安全的钱要换地方花了
2026 年 2 月 20 日,Anthropic 宣布把 Claude Code Security 以 “limited research preview” 的方式集成进 Claude Code:它可以扫描代码库、定位安全漏洞、给出针对性补丁建议,但所有修复必须经过人类审核才能落地。
这条发布本身并不神秘:行业里早已有 SAST/DAST、SCA、fuzzing、符号执行、红队审计,甚至也已有“AI 辅助安全”。真正触发资本市场强烈反应的,是 Anthropic 近乎“用事实宣告”的那部分:其 Frontier Red Team 在对开源项目测试时披露,Claude Opus 4.6 在“几乎不依赖专用脚手架、无需特殊提示”的情况下找出了 500+ 个此前未知的高严重度漏洞,且强调其发现路径更像研究员:探索、追踪上下文、尝试证伪、再给出修复建议。
随之而来的股价下挫,被媒体直接描述为“网安与开发安全相关标的同步受冲击”,包括 CrowdStrike、Cloudflare、Okta 等;JFrog 与 GitLab 等“开发链路”公司也被连带抛售。
如果只把它理解成“又一个扫描器抢份额”,会低估市场反应的逻辑。更准确的说法是:市场在重新贴现一个可能的结构变化——安全行业长期存在的“告警经济”正在被逼向“闭环经济”。
图1:2 月 20 日当天,网安股与 DevSecOps 标的分钟级联动下跌
边际成本在下降,闭环稀缺性在上升
传统网安产品的价值链,大体是“发现—汇总—告警—工单—人工分析—人工修复/处置”。过去十几年,产品端的商业化优势建立在一个稳固前提上:处置昂贵且难以自动化,所以“发现”与“管理告警”的议价能力很强;企业也愿意用不断叠加的模块、规则、订阅,把风险“看见、列清单、能汇报”。
Claude Code Security 这类安全 Agent 的冲击点,恰好是把处置链条往前推:不仅告诉你“哪里可能不安全”,还试图把“复现—验证—分级—最小化补丁—回归证据—PR/变更建议”压成一条可重复执行的流水线,同时又以“必须人工审批”来对冲工程风险与责任风险。
这会导致一个非常现实的变化:企业真正愿意为之持续付费的,不再是“告警数量与覆盖面”,而是“可证明的产出”。也就是:高危修复的平均时延、一次合并成功率、回归失败率、误报率、审计可追溯性、变更可回滚性。过去这些更多依赖组织能力与人力密度;现在开始被工具链与 Agent 工作流产品化。
这并不意味着扫描器、规则库失去价值,而是意味着它们更像“基础能力组件”,单独计价的空间会变窄;真正形成新溢价的,会是闭环能力与控制面能力。
预算从“外挂安全”迁到“工程内生安全”
市场最先会发生的,不是某一家安全公司突然失去客户,而是采购决策的重心变化:预算开始沿着研发与交付链路移动,往能把修复落地、能让责任清晰的地方集中。
第一条迁移,是从“扫描预算”迁到“修复流水线预算”。扫描的覆盖面当然仍重要,但“只报不修”的边际价值会下降,企业会更在意能否自动生成可合并的最小补丁、是否能给出可复现证据、是否能附带回归测试结果、是否能把风险分级与置信度标定做得足够可信。
第二条迁移,是从“单点安全产品”迁到“平台控制面”。当 AI 具备改代码、触发流水线、调用工具的能力,它在组织里就相当于一个高权限“数字员工”。此时企业最敏感的问题变成:它是谁、能做什么、能访问哪些仓库与密钥、谁批准了它提交的变更、出了事故谁背责。于是身份、最小权限、Secrets、策略审批、审计与取证会从“治理口号”变成“预算刚需”。
第三条迁移,是从“事后检测”迁到“事前证明 + 事中监控”。更快的修复并不会让运行时防护消失,因为 AI 同样在加速攻击与滥用;相反,企业会要求运行时体系把“Agent 行为”纳入可观测与可阻断的范围。也因此,有分析认为市场对网安股的抛售可能存在过度反应:AI 既带来替代压力,也带来更强的防护需求与合作空间。
图2:预算迁移的三条曲线
产业重估的核心:证据链 + 责任链
暴跌会先把所有相关公司一起砸下去,但中期会分化。分化标准可以用一句话概括:价值主要来自“信息不对称”的,会被压缩;价值来自“闭环交付”的,会得到溢价。
所谓信息不对称,典型是“我有更全的规则库/漏洞库/签名库,所以我能比别人多报一些”。当模型在上下文理解、跨文件追踪、自动构造触发路径方面显著进步时,这类优势的壁垒会变薄,产品更可能沦为平台中的一个能力模块。
所谓闭环交付,指的是:不仅发现,还能把修复变成可上线的变更,并且全过程可审计、可回滚、可追责。这里的护城河不是模型本身(模型能力可能在多个厂商间趋同),而是工程系统的耦合深度与组织治理的沉淀:你是否掌握代码所有权体系、流水线、制品、签名、发布与回滚机制,以及对运行时的监控与处置网络。
