收购Protect AI，Palo Alto向AI/ML安全领域竞争对手发出警告

Palo Alto Networks 刚刚向所有希望在AI/ML安全领域竞争的人发出了警告。

他们斥资 5 亿多美元（打算）收购 Protect AI，这无异于宣布要在竞争对手制定好战略之前赢得这一新兴市场。

这将是 2025 年的头条新闻之一。

甚至可能是这十年。

不过，像这样的交易往往会引发诸多质疑。每年仅能看到战略买家进行几笔金额超5亿美元的网络安全收购。而大型网络安全市场的形成更是少之又少。

Palo Alto Networks与Protect AI的这笔交易，堪称各种极具爆发性因素的独特混合体。帕洛阿尔托网络公司本身、平台化策略、AI技术，再加上较高的营收倍数，这一组合注定会在网络安全行业掀起轩然大波。

几年来，AI/ML安全、Protect AI、Palo Alto Networks 等市场上的很多事情都必须结合起来，才能促成这样的交易。

让我们从我所见过的最疯狂的早期市场开始，来谈谈促成这一切的一切。

AI/ML安全，一个萌芽市场的定义

对于战略收购方而言，AI/ML安全市场是一块难啃的“硬骨头”，因为目前尚未有公认的模式或产品架构可供遵循。这仍是一个极为初级的市场——或者用Nikesh Arora的话来说，这是一个“快速演进的市场”。

市场上的融资活动是一个很好的指标，说明这个市场有多么混乱和萌芽。

根据我们的数据，该市场的融资额从 2023 年到 2024 年增长了一倍多。投资活动从 2023 年的 1.815 亿美元增至 2024 年的 3.699 亿美元，同比增长率高达 96%。

过多的资金流向了 A 轮和更早阶段的公司--因此，基本上可以定义为一个萌芽市场。

Protect AI 是资金最雄厚的纯 AI/ML安全公司之一，在三轮融资中筹集了 1.085 亿美元。2024 年 8 月，他们完成了 6000 万美元的 B 轮融资，成为该领域最成熟（但仍处于相对早期阶段）的公司之一。

不过关键在于，所有这些早期初创企业的活动催生了诸如AI - SPM（AI安全态势管理）、AI检测与响应以及MLSecOps（机器学习安全运营）之类的术语，但大多数买家还无法直观地理解这些概念。他们只知道自己面临AI方面的问题，急需找到解决办法。

然后，“DeepSeek问题”登场。

今年1月下旬那个命运多舛的一周里，AI/ML安全问题迅速在人们眼前变得真实可感。相关讨论瞬间从“嘿，LLM的扩展速度可能正在放缓”急转直下，变成了“天呐，搞砸了，这个DeepSeek的情况完全失控了”，整个转变过程快得就像只用了0.002秒。

我想不出还有哪个 AI应用能如此迅速地流行起来。

这意味着安全团队没有太多时间采取行动。我们基本上只能依靠已经实施的工具和流程。我们没有时间去准备新的东西。

DeepSeek 的突然崛起，对每个大型企业的AI安全控制现状都是一次压力测试。研究人员发现了一些严重的漏洞，但（值得庆幸的是）没有大范围的攻击或漏洞报告。

当然，AI/ML的安全性在很早之前就已经出现在我们的视野中。事后看来，DeepSeek 给我们敲响了警钟，促成了我们今天看到的一些市场活动。

确保用户直接向 DeepSeek 输入（而不是自托管模型）的安全，是与 Protect AI 产品套件相邻的一个问题。这足以让企业和安全领导者思考自托管模型和第一方模型的威力和风险。

当前，AI/ML安全市场的发展势头明显向好，其增速之快远超我们在2024年第四季度“大语言模型扩展遇阻”时期所经历的状况。

彼时，我本会说，最终可能仅有三到五家第三方模型会被广泛使用（比如OpenAI、Anthropic等）。在那种情形下，除了少数几家开发模型的公司之外，基本上没有必要针对模型本身开展AI/ML安全相关工作。

