
导读
AI 网络安全最容易被理解成一条新增产品线:传统网安公司接入大模型,安全产品会更智能。
但产业变化远比这复杂。模型调用入口掌握在云平台和 MaaS 厂商手中,Agent 的权限体系更接近身份安全和企业软件,知识库与业务接口又牵动数据安全、API 网关和工作流平台。
传统网安公司当然可能获得新机会,但也可能被跨界玩家拆走最有价值的控制点。未来的竞争焦点,将落在谁能真正管理企业 AI 系统的访问、权限、数据、行为与审计。
撰文 | 硬科技雷达
题图 | AI 视觉创作
01|AI 安全先重分了控制权,才会重分收入

新技术进入企业后,收入通常不会按照旧行业名称重新分配,而会跟着新的控制点流动。
后量子密码可能被密码厂商、量子平台、通信设备商和安全服务商共同争夺;AI 安全同样会打破“网络安全公司天然受益”的惯性判断。云平台控制模型调用入口,身份平台控制权限,数据平台控制信息流动,企业软件控制工作流,传统网安公司则掌握网络、终端、日志、攻击检测和应急响应。
AI 系统把这些控制点第一次放进了同一条执行链。
一个企业 Agent 可能同时连接模型、知识库、数据库、邮件、CRM、ERP、浏览器、代码仓库和内部 API。安全问题随之从“是否有人攻入系统”,扩展到“谁能调用模型、模型能看到什么、Agent 可以使用哪些工具、执行结果如何审计、异常后能否恢复”。
因此,AI 安全并不是一条单独出现的产品赛道,更像是一场企业控制平面的重新分配。
这张表背后有一个很直接的结论:
AI 安全不会自动抬高传统网安公司的价值。
它会先拆掉传统网安的边界,再决定哪些公司能留下来。
02|云和模型平台,可能先吃掉基础 AI 护栏

最先被平台化的,往往是离模型 API 最近、最容易标准化的一层能力。
输入输出内容审核、敏感信息识别、提示词攻击检测、越狱识别、调用限流、资源消耗控制、基础审计和生成内容标识,都属于这一类。这些能力很重要,但它们与模型调用入口高度重合,天然适合被封装成模型平台、云服务或 MaaS 的配置项。
阿里云百炼、火山引擎、腾讯云等平台,已经陆续将内容治理、提示词攻击检测、敏感信息保护、调用审计和模型访问控制纳入自身产品体系。对于企业用户而言,很多基础护栏可以随着模型部署、应用接入或 API 调用一同开通。
这会直接改变传统网安公司的位置。
过去,企业建设边界安全、应用防护或数据防泄漏,往往需要采购独立设备或安全平台;现在,一部分 AI 防护能力会在模型调用入口被提前消化。客户若已经使用云端模型服务,额外部署一套功能高度重叠的大模型安全网关,采购意愿未必很强。
因此,传统网安公司若把 AI 安全理解为“给模型前面再加一道网关”,很容易陷入价格和功能的双重挤压。
云平台拥有流量入口、计费系统、客户账户、运行环境和模型服务能力;模型厂商拥有 Prompt、推理、输出和调用日志。传统网安公司的价值,必须进一步向跨模型、跨云、跨业务系统的治理和响应延伸,才能避开与平台默认能力的正面重叠。
基础 AI 护栏会长期存在,但它很可能更像“标配能力”,而不是高溢价的独立市场。
03|Agent 把安全重心推向身份、数据和工具权限

聊天机器人主要生成内容,Agent 则开始进入业务流程。
它会读取企业文档,查询数据库,调用工具,修改工单,生成邮件,操作浏览器,甚至进入审批、采购、客户服务和研发协同流程。随着 Agent 接触的数据和权限不断增加,安全风险会沿着“模型—工具—业务系统”的链条快速放大。
一个模型回答错误,通常影响的是决策质量;一个带有权限的 Agent 执行错误,影响的可能是数据、订单、账号、审批乃至核心业务流程。
因此,企业对 AI 安全的关注点已经从内容过滤延伸到更深的位置:
Agent 使用什么身份登录;
它继承谁的权限;
它能访问哪些数据;
它能调用哪些工具;
工具调用是否越权;
敏感操作是否需要二次确认;
每一次行为能否追溯、审计和回滚。
这类问题天然更靠近身份安全、权限管理、数据安全、API 网关、企业工作流和零信任体系。
微软将 Agent 纳入 Entra 身份体系,强调 Agent 需要独立身份、授权边界、生命周期管理和审计能力;NIST 的相关框架同样把 AI Agent 视为需要独立凭证和最小权限管理的高风险对象。
产业上的含义很直接:
Agent 安全会把一部分价值从网络边界,推向身份、数据和权限控制。
传统防火墙能够识别网络连接,却未必能理解一个 Agent 为什么调用某个 ERP 接口,也很难判断它是否在合法身份下执行了不该执行的业务动作。真正可持续的安全能力,需要把身份、数据、工具、动作和审计记录连接起来。
未来最有价值的 AI 安全产品,不会只提示“这条 Prompt 有风险”。
它还需要回答:
这个 Agent 接下来准备做什么;
它是否有资格做;
它将访问哪些数据;
这个动作能否被阻断、审批和恢复。
谁控制权限,谁就更接近控制 Agent。
04|海外市场已经分成三条路线:SOC、运行时安全与身份控制