这也是为什么当日市场同时大幅波动的,既有传统网安公司,也有开发链路公司:资本市场在快速计算“闭环发生在哪里、责任在哪里、预算就会往哪里去”。
六类能力会吃到结构性红利
更客观的说法不是“谁一定赢”,而是“哪些能力一定更值钱”。
第一类是 DevSecOps/研发交付平台型玩家。原因很直接:安全 Agent 最终要把结果落到 PR、测试、审批、发布、回滚。掌握这些入口的人,决定“能不能落地、怎么落地、出了问题怎么兜底”。当日关于 JFrog、GitLab 的剧烈波动,本质就是市场在交易这种入口价值可能被重估。
第二类是身份与权限、Secrets 与策略控制面。AI 能力越强,越需要强治理:最小权限、分级授权、关键分支保护、敏感仓库访问审计、密钥轮转与泄露监测。Agent 改代码这件事,会把“内控系统”从财务扩展到工程。
第三类是软件供应链可信与证明体系:SBOM、制品签名、依赖策略、可追溯构建链。Agent 会显著提高变更频率;变更越快,供应链投毒与依赖风险越难控,企业越愿意为“证明你交付的东西可信”付费。
第四类是安全数据底座与可观测(含对 Agent 行为的观测)。未来 SOC 关注的不仅是主机与网络事件,还包括:工具调用、仓库读取、数据访问、自动修复动作、策略命中与越权尝试。谁能把这些新型日志变成可检索、可告警、可取证的数据层,谁就掌握 AI 时代 SOC 的底座。
第五类是开源生态的“分诊与治理基础设施”。发现能力被放大后,维护者的处理负载会成为系统性瓶颈。Daniel Stenberg 在 2026 年 1 月明确宣布停止 cURL 的 bug bounty,并提到大量低质量报告带来的负担与精神消耗;这类现象会推动行业引入更严格的报告门槛与分诊机制。未来会更值钱的是“把报告变成可合并修复或可快速否决的证据包”,而不是再生成更多“看起来很专业”的描述。
第六类是 AI 安全运营(AI OpsSec)与对抗评测。防御方拿到更强的 Agent,攻击方也会拿到。企业会开始把“AI 工具链滥用”当作一等风险:提示词注入、越权工具调用、数据外泄、模型幻觉导致的错误变更。能提供持续对抗评测基准、红队化评估与治理框架的服务/产品,会形成新增预算池。
图3:新赢家画像矩阵(控制面 × 闭环交付)
双刃剑效应会把“治理”推到更前面
对行业保持客观,必须把反方向也说清楚。安全 Agent 的双刃剑效应不是道德讨论,而是工程现实:同样的能力可以让防御更快,也可以让攻击更快;同样的自动化可以降低 MTTR,也可以放大错误变更的事故半径。Anthropic 之所以强调“人类审批”,本质就是在承认:当 AI 进入变更链路,责任与审计必须可追溯,否则企业不会让它进生产。
开源维护者负载危机也是现实约束。cURL 停止 bug bounty 不是“拒绝 AI”,而是“拒绝低质量噪声吞噬维护资源”。这会倒逼行业建立新的“报告经济学”:没有可复现证据与最小触发输入的报告将被拒收;提交者需要承担成本;维护者侧分诊与自动验证会成为必需能力。否则,发现能力越强,开源生态反而越脆弱。
图4:从“告警指标”到“结果指标”的迁移
行业形态:分化比“替代”更可能发生
未来 12 个月,最常见的现象会是“全面加 Agent,但质量参差”。很多产品会把 Agent 当成新 UI,但真正拉开差距的,会是验证能力与闭环能力:能否稳定复现、能否压住误报、能否给出最小补丁、能否在 CI 中跑出可信回归证据。企业在经历几次“AI 修复引入回归”的事故后,会更愿意为策略控制、审批链与审计链付费,闭环反而会把治理推高。
未来 24 个月,预算结构会更清晰地重排,安全组织也会向“平台化”转型:安全工程化(把安全变更做成流水线)会成为核心岗位能力之一,安全与研发的边界进一步模糊。单点工具仍存在,但更多以平台组件形态存在,定价权向掌握入口与闭环的人集中。
未来 36 个月,Agent vs Agent 会成为常态化竞争方式:攻击者更快地侦察、武器化与横向移动,防御者更快地持续修复与自动处置。行业的核心竞争会从“谁的检测更全”转向“谁的治理更强、证据更硬、处置更快、责任更清”。这也是为什么“暴跌不是终局”:安全需求不会消失,但利润池会向闭环、控制面、证据与治理集中。
估值换挡
把这件事写得像是爆论,并不是想夸大“降维打击”,而是识别“价值中心迁移”。
市场交易的不是“安全不重要了”,而是“安全的付费点在迁移”:从“我告诉你哪里不安全”,迁移到“我把它修好并给出证据链,且全过程可审计、可回滚、可追责”。谁能占住闭环与控制面的入口,谁更可能成为新赢家;谁停留在告警与报表逻辑,谁就更可能被迫降价、被平台化或被并入。