在DeepSeek（以及其他开源模型）出现之后，那些有足够动力和资源的公司，似乎更有可能既托管第三方模型，又对其进行微调训练。有雄心的企业甚至会自行训练第一方模型。在网络安全领域，我们已经看到了一些很好的例证，比如谷歌的Sec - Gemeni v1和思科的Foundation - sec - 8b 。

看起来，开源模型、强化学习、后训练和模型扩散的趋势肯定会继续下去。对于安全领域来说，这与大型科技公司和AI实验室控制大部分模型开发和训练的情况截然不同。

在这种情形下，安全团队必须发挥积极作用，保护好公司自有的模型——而不只是关注出入其他公司模型的提示词和数据。

定制专属模型（bespoke models）无疑是发达经济体（说白了就是企业和科技公司）才会面临的问题，但第一方模型（以及由此延伸的模型安全防护）的潜在市场规模，很可能比我们几个月前的预估还要庞大。

说回来，谈谈Protect AI公司是如何通过一种高度反直觉的策略让自己崭露头角的。

Protect AI的快速平台构建

Protect AI创始人采取了一系列有趣的战略举措，才有了今天的公司（和收购）。

Protect AI 是人工智能/机器学习安全领域的元老级企业之一，由一群在业内有过成功退出经历的人工智能/机器学习专家团队于 2022 年创立（没错，就是那一年）。

我知道 2022 年似乎并不久远，但请记住：早在 2022 年，对于初创公司来说，ML 安全还不是一个显而易见的领域。ChatGPT 直到当年 11 月底才发布，而企业开始大规模采用它则需要更长的时间。

在Jupyter笔记本中通过NB Defense从源头保障机器学习代码的安全性，这一做法的可行性更是让人难以察觉。但他们心里有数。

此后，他们迅速推进“AI雷达”平台战略的布局。接下来搭建了中央控制台与数据层，随后依次推出机器学习模型静态分析工具（Guardian）、动态测试工具（Recon）以及运行时防护工具（Layer）。

他们利用四次收购来帮助建立自己的产品套件。对于一家成立不到五年、融资总额刚刚超过 1 亿美元的公司来说，这很不寻常。

Protect AI 已经完成了琐碎的整合工作，这对 Palo Alto Networks 来说比收购后再做这项工作更有吸引力。

Protect AI彻底打破了种种“常规”规则，早早地便开启平台建设之路……而且进展迅猛。短短三年时间，就从一款适用于Jupyter笔记本的插件，一跃成为行业内首屈一指的AI/ML安全平台，这无疑是“高速发展”的典范。

不过，交易的达成需要双方的共同努力。让我们来谈谈 Palo Alto Networks AI产品战略的发展轨迹，以及它是如何促成收购的。

Palo Alto的AI战略与Protect AI的融合

有人可能会冷嘲热讽地说，Palo Alto Networks不过是一家成熟企业，见人工智能发展得火热便赶来蹭热度。然而，历史却给出了截然不同的答案。

早在Nikesh Arora担任首席执行官之前，该公司便于2017年收购了一家基于机器学习的行为分析公司（LightCyber）。此后，这家公司经过不断迭代发展，逐渐演变成了如今我们所熟知的Cortex平台。

2020年，机器学习技术被深度融入其核心下一代防火墙产品（即PAN - OS 10.0星云版）之中。自此，后续发展已成定局。

在那之后，他们加倍努力地发展AI安全。2022 年 2 月推出的 Cortex XSIAM 是AI推动一切运动的开端。

但在2025年，为何Palo Alto Networks会豪掷5亿美元甚至更多资金收购一家AI/ML安全领域的公司，而非自主研发解决方案，或是通过整合几笔小型收购来达成目标呢？

