“明明安全需求在增加，安全公司卻生存越來越艱難？

2026年2月21日，對(duì)于全球網(wǎng)絡(luò)安全行業(yè)的投資者來說，心更緊了！

隨著Anthropic發(fā)布了漏洞檢測(cè)工具Claude Code Security，美股網(wǎng)安板塊瞬間遭遇“血洗”。JFrog暴跌25%，Akamai狂瀉14%，強(qiáng)如CrowdStrike和Cloudflare也未能幸免，跌幅均8%。這已經(jīng)不是Anthropic第一次發(fā)動(dòng)了，一月初/二月底Claude Cowork插件的發(fā)布已經(jīng)讓軟件工程界震動(dòng)了一次，而這一次，它直接把手術(shù)刀插向了網(wǎng)安公司的心臟。

一些關(guān)注網(wǎng)絡(luò)安全的人開始問：為什么受傷的總是網(wǎng)絡(luò)安全公司？為什么在這個(gè)數(shù)據(jù)爆炸、黑客橫行的AI時(shí)代，本該作為“數(shù)字保鏢”的網(wǎng)安公司，活得卻越來越像“破產(chǎn)邊緣的保險(xiǎn)員”？

宿命論？

被“輕視”的網(wǎng)安往事

我們要搞清楚一件事：網(wǎng)安公司并不是今天才開始“受傷”的。如果回顧過去二十年的互聯(lián)網(wǎng)史，你會(huì)發(fā)現(xiàn)，網(wǎng)絡(luò)安全在很長(zhǎng)一段時(shí)間里，其實(shí)是個(gè)被“放逐”的邊緣地帶。

早期的互聯(lián)網(wǎng)世界，與其說是“賽博城市”，不如說是“籬笆駐營(yíng)”。那時(shí)互聯(lián)網(wǎng)滲透率低，大家的業(yè)務(wù)核心是“跑馬圈地”，沒人關(guān)心籬笆扎得牢不牢。在那個(gè)年代，政府網(wǎng)站、企業(yè)門戶的Bug遍地走，隨便找個(gè)稍微懂點(diǎn)代碼的技術(shù)員，用最原始的SQL注入或跨站腳本（XSS）攻擊，就能像進(jìn)自家后花園一樣進(jìn)出各種核心數(shù)據(jù)庫。

那時(shí)候，安全公司為什么沒這么慘？因?yàn)槟菚r(shí)候的“安全”更像是一種裝飾品，或者是出事后的“創(chuàng)可貼”。但隨著移動(dòng)支付、短視頻信息流（如抖音）、云存儲(chǔ)等需求的爆發(fā)，互聯(lián)網(wǎng)變成了基礎(chǔ)設(shè)施，安全更是一種“剛需”。

然而，這種剛需并沒有讓網(wǎng)安公司過上好日子。原因很簡(jiǎn)單：開發(fā)者的水平跟不上互聯(lián)網(wǎng)膨脹的速度。

絕大多數(shù)的軟件漏洞，歸根結(jié)底都是因?yàn)殚_發(fā)人員水平不夠、安全意識(shí)淡薄。代碼寫得像一鍋亂粥，邏輯漏洞百出。而網(wǎng)安公司多年來扮演的角色，其實(shí)是一個(gè)疲于奔命的“補(bǔ)丁匠”。黑客（尤其是那些初出茅廬、拿公開網(wǎng)站練手的技術(shù)宅）發(fā)現(xiàn)一個(gè)洞，網(wǎng)安公司塞一個(gè)塞子。這種“貓鼠游戲”玩了三十年，網(wǎng)安公司積累了龐大的規(guī)則數(shù)據(jù)庫，靠著賣這些“規(guī)則”收保護(hù)費(fèi)。

這種商業(yè)模式在AI出現(xiàn)之前，雖然累，但還能維持?？涩F(xiàn)在，地基變了。

從“查字典”到“看邏輯”

