDoS protection、AI runtime firewall、LLM/MCP gateway 和 runtime observability,相关标的包括 NET、PANW、ZS、DDOG、CRWD、S。最后,如果要守住数据访问边界,确保 agent 恰当的接触代码、客户数据、日志、文档、邮件和知识库,企业需要知道敏感数据在哪里、谁能访问、agent 是否继承了过大的权限、是否会跨权限汇总数据,这对应 DSPM、AI access monitoring、Copilot/agent 权限可视化和敏感数据修复流程,相关标的包括 VRNS、RBRK、PANW、TENB、ZS、S。
观察标的
在上述令人眼花缭乱的标的中,可以重点观察 PANW 和 ZS:
**PANW 的核心逻辑是“安全平台化”**。它早已不再是单点防火墙公司,产品线覆盖 Strata 网络安全、Prisma Access / SASE、Cortex Cloud、Cortex XSIAM、Cortex AgentiX、Prisma AIRS 等方向。放到你最初那张 AI Agent 安全需求表里,PANW 几乎覆盖 CNAPP、CIEM、NHI security、AI runtime firewall、API security、CI/CD security posture、SBOM、artifact governance、AI SPM 等多个环节。尤其是 Prisma AIRS 聚焦 AI runtime security,可监控 AI 行为,并在实时交互中阻止 manipulation、data exposure 与 unsafe actions;Cortex Cloud 强调从 AppSec、CloudSec 到 SecOps 的统一上下文;Cortex AgentiX 则面向 SOC 和安全流程的 agentic AI 平台,支持 agentic workflows、human-in-the-loop guardrails,并提供 MCP 支持。
ZS 的核心逻辑是“AI Agent 访问控制”。 它的基础盘是 Zero Trust Exchange:将用户、工作负载、IoT/OT、B2B 伙伴与应用之间的访问,改造为基于身份、上下文与策略的一对一连接,并支持大规模 TLS/SSL 检查。该能力在传统阶段对应 ZIA 和 ZPA;进入 AI Agent 阶段后,则自然延伸到治理 agent 可访问的 SaaS、内部应用、数据源、MCP Server 与企业工具。ZS 最新推出的 AI Broker 支持 MCP 与 A2A broker,并配套 Agent Registry,用于明确每个 agent 被允许访问的资源;AI Access Graph 则将 identity、application 与 data source 的连接关系可视化。
财务兑现上,PANW 明显更强。FY2026 Q3 收入同比增长 31% 至 30 亿美元,Next Generation Security ARR 同比增长 60% 至 81 亿美元,RPO 同比增长 36% 至 184 亿美元,TTM adjusted free cash flow margin 达到 38.5%。需要公允地看,这些数字里包含 CyberArk 和 Chronosphere 的并购贡献,所以不能简单当作完全内生增长。可即便考虑这一点,PANW 的规模、现金流和平台销售能力仍然是这组安全标的里最强的一档。
ZS 的财务表现也不差,但瑕疵更多。FY2026 Q3 收入同比增长 25% 至 8.505 亿美元,ARR 同比增长 25% 至 35.25 亿美元,non-GAAP operating margin 达到 23%。问题在于,剔除 Red Canary 收购贡献后,ARR 同比增长只有 21%,净新增 ARR 仅增长 14%。这解释了为什么市场没有像追 PANW、DDOG、FROG 那样追 ZS,因为投资者担心它的内生增长斜率和销售执行。尤其是他们近期销售下滑,销售主管离职,新的仍在招聘中,潜在的冲击了后期销售目标和想象空间。
**AI Agent 安全新增预算会同时流向平台化的安全中枢与零信任访问控制层。PANW 代表已被市场认可的确定性;ZS 代表尚未完全兑现的预期差。换句话说,PANW 是确定性更高的 AI Agent 安全平台股,ZS 则是赔率更高但仍需验证的零信任 AI 访问控制股。 *
Photo by Tasha Kostyuk on Unsplash
附录:
1. AI coding 与 coding agent 渗透率资料
Andrej Karpathy, Vibe Coding Tweet:
https://x.com/karpathy/status/1886192184808149383
Google DORA Report 2025, AI adoption in software development:
https://blog.google/innovation-and-ai/technology/developers-tools/dora-report-2025/
DORA 2025 Report Official Site:
https://dora.dev/dora-report-2025/
Stack Overflow Developer Survey 2025, AI:
https://survey.stackoverflow.co/2025/ai
Stack Overflow Developer Survey 2025, Full Survey:
https://survey.stackoverflow.co/2025
GitLab 2026 AI Accountability Survey Press Release:
https://ir.gitlab.com/news/news-details/2026/GitLab-Research-Reveals-Organizations-Are-Generating-AI-Code-Faster-Than-They-Can-Control-It/default.aspx
GitLab 2026 AI Accountability Survey Resource Page:
https://about.gitlab.com/resources/ai-accountability-survey-2026/
GitHub Copilot Usage-Based Billing Announcement:
https://github.blog/news-insights/company-news/github-copilot-is-moving-to-usage-based-billing/
Microsoft FY25 Q4 Earnings:
https://www.microsoft.com/en-us/investor/events/fy-2025/earnings-fy-2025-q4
Alphabet 2025 Q1 Earnings Call:
https://abc.xyz/investor/events/event-details/2025/2025-Q1-Earnings-Call/
OpenAI, How Agents Are Transforming Work:
https://openai.com/index/how-agents-are-transforming-work/
Microsoft, Accenture Is Rolling Out Copilot to a Workforce the Size of Denver:
https://news.microsoft.com/source/features/digital-transformation/accenture-is-rolling-out-copilot-to-a-workforce-the-size-of-denver/
Reuters, Accenture to Roll Out Copilot to All 743,000 Employees:
https://www.reuters.com/business/accenture-roll-out-copilot-all-743000-employees-boost-microsoft-2026-04-27/
Reuters, Cursor Valuation Nearly Triples to About $30 Billion:
https://www.reuters.com/technology/code-gen-startup-cursor-valuation-nearly-triples-30-billion-latest-funding-round-2025-11-13/
2. AI coding / coding agent 安全事件与研究
Wiz, Exposed Moltbook Database Reveals Millions of API Keys:
https://www.wiz.io/blog/exposed-moltbook-database-reveals-millions-of-api-keys
NVD, CVE-2025-54135, Cursor CurXecute:
https://nvd.nist.gov/vuln/detail/CVE-2025-54135
Cursor GitHub Security Advisory, GHSA-4cxx-hrm3-49rm:
https://github.com/cursor/cursor/security/advisories/GHSA-4cxx-hrm3-49rm
NVD, CVE-2025-55284, Claude Code:
https://nvd.nist.gov/vuln/detail/CVE-2025-55284
Embrace The Red, Claude Code Exfiltration via DNS Requests:
https://embracethered.com/blog/posts/2025/claude-code-exfiltration-via-dns-requests/
OWASP Top 10 for Large Language Model Applications:
https://owasp.org/www-project-top-10-for-large-language-model-applications/
NIST Secure Software Development Framework, SP 800-218:
https://csrc.nist.gov/pubs/sp/800/218/final
OWASP Top 10 CI/CD Security Risks:
https://owasp.org/www-project-top-10-ci-cd-security-risks/
OWASP CI/CD Security, Insufficient Credential Hygiene:
https://owasp.org/www-project-top-10-ci-cd-security-risks/CICD-SEC-06-Insufficient-Credential-Hygiene
SLSA, Supply-chain Levels for Software Artifacts:
https://slsa.dev/
NSA, CISA and Partners Release Shared Vision for SBOM:
https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/4292020/nsa-cisa-and-others-release-a-shared-vision-of-software-bill-of-materials-sbom/
CISA, Software Bill of Materials:
https://www.cisa.gov/topics/information-communications-technology-supply-chain-security/sbom
arXiv, Do Users Write More Insecure Code with AI Assistants:
https://arxiv.org/abs/2211.03622