他们本可以选择其中之一，但这样做会耽误产品上市时间。以下是Nikesh Arora在收购宣布后不久所作的简短解释：

我最期待的就是确保我们能把人工智能这件事做好……随之而来的是一系列全新的安全挑战……我深感振奋的是，我们正以一种果敢且激进的态度去应对。

在这种果断而积极的观点下，加快路线图和更快地进入市场就显得更有意义了。

Palo Alto Networks 已经有了 AI/ML安全产品的雏形，但仍没有大量的产品重叠。因此，他们选择了一个平台，而不是零散购买。

Prisma AIRS 是他们的未来平台。在宣布收购之后，他们立即向全世界公布了这一消息。

他们有信心收购一个处于早期阶段的平台，而不是试图进行多次收购，并以数月或数年的路线图为代价将所有这些拼接在一起，这一点值得称赞。

但这是一个正确的战略决策吗？让我们来谈谈交易宣布后我看到的一些反驳意见和风险。

需求、竞争、护城河等

美泰公司的CISO汤姆-勒（Tom Le）针对我在 LinkedIn 上发布的有关此次交易的帖子写了一篇非常有思想的反驳文章。我不得不将其纳入全文并加以扩展。

反驳意见的摘要是，Palo Alto Networks 是在用市值（或现金--官方没有透露具体条款）来购买一种AI模型保护能力，而这种能力的需求可疑、竞争激烈、护城河有限，而且有被现有平台吞并的风险。

这个反驳怎么样？这些观点都很有道理，值得在此详细讨论。

客户是否会主动购买这款产品，还是说必须将其免费捆绑销售才行？

Palo Alto Networks 显然希望实现产品的货币化，并对最终实现这一目标充满信心。他们在新兴市场上表现出了耐心和创造力，这里也将如此。

类似的情况也发生在 Talon 和安全企业浏览器市场上。Palo Alto Networks 因斥资 7 亿多美元收购一家前景看好但处于市场萌芽阶段的初创公司而饱受批评。

他们一开始免费向现有客户赠送该产品。现在，它已经创造了相当可观的收入（而且还在不断增长）--截至 25 财年第二季度财报，总预订额达 3000 万美元。

我预计这里会采取类似的策略。他们或许不会主动免费赠送这款产品，而是会根据客户情况和具体环境，逐个案例地进行捆绑销售。无论采用哪种方式，在产品完成整合、市场需求趋于稳定且可预测之前，都会有一个市场培育期。

如何与其他 25+ AI初创公司竞争？

要是你参加了RSA大会，大概率会看到展厅里满满当当都是售卖AI护栏（guardrail）、AI模型防护、AI防火墙或者AI注入防护产品的公司。正如我们先前讨论过的，一个尚处萌芽阶段的市场往往意味着竞争异常激烈，每家企业都在努力争取市场份额、谋求立足之地。

这是平台化争论的另一个例子。当然，有 25 家以上的初创公司可以提供AI/ML安全服务，就像网络安全领域的许多其他市场一样。

问题是，您是想管理另一种厂商关系......还是直接按下简单按钮，从 Palo Alto Networks 购买AI安全模块。如果您已经是 Palo Alto Networks 的客户，答案就更简单了，如果他们愿意让您免费试用，答案就更简单了。

我并不是说这是每个企业的最佳选择，也不是说其他AI/ML安全初创公司都是垃圾。

不过，对于很多买家来说，一个成熟公司提供的相对完整的产品套件是件大事，尤其是那些希望解决这个问题，而不愿在这一过程中与初创公司打交道的大型企业。

大模型防护的准入门槛低吗？

这种情况是有可能的。如果看不到众多涉足该领域的私营企业的底层经济账，就很难给出确切答案。

从一些传闻来看，融资数据却给出了相反的结论——但显然，仅凭大量资金投入就得出AI/ML安全领域建设成本高昂的结论是值得怀疑的。

在宣布收购 Protect AI 的同一周，Meta 发布了几款 AI/ML安全工具。这些工具虽然不能与 Protect AI 的所有功能一一对应，但仍然令人印象深刻。

你或许会得出这样的结论：科技公司把开发并开源一大堆人工智能工具当作爱好，这意味着模型保护工作既不困难也不昂贵——但这种观点同样只是传闻罢了。Meta开发了Llama这一完整的前沿模型并将其开源。在大型科技公司里，时间和金钱遵循着不同的规律。

无论如何，这样的戏码我们早已司空见惯。在每一个主要的网络安全产品类别中，都有值得信赖的免费、低价和/或开源的替代品。然而，企业依旧会为这些产品买单，有时甚至不惜重金。