Anthropic這次發(fā)布的Claude Code Security，之所以讓市場(chǎng)產(chǎn)生恐慌性拋售，是因?yàn)樗嵏擦藗鹘y(tǒng)網(wǎng)安公司的核心資產(chǎn)——規(guī)則庫。

傳統(tǒng)的靜態(tài)分析工具（SAST）是怎么工作的？簡(jiǎn)單說，就是“查字典”。它們擁有一個(gè)包含成千上萬個(gè)已知漏洞特征的數(shù)據(jù)庫。當(dāng)你掃描代碼時(shí)，它會(huì)對(duì)比你的代碼是否符合這些特征。這種方式的弊端顯而易見：如果開發(fā)者用了一種冷門的編程語言，或者漏洞的形式稍微變了個(gè)樣，甚至只是邏輯上的一個(gè)小小繞過，靜態(tài)工具就會(huì)變成“睜眼瞎”。

以下五張圖片是來自Claude在X平臺(tái)發(fā)布的視頻截圖，大家可以稍微看一下：

但AI不一樣。AI是大數(shù)據(jù)與強(qiáng)大算力的結(jié)合體。

就像Anthropic明確表示的那樣，Claude Code Security不再依賴靜態(tài)規(guī)則，而是像一個(gè)真正的“安全研究員”一樣去讀代碼。它會(huì)剖析應(yīng)用程序組件之間的交互，追蹤數(shù)據(jù)的流向。它不是在比對(duì)“形狀”，而是在理解“邏輯”。

這意味著什么？

這意味著以前需要高薪聘請(qǐng)的、經(jīng)驗(yàn)老到的安全專家盯著代碼看三天才能找出的邏輯漏洞，現(xiàn)在Claude只需要幾秒鐘。更扎心的是，它不僅能指出哪里壞了，還直接生成自然語言解釋，并附帶一個(gè)“建議修復(fù)”按鈕。程序員點(diǎn)一下，代碼就重寫了。

于是乎，接下來一定要做的，當(dāng)然是打開Anthropic的招聘頁面看對(duì)于“Security”領(lǐng)域的人才需求，發(fā)現(xiàn)有32個(gè)職位，在Anthropic的15個(gè)正在招聘的teams中的需求量居第5位。雖然最后這32個(gè)職位的人員不一定都開發(fā)安全領(lǐng)域，但也許只有懂安全的人才能做出好的安全工具。

所以，網(wǎng)安公司引以為傲的技術(shù)壁壘，特殊性在哪？

網(wǎng)安公司為何“活得不好”

拋開AI的沖擊不談，現(xiàn)在的網(wǎng)安行業(yè)本身就已經(jīng)處于“亞健康”狀態(tài)。

翻看2025年到2026年初的財(cái)報(bào)，你會(huì)發(fā)現(xiàn)一個(gè)尷尬的事實(shí)：網(wǎng)安公司普遍陷入了營(yíng)收增長(zhǎng)放緩、利潤(rùn)持續(xù)虧損的泥潭。

·獲客成本高昂：為了賣出一套幾十萬美元的安全系統(tǒng)，網(wǎng)安公司需要投入巨大的銷售力量和技術(shù)支持。

·產(chǎn)品同質(zhì)化嚴(yán)重：大家都在賣防火墻、賣終端防護(hù)（EDR），功能大同小異，最后只能陷入價(jià)格戰(zhàn)的內(nèi)耗。

·客戶預(yù)算收縮：全球經(jīng)濟(jì)波動(dòng)下，企業(yè)不再愿意為“昂貴且笨重”的傳統(tǒng)安全套件買單。

在這樣的背景下，OpenAI推出了Aardvark，Anthropic推出了Claude Code Security。這對(duì)于網(wǎng)安公司來說，不是雪中送炭，而是釜底抽薪。