海外 AI 安全的产品格局,已经明显分化。
第一条路线是 Agentic SOC,也就是把 AI 嵌入安全运营中心。Google Security Operations、Microsoft Security Copilot、CrowdStrike Charlotte AI 等产品,关注的是告警研判、威胁调查、攻击链还原、响应编排和安全运营自动化。
这条路线的核心壁垒不在模型本身,而在于谁拥有更完整的安全数据和处置权限。终端遥测、云资产、身份日志、威胁情报、检测规则、客户资产图谱和响应工具,构成了安全智能体发挥作用的基础。
第二条路线是 AI Runtime Security。
Palo Alto Networks 的 Prisma AIRS、Cisco AI Defense 以及一批云安全和 AI 安全创业公司,正在把模型、Prompt、RAG、Agent、工具调用、MCP、向量数据库和运行时行为纳入新的防护层。传统应用安全主要保护 Web、API 和服务器,AI 应用则增加了模型输入、上下文、外部工具、记忆和执行链,需要新的运行时观测与控制方式。
第三条路线是 Agent Identity。
当企业中出现大量 Agent,身份系统将从管理员工账号扩展到管理“机器员工”。每个 Agent 都需要明确的所有者、身份、权限、访问范围、生命周期和审计记录。这个方向对身份安全厂商、零信任平台、企业软件和云平台都很重要。
三条路线最终会在企业 AI 控制平面汇合。
SOC 负责发现异常和组织响应,运行时安全负责观察模型与 Agent 的行为,身份平台负责权限和访问控制。任何一家公司若只占据其中一层,都可能在复杂企业环境中失去主动权。
05|国内 AI 安全要跨过四道门:系统安全、产品检测、服务治理与项目交付

国内 AI 安全的采购逻辑,与海外市场存在明显差异。
海外企业常从云平台、安全订阅、身份平台或 SaaS 服务中购买能力;国内政务、金融、运营商、能源、医疗、交通和大型制造企业,通常需要把 AI 项目放进既有的安全体系、数据治理体系和项目验收体系中。
第一道门是系统级安全底座。
等保、关保、数据安全、密码应用、日志审计、身份认证、网络隔离和应急响应,仍然是很多政企项目的基础要求。AI 项目很难绕开这些体系,尤其是涉及行业数据、关键业务和重要基础设施时。
第二道门是产品检测和供应链要求。
网络安全产品并不存在一张覆盖所有场景的统一“AI 安全许可证”。不同产品和项目可能涉及安全检测、认证、密码应用、供应链评估和行业准入要求。对于传统网安公司来说,长期积累的检测能力、合规经验和项目资质,仍然是进入核心客户的重要门槛。
第三道门是生成式 AI 服务治理。
面向公众、具有舆论属性或社会动员能力的生成式 AI 服务,需要履行相应的安全评估、算法备案等要求;生成内容标识、内容治理、日志留存和可追溯能力,也正在成为实际部署中的重要需求。
第四道门是项目交付和本地化运营。
许多政企客户部署 AI,并非单纯调用一个公有云 API,而是要同时完成私有化部署、行业知识库建设、数据分类分级、权限体系梳理、模型评测、安全审计、内容治理、项目验收和后续运维。
因此,国内 AI 安全最先形成收入的地方,往往不是一个独立的 SaaS 订阅。
更可能来自大模型项目上线前后的整体安全改造,包括安全评估、数据与权限治理、私有化部署、安全运营和行业合规服务。
这决定了国内市场的一个特点:
AI 安全产品很难脱离客户现场独立存在。
能力、交付、合规和运维,将共同决定谁能真正进入预算。
06|传统网安公司正在升级,但产品发布不等于收入重构