arXiv HTML, Do Users Write More Insecure Code with AI Assistants:
https://arxiv.org/html/2211.03622v3
arXiv, Package Hallucination in Code Generating LLMs:
https://arxiv.org/abs/2406.10279
USENIX Security 2025, Package Hallucination Paper PDF:
https://www.usenix.org/system/files/usenixsecurity25-spracklen.pdf
Socket, Slopsquatting, How AI Hallucinations Are Fueling a New Class of Supply Chain Attacks:
https://socket.dev/blog/slopsquatting-how-ai-hallucinations-are-fueling-a-new-class-of-supply-chain-attacks
CISA, Supply Chain Compromises Impact Nx Console and GitHub Repositories:
https://www.cisa.gov/news-events/alerts/2026/05/28/supply-chain-compromises-impact-nx-console-and-github-repositories
Nx, Nx Console v18.95.0 Postmortem:
https://nx.dev/blog/nx-console-v18-95-0-postmortem
Unit 42, npm Supply Chain Attack:
https://unit42.paloaltonetworks.com/npm-supply-chain-attack/
CISA, Widespread Supply Chain Compromise Impacting npm Ecosystem:
https://www.cisa.gov/news-events/alerts/2025/09/23/widespread-supply-chain-compromise-impacting-npm-ecosystem
Unit 42, Monitoring npm Supply Chain Attacks:
https://unit42.paloaltonetworks.com/monitoring-npm-supply-chain-attacks/
3. 供应链安全 / AI security / AppSec / Cloud security 产品资料
Palo Alto Networks Cortex Cloud, Software Supply Chain Security:
https://www.paloaltonetworks.com/cortex/cloud/software-supply-chain-security
Palo Alto Networks Cortex Cloud Docs, Software Supply Chain Security:
https://docs-cortex.paloaltonetworks.com/r/Cortex-CLOUD/Cortex-Cloud-Runtime-Security-Documentation/Software-supply-chain-security
Palo Alto Networks Prisma AIRS Docs:
https://docs.paloaltonetworks.com/ai-runtime-security
Palo Alto Networks AI Runtime Security Datasheet:
https://www.paloaltonetworks.com/resources/datasheets/ai-runtime-security
Palo Alto Networks Completes CyberArk Acquisition:
https://investors.paloaltonetworks.com/news-releases/news-release-details/palo-alto-networks-completes-acquisition-cyberark-secure--ai-era/
Palo Alto Networks Completes Portkey Acquisition:
https://www.paloaltonetworks.com/company/press/2026/palo-alto-networks-completes-acquisition-of-portkey-to-secure-ai-agents
Palo Alto Networks, What Is SBOM:
https://www.paloaltonetworks.com/cyberpedia/what-is-software-bill-materials-sbom
JFrog Curation:
https://jfrog.com/curation/
JFrog Xray:
https://jfrog.com/xray/
JFrog Xray Policies:
https://docs.jfrog.com/security/docs/policies-in-jfrog-xray
JFrog, What Is SBOM:
https://jfrog.com/learn/grc/sbom/
GitLab Application Security Testing:
https://about.gitlab.com/solutions/application-security-testing/
GitLab SAST Documentation:
https://docs.gitlab.com/user/application_security/sast/
Datadog Code Security:
https://www.datadoghq.com/product/code-security/
Datadog Code Security Documentation:
https://docs.datadoghq.com/security/code_security/
Datadog Software Composition Analysis Documentation:
https://docs.datadoghq.com/security/code_security/software_composition_analysis/
CrowdStrike Falcon Cloud Security, SBOM:
https://www.crowdstrike.com/en-us/platform/cloud-security/software-bill-of-materials/
CrowdStrike Falcon ASPM:
https://www.crowdstrike.com/en-us/platform/cloud-security/aspm/
CrowdStrike, Securing GenAI Applications with Falcon ASPM:
https://www.crowdstrike.com/en-us/blog/how-falcon-aspm-secures-charlotte-ai-genai-applications/
Tenable One Exposure Management Platform:
https://www.tenable.com/products/tenable-one
Tenable Cloud Security CNAPP:
https://www.tenable.com/cloud-security/products/cnapp
Tenable DSPM:
https://www.tenable.com/cloud-security/solutions/dspm
Varonis DSPM:
https://www.varonis.com/platform/dspm
Varonis Microsoft 365 Copilot Security:
https://www.varonis.com/coverage/microsoft-365-copilot
Varonis Dev Cycle Data Security:
https://www.varonis.com/solutions/dev-cycle-data-security
Rubrik, What Is DSPM:
https://www.rubrik.com/insights/what-is-dspm
Rubrik DSPM Unblocks AI Adoption:
https://ir.rubrik.com/news-events/press-releases/news-details/2024/Rubrik-Data-Security-Posture-Management-Unblocks-AI-Adoption-with-Single-Platform/default.aspx
Rubrik Ransomware Recovery:
https://www.rubrik.com/solutions/ransomware-recovery
Rubrik Cloud Solutions:
https://www.rubrik.com/solutions/cloud-solutions
Rubrik Security Cloud Products:
https://www.rubrik.com/products
SentinelOne Homepage:
https://www.sentinelone.com/
SentinelOne Singularity Platform:
https://www.sentinelone.com/platform/
SentinelOne AI Security Platform:
https://www.sentinelone.com/platform/securing-ai/
SentinelOne AI Security Posture Management Press Release:
https://www.sentinelone.com/press/sentinelone-secures-both-known-and-shadow-ai-services-in-the-workplace-with-new-ai-security-posture-management/
SentinelOne Endpoint Protection Platform:
https://www.sentinelone.com/platform/endpoint-protection-platform/
Cloudflare AI Security for Apps:
https://www.cloudflare.com/products/ai-security-for-apps/
Cloudflare AI Gateway:
https://www.cloudflare.com/products/ai-gateway/
Cloudflare AI Gateway Rate Limiting:
https://developers.cloudflare.com/ai-gateway/features/rate-limiting/
Cloudflare AI Security Reference Architecture:
https://developers.cloudflare.com/reference-architecture/architectures/ai-security-for-apps/
Cloudflare AI Gateway Guardrails:
https://developers.cloudflare.com/ai-gateway/features/guardrails/
Zscaler Agentic AI Zero Trust Product Innovations:
https://www.zscaler.com/press/zscaler-unveils-new-product-innovations-secure-agentic-ai
Zscaler Blog, How Zscaler Secures the Agentic AI Era:
https://www.zscaler.com/blogs/product-insights/how-zscaler-secures-the-agentic-ai-era
Zscaler AI Security:
https://www.zscaler.com/products-and-solutions/ai-security
Google Completes Acquisition of Wiz:
https://blog.google/innovation-and-ai/infrastructure-and-cloud/google-cloud/wiz-acquisition/
Woodward Investor Stock Info, for WWD ticker check:
https://ir.woodward.com/stock-info/default.aspx
4. 网络安全 ETF / covered call ETF 资料
Amplify Cybersecurity ETF, HACK:
https://amplifyetfs.com/hack/
Amplify HACK Cybersecurity Covered Call ETF, HAKY:
https://amplifyetfs.com/haky/
First Trust Nasdaq Cybersecurity ETF, CIBR Summary:
https://www.ftportfolios.com/retail/etf/etfsummary.aspx?Ticker=CIBR
First Trust Nasdaq Cybersecurity ETF, CIBR Holdings:
https://www.ftportfolios.com/Retail/Etf/EtfHoldings.aspx?Ticker=CIBR
iShares Cybersecurity and Tech ETF, IHAK:
https://www.blackrock.com/us/individual/products/307352/ishares-cybersecurity-and-tech-etf
WisdomTree Cybersecurity Fund, WCBR:
https://www.wisdomtree.com/us/products/megatrends/wcbr
Global X Cybersecurity ETF, BUG:
https://www.globalxetfs.com/funds/bug/
标的简介与投资逻辑映射
PANW, Palo Alto Networks
业务范围: 网络安全、SASE、云安全、CNAPP、SOC 自动化、Cortex、Prisma AIRS、AI runtime security、软件供应链安全、身份安全。2026 年完成 CyberArk 收购后,PANW 的身份安全叙事进一步覆盖 human identity、machine identity、non-human identity 和 agentic identity。
对应逻辑: AI coding agent 进入企业 SDLC 后,PANW 可以承接 cloud posture、CI/CD 风险、AI runtime firewall、agent governance、identity security、software supply chain visibility 等多个预算池。
适合文章定位: 平台型核心标的,AI agent 安全与云安全融合主线的代表。
FROG, JFrog
业务范围: 软件供应链平台,核心包括 Artifactory、Xray、Curation、包治理、制品仓库、漏洞与许可证检测、SBOM、模型与二进制制品治理。
对应逻辑: coding agent 会自动拉取 npm、PyPI、Maven、Docker image、IDE extension、AI model 和 MCP tool。FROG 的价值在于把“包、模型、插件、制品进入企业开发环境之前”变成可治理的安全关口。
适合文章定位: 软件供应链安全纯度较高的标的。
GTLB, GitLab
业务范围: DevSecOps 平台,覆盖代码仓库、CI/CD、issue、merge request、SAST、SCA、Secret Detection、DAST、容器扫描、IaC scanning 和 AI code governance。
对应逻辑: coding agent 生成代码、发起 PR、修改流水线之后,GTLB 位于 repo 和 CI/CD 入口,适合承接 AI code governance、secure SDLC、CI/CD security posture 和自动化代码审查需求。
适合文章定位: 开发入口与代码治理标的。
DDOG, Datadog
业务范围: 可观测性、APM、日志、云监控、应用安全、Code Security、SAST、SCA、IAST、运行时上下文分析。
对应逻辑: AI 生成代码带来的安全噪声会很多,DDOG 的价值在于把代码漏洞、依赖风险、运行服务、trace、log、cloud context 和生产暴露面关联起来,用生产可达性做风险优先级排序。
适合文章定位: 从代码到生产运行时上下文的安全标的。
CRWD, CrowdStrike
业务范围: Falcon 平台,endpoint security、cloud security、identity protection、ASPM、SBOM、threat intelligence、MDR、workload protection。
对应逻辑: coding agent 扩大开发者 endpoint、cloud workload、身份凭据和应用运行时风险。CRWD 可以承接 endpoint to cloud、identity threat detection、ASPM 和 runtime SBOM 方向。