當(dāng)企業(yè)發(fā)現(xiàn)，只要買一個(gè)Claude的企業(yè)版訂閱，就能解決大部分的代碼審計(jì)和漏洞預(yù)警問題時(shí)，他們?yōu)槭裁匆ㄊ兜膬r(jià)格去買一套臃腫的網(wǎng)安軟件？當(dāng)AI能在沙箱里自動(dòng)測(cè)試漏洞被利用的難度時(shí)，那些昂貴的滲透測(cè)試服務(wù)還有多少生存空間？

來自算力的“熱暴力”

我們要深刻理解一點(diǎn)：AI其實(shí)就是一種“大數(shù)據(jù)的暴力美學(xué)”。

以前的網(wǎng)安是“手藝活”，靠的是安全專家的經(jīng)驗(yàn)積累。而現(xiàn)在的AI，是把全球過去幾十年產(chǎn)生的幾十億行代碼、數(shù)百萬個(gè)補(bǔ)丁、無數(shù)次黑客攻擊記錄全部吞噬，然后通過強(qiáng)大的算力轉(zhuǎn)化成一種直覺般的分析能力。

這種能力在移動(dòng)支付、大規(guī)模即時(shí)通訊等高并發(fā)、高復(fù)雜度的場(chǎng)景下，展現(xiàn)出了恐怖的優(yōu)勢(shì)。傳統(tǒng)的安全軟件在處理抖音級(jí)別的海量數(shù)據(jù)傳輸安全時(shí)，往往會(huì)成為系統(tǒng)的性能瓶頸；而AI驅(qū)動(dòng)的安全模塊，可以更智能、更無感地嵌入到 CI/CD（持續(xù)集成/持續(xù)部署）的流程中。

這種“算力紅利”本來應(yīng)該是網(wǎng)安公司的機(jī)會(huì)，但遺憾的是，擁有最強(qiáng)AI底座的公司不是它們，而是Anthropic、OpenAI和Google，以及中國(guó)的阿里、字節(jié)、騰訊、百度等。

一些公司將死于“亞健康”

那么，網(wǎng)安公司是不是真的要徹底消亡了？

大概率的，短期內(nèi)也許會(huì)出現(xiàn)一次劇烈的“行業(yè)大洗牌”。那些純粹靠賣掃描規(guī)則、靠低端人力維持服務(wù)的網(wǎng)安公司，很可能會(huì)像當(dāng)年被數(shù)碼相機(jī)取代的膠卷公司一樣，迅速走向破產(chǎn)或并購。

但對(duì)于頭部的網(wǎng)安巨頭來說，這次暴跌或許是一個(gè)清醒的契機(jī)。

網(wǎng)安公司的角色應(yīng)當(dāng)從單一的防御向轉(zhuǎn)變?yōu)橄到y(tǒng)的管理向，讓安全不再只是單純的攔截，而是成為對(duì)AI模型本身的合規(guī)性、魯棒性的治理。再簡(jiǎn)單粗暴點(diǎn)，既然打不過算力，就必須在應(yīng)用場(chǎng)景上做深。比如如何處理AI產(chǎn)生的虛假安全信心，如何應(yīng)對(duì)專門針對(duì)AI邏輯的攻擊（Prompt Injection等）。

當(dāng)我們看著滿屏的綠光（跌幅），不應(yīng)只感到恐慌，更應(yīng)看到一種生產(chǎn)力的更替。

為什么受傷的總是網(wǎng)絡(luò)安全公司？因?yàn)樗麄兪刂哪莻€(gè)“舊世界”，本身就是建立在信息不對(duì)稱和人力低效的基礎(chǔ)之上的。

AI的出現(xiàn)，不過是像一陣颶風(fēng)，吹散了那些原本就搖搖欲墜的空中樓閣......

對(duì)于開發(fā)者來說，安全不再是昂貴的奢侈品，而是觸手可得的底層能力。

對(duì)于網(wǎng)安公司來說，這是最壞的時(shí)刻，也是唯一的轉(zhuǎn)型窗口。

如果不能把AI變成自己的靈魂操手，那么這些公司最終只會(huì)變成科技革命進(jìn)程中的一顆顆鵝卵石。