国内传统网安公司大多在沿着两条路线升级。
第一条是 AI for Security,即用 AI 提升安全运营效率。
奇安信、深信服、360、启明星辰等公司,都在把大模型、智能体、知识库和自动化编排能力接入既有产品线,覆盖告警研判、钓鱼检测、流量分析、威胁情报、漏洞优先级判断、攻击链还原和响应处置。
这一方向与传统网安公司的能力底座高度相关。它们长期积累了终端、流量、SOC、威胁情报、攻防服务和客户资产数据,模型可以在这些数据和工具之间提升运营效率。对于客户来说,这类能力的价值通常表现为减少人工重复劳动、压缩告警研判时间、提高高危事件识别效率。
第二条是 Security for AI,即保护客户自己的大模型、知识库和 Agent。
奇安信的大模型卫士、启明星辰的大模型应用防火墙与访问代理、天融信的大模型安全网关、深信服的 AI 安全护栏,都在尝试覆盖模型访问、提示词攻击、敏感数据、内容治理、调用审计、安全评估和运行时防护。
这条路线更接近新市场,也更容易被跨界厂商包围。
云厂商掌握模型调用入口,身份厂商掌握 Agent 权限,数据安全厂商掌握敏感信息,企业软件厂商掌握工作流。传统网安公司若只提供一个独立网关,很难长期建立足够强的控制力。
真正值得关注的,是它们能否把 AI 安全接入已有 SOC、XDR、零信任、数据安全、云安全和安全服务体系,进一步形成跨模型、跨系统、跨部门的治理能力。
这也是当前产业化最需要保持克制的地方。
很多厂商已经发布 AI 安全产品,也出现了客户试点、项目落地和行业案例,但新能力是否形成独立收费,是否进入标准产品目录,是否带来持续订阅、托管运营和复购收入,仍然需要时间验证。
传统网安公司最有可能获得的短期收益,通常来自三个方向:
提升原有项目的竞争力与交付效率;
为政企客户的大模型项目提供安全评估、治理和集成服务;
将安全运营从一次性项目延伸为持续服务。
真正的第二增长曲线,要看这些服务能否从“项目附加项”变成“长期运营收入”。
07|传统网安公司最危险的,不是做得慢,而是站错位置

AI 安全的价值,并不由产品名字决定,而取决于企业愿意把什么能力交给你控制。
最容易被平台吸收的是基础护栏。内容审核、敏感词过滤、基础 Prompt 检测、输出过滤、调用限流和简单水印,将越来越多地成为模型平台和云服务的默认能力。这部分市场仍有需求,但利润空间会受到平台能力快速扩张的挤压。
竞争最激烈的是模型网关、AI 应用防火墙和安全评估工具。这类产品处在模型平台、云安全厂商、传统网安公司和初创公司的共同竞争区,客户会不断比较功能覆盖、部署成本、模型适配能力和与现有系统的集成深度。
真正稀缺的是高控制权能力。
身份权限、敏感数据访问、工具调用审批、Agent 行为审计、跨系统风险关联、自动化响应、行业合规和持续安全运营,决定了企业 AI 系统能否在真实业务中稳定运行。这些能力很难被一个单点产品覆盖,也更难被模型平台单独解决。
未来真正有竞争力的公司,需要回答五个问题:
传统网安公司如果只能发现风险,却无法参与权限、数据和处置控制,就很容易被限制在“告警层”。
能够进入企业 AI 控制平面的公司,才有机会获得更高价值的预算位置。
结语
AI 网络安全不会自动成为传统网安行业的增长红利。
云平台会吸收一部分基础模型护栏,模型厂商会掌握调用入口,身份平台会争夺 Agent 权限,数据安全和 API 平台会控制知识库与业务调用,企业软件则控制最终的工作流和操作入口。
传统网安公司的优势依然存在。
它们掌握终端、网络、云、日志、威胁情报、SOC、攻防服务和行业客户;更重要的是,很多核心行业仍然需要本地化部署、合规交付、项目验收和持续安全运营。
但这些优势不会自然延续。
未来的分水岭,在于传统网安公司能否从卖设备、卖告警、卖项目,升级为企业 AI 系统的安全运营者和治理者。
下一代 AI 安全的赢家,不会只拥有一个更会聊天的安全模型。
它必须真正掌握企业 AI 的权限、数据、行为和风险控制权。
参考资料
国家互联网信息办公室:《网络安全法》《生成式人工智能服务管理暂行办法》《人工智能生成合成内容标识办法》及相关备案公告。
国家互联网信息办公室、公安部、国家市场监督管理总局等:网络安全专用产品安全认证和安全检测相关制度文件。
NIST:《Cybersecurity Framework Profile for Artificial Intelligence》及 AI Agent 身份、权限和风险治理相关文件。
Google Cloud:Google Security Operations、Agentic SOC、Gemini for Security 相关产品资料。
Microsoft:Security Copilot、Microsoft Entra Agent ID、Defender 与 Purview 相关资料。
Palo Alto Networks:Prisma AIRS、AI Runtime Security、AI Security Posture Management 相关资料。
Cisco:Cisco AI Defense、AI 工作负载与企业 AI 安全相关资料。
阿里云百炼、火山引擎、腾讯云等:大模型安全护栏、模型应用防火墙和 AI 应用安全产品资料。
奇安信、深信服、启明星辰、天融信、360 等公司年报、公告及 AI 安全产品资料。
硬科技雷达
看懂科技热点背后的产业变化,理解硬科技的工作逻辑,判断代表性产品的真实价值。
本文仅作产业研究,不构成任何投资建议。
夜雨聆风