适合文章定位: endpoint、cloud、identity、ASPM 融合型平台标的。
TENB, Tenable
业务范围: exposure management、vulnerability management、cloud security、CNAPP、CSPM、CIEM、DSPM、attack path analysis。
对应逻辑: coding agent 会制造更多云资产、权限、服务账号、AI service 和影子资源。TENB 的价值在于统一识别企业暴露面,把漏洞、配置、身份、数据和攻击路径合并成可排序的风险视图。
适合文章定位: 攻击面管理与云权限治理标的。
VRNS, Varonis
业务范围: 数据安全、DSPM、DLP、敏感数据发现、权限治理、自动修复、Microsoft 365 Copilot 安全、AI 数据访问监控。
对应逻辑: coding agent 和企业 AI agent 最终会访问代码、文档、ticket、日志、邮件和客户数据。VRNS 的价值在于判断敏感数据暴露给了谁、AI 能读到什么、是否存在过度共享和跨权限访问。
适合文章定位: 数据权限半径与 AI 数据安全标的。
RBRK, Rubrik
业务范围: cyber resilience、数据备份、不可变备份、勒索恢复、DSPM、云数据安全、数据恢复编排。
对应逻辑: 供应链攻击、恶意包、agent 误操作和勒索软件一旦突破预防控制,企业需要快速发现、隔离、恢复和证明数据完整性。RBRK 处在恢复与数据韧性环节。
适合文章定位: 数据韧性与最后防线标的。
S, SentinelOne
业务范围: Singularity 平台,AI-native endpoint protection、cloud security、identity security、data security、AI-SPM、DSPM、AI app/model/agent 防护。
对应逻辑: SentinelOne 更偏高 beta 单名,风险敞口来自 endpoint/cloud 平台增长、AI-SPM 新产品、竞争格局、利润率改善和市场估值弹性。
底层资产和表现说明: S 是单一公司股票,没有 ETF 底层资产。表现主要取决于公司收入增速、ARR、净留存、利润率、现金流、客户增长和与 CRWD、PANW、MSFT 等平台厂商的竞争。
NET, Cloudflare
业务范围: connectivity cloud、CDN、DNS、DDoS、WAF、API security、bot management、Zero Trust、Workers、AI Gateway、AI Security for Apps、MCP 防护架构。
对应逻辑: coding agent 和 AI app 上线后,会产生 LLM endpoint、MCP server、API 暴露、prompt injection、PII 泄露、bot 枚举、成本型攻击等运行时风险。NET 更适合承接 AI 流量入口、WAF、AI Gateway、MCP gateway 和边缘安全逻辑。
适合文章定位: AI 应用流量层与边缘安全标的。
ZS, Zscaler
业务范围: Zero Trust Exchange、SSE、SASE、ZTNA、SWG、CASB、DLP、AI security、Agentic AI 访问治理、AI Access Graph。
对应逻辑: 企业 AI agent 需要访问 SaaS、内部应用、数据源和外部服务。ZS 的价值在于把 agent、身份、应用、数据和访问路径放进 zero trust 访问控制框架。
适合文章定位: AI agent 访问路径与零信任安全标的。
GOOGL, Alphabet / Google
业务范围: 搜索广告、YouTube、Google Cloud、AI 基础设施、Gemini、企业安全能力。Google Cloud 完成 Wiz 收购后,云安全能力增强。
对应逻辑: GOOGL 可以作为 AI platform 与 cloud security 间接受益标的。安全业务占比被广告、云平台和 AI 基础设施业务稀释,主题纯度低于 PANW、CRWD、FROG、GTLB 等安全软件公司。
适合文章定位: mega-cap AI platform 中的云安全增强标的。
WDWR / WWD / WCBR 口径说明
WDWR: 我没有确认到 WDWR 是主流美股网络安全 ticker。
WWD, Woodward: 若原意是 WWD,Woodward 主要是航空航天和工业控制系统供应商,软件供应链安全主题纯度较低。
WCBR, WisdomTree Cybersecurity Fund: 若原意是 WCBR,则属于网络安全 ETF,见下方 ETF 部分。
ETF / 高 beta 篮子与表现
HACK, Amplify Cybersecurity ETF
底层资产: 跟踪 Nasdaq ISE Cyber Security Select Index,覆盖网络安全硬件、软件和服务公司。
费用率: 0.60%。
规模和持仓: 发行商页面显示截至 2026-07-07 净资产约 27.08 亿美元,23 只持仓。2026-07-08 前十大持仓包括 PANW、AVGO、CRWD、FTNT、CSCO、NET、GD、OKTA、QLYS、NOC。
表现: 截至 2026-06-30,NAV YTD 30.60%,1 年 21.69%,3 年年化 27.70%,5 年年化 11.79%,10 年年化 16.42%,成立以来年化 13.54%。
文章定位: 网络安全 beta 工具,适合替代单名择股风险。
HAKY, Amplify HACK Cybersecurity Covered Call ETF
底层资产: 通过 HACK 底层股票或 HACK ETF 获得网络安全敞口,同时卖出部分价外 covered calls,目标是 15% 以上年化期权权利金收入。
费用率: 0.65%。
规模和持仓: 2026-07-07 净资产约 304 万美元,84 只持仓。2026-07-08 前十大持仓包括 PANW 8.55%、CRWD 8.09%、FTNT 6.56%、CSCO 5.85%、OKTA 5.85%、AVGO 5.77%、TENB 5.27%、NET 4.97%、RBRK 4.75%、VRNS 4.73%。
收益与表现: 截至 2026-06-30,distribution rate 18.84%。截至 2026-06-30,NAV 1 个月 4.43%,3 个月 33.73%,YTD / since inception 27.04%。
文章定位: 收入型网络安全敞口。适合震荡行情或想用期权权利金降低波动的组合;在强趋势上涨行情里,covered call 会限制部分上行。
CIBR, First Trust Nasdaq Cybersecurity ETF
底层资产: 跟踪 Nasdaq CTA Cybersecurity Index,覆盖科技和工业板块中从事网络安全协议、网络、计算机、移动设备和数据完整性防护的公司。
费用率: 0.58%。
规模和持仓: 截至 2026-07-07,总净资产约 142.29 亿美元,42 只持仓。2026-07-06 前十大持仓包括 PANW 9.75%、FTNT 9.04%、CRWD 8.38%、CSCO 7.27%、AVGO 6.43%、NET 3.93%、OKTA 3.70%、FFIV 3.32%、ZS 3.13%、RBRK 2.80%。
表现: 截至 2026-05-29,NAV 3 个月 41.64%,YTD 24.81%,1 年 24.69%,3 年年化 26.92%,5 年年化 15.40%,10 年年化 18.29%,成立以来年化 15.31%。3 年统计口径显示 CIBR 标准差 23.67%,beta 1.02。
文章定位: 规模较大的网络安全 ETF,覆盖 PANW、CRWD、NET、ZS、RBRK、FROG、DDOG 等多条安全主线。
IHAK, iShares Cybersecurity and Tech ETF
底层资产: 全球网络安全与相关技术公司。
费用率: 0.47%。
表现和价格: BlackRock 页面显示,截至 2026-07-07,NAV 为 63.16 美元;截至 2026-07-06,NAV total return YTD 为 32.58%。
文章定位: iShares 体系下的全球网络安全 ETF,适合需要 BlackRock 产品体系和相对低费用率的投资者。
WCBR, WisdomTree Cybersecurity Fund
底层资产: 网络安全产品和服务相关公司,组合更偏成长软件和中型安全公司。
费用率: 0.45%。
规模和持仓: 截至 2026-07-07,资产约 1.0924 亿美元。前十大持仓包括 CRWD 7.44%、DDOG 6.38%、TENB 6.36%、PANW 6.32%、FTNT 5.96%、OKTA 5.96%、S 5.56%、RBRK 5.08%、CVLT 4.51%。
市值结构: 大盘股约 54.51%,中盘股约 40.12%,小盘股约 5.37%。
表现: 截至 2026-06-30,NAV YTD 30.15%,1 年 13.81%,3 年年化 23.30%,5 年年化 8.32%,成立以来年化 7.86%。
文章定位: 高 beta 网络安全 ETF,底层更偏成长软件和中盘安全公司,适合放在进攻型篮子里。
BUG, Global X Cybersecurity ETF
底层资产: 跟踪 Indxx Cybersecurity Index,投资网络安全技术公司。
费用率: 0.50%。
规模和持仓: 截至 2026-07-07,净资产约 12.6 亿美元,31 只持仓。前十大持仓包括 OKTA 8.08%、FTNT 7.54%、PANW 7.53%、CRWD 7.00%、TENB 5.84%、QLYS 5.45%、VRNS 5.24%、RBRK 4.92%、CVLT 4.67%、ZS 4.58%。
风险和表现: 截至 2026-06-30,beta vs S&P 500 为 1.09,标准差 20.70%。截至 2026-06-30,1 年 3.09%,3 年年化 16.37%,5 年年化 6.31%,成立以来年化 15.25%。
文章定位: 高 beta 网络安全 ETF,组合集中度较高,包含多只成长型安全软件公司。
文章中可直接使用的标的分组
核心平台型
PANW: AI agent 安全、云安全、软件供应链、身份安全、AI runtime security。CRWD: endpoint、cloud、identity、ASPM、SBOM、runtime risk。ZS: zero trust、agent access、DLP、AI Access Graph。NET: WAF、DDoS、API security、AI Gateway、MCP gateway、AI app runtime security。
开发与供应链
FROG: package curation、artifact registry、SBOM、模型与制品治理。GTLB: repo、CI/CD、SAST、SCA、secret detection、AI code governance。DDOG: code security、runtime observability、production context、risk prioritization。
暴露面与云权限
TENB: exposure management、CNAPP、CIEM、DSPM、attack path。PANW: CNAPP、Cortex Cloud、Prisma AIRS、identity。CRWD: Falcon Cloud Security、ASPM、runtime SBOM。S: AI-native endpoint、cloud security、AI-SPM。
数据安全与韧性
VRNS: DSPM、Copilot security、敏感数据权限治理。RBRK: DSPM、不可变备份、勒索恢复、数据韧性。
ETF / 组合工具
HACK: 网络安全 beta,覆盖大型平台和安全软件。CIBR: 大规模网络安全 ETF,流动性和资产规模较突出。IHAK: iShares 网络安全 ETF,费用率较低。WCBR: 更偏成长和中盘的网络安全 ETF。BUG: 高 beta 网络安全 ETF,组合集中度较高。HAKY: HACK 网络安全敞口叠加 covered call 收入策略。
夜雨聆风