打造护城河、构建市场准入壁垒涉及诸多因素，技术难度与成本便是其中之二。Palo Alto Networks具备分销渠道优势、品牌资产，还有其他数项同样难以（甚至更难）复制的要素。

许可、合理使用和知识产权侵权是否是AI面临的更为复杂的挑战？

绝对有可能。

Cloudflare 的Matthew Prince至少在最近的两次财报电话会议上谈到过这个话题。摘自他们的 24 年第四季度报告：

Cloudflare的客户群体中囊括了许多至关重要的人工智能企业。与此同时，全球范围内的大量内容创作者也是我们的用户。处在这样独特的中间位置，使我们得以在探寻后搜索时代互联网商业模式的过程中扮演重要角色。Cloudflare占据着得天独厚的优势，有助于我们厘清内容创作者应如何获得报酬、各类代理机构可在哪些范围开展业务以及需遵循何种条款，还有未来由人工智能驱动的互联网将如何构建与协同运作。目前虽尚处于早期阶段，但我们与所有相关方展开的对话，都为未来发展奠定了基础。密切关注这一领域，毫无疑问，当下正是令人振奋的时期。

我认为他是对的，至少对开放网络来说是这样。内部和专有数据则略有不同。

尖端企业使用第一方模型的最大原因（和优势）之一是可以访问自己的数据。

如果你在企业工作过，你就会知道很多数据都是垃圾，而且有太多人可以访问这些数据。但是，可以推测的是，其中至少有一部分对AI非常有利。

Matthew Prince的世界观与企业界的核心分歧在于：企业拥有自身数据，哪怕这些数据一团糟。

保护他们的数据和使用这些数据的第一方模型是第一要务。他们的总法律顾问显然也不希望他们陷入法律问题，但这更多的是为了管理风险。

像Palo Alto Networks这类网络安全公司，与Cloudflare对开放网络上的内容关注点并不一样。这些网络安全企业把企业客户放在首位，这意味着要助力客户全方位保障其人工智能/机器学习技术栈的安全。

第三方AI平台是否会原生内置所有这些保护功能？

他们可以这样做，但他们有很多其他优先级高的问题要解决。

模型的碎片化、在基准测试上无休止的相互超越，还有……哦，防范严重危害，这些事务就够让他们忙得不可开交了，以至于网络安全公司得以去处理那些网络安全方面的问题。

当然，公司确实会在平台中内置安全和隐私功能。GitHub 和 GitLab 最近就在代码库中加入了漏洞扫描、机密管理等功能。

不过，在许多其他案例中，原生安全问题并没有发生，这似乎是一个更好的先例。

就规模而言，云基础设施是我能想到的最接近的一个。多年来，AWS、微软和谷歌云都将功能和增长置于安全之上......正如我们刚刚看到的，这造就了一家市值 320 亿美元的公司--Wiz。

即使 GitHub 和 GitLab 在原生安全功能方面取得了相对成功，应用程序安全、秘密管理等领域的公司仍有很大的空间来实现九位数的收入。

在早期市场进行战略决策时，不确定性是决策的一部分。正如一位睿智的网络安全首席执行官（并非Nikesh Arora）曾对我所言：“我们都是在为未来下注。”

Palo Alto Networks已经做出了选择。接下来，让我们探讨一下这家公司以及整个行业的发展走向。

Palo Alto采取了行动--我们该何去何从？

Palo Alto Networks 收购 Protect AI 对其相对同行和其他特定市场的竞争对手造成了巨大压力，迫使他们采取自己的应对措施。

这并不一定意味着每个人都会进行类似规模的收购。毕竟，打造产品组合的方法不止一种。

变的是时机。

交易完成后，Palo Alto Networks 将拥有除思科和 Robust Intelligence 之外最完整的 AI/ML安全产品组合。

这很可能标志着AI安全整合大潮的开始。Palo Alto Networks 已经发声并采取行动。对其他人来说，时间已经在流逝，但交付的窗口期却缩短了一半。

至于 Palo Alto Networks，我希望历史会把这笔交易看作是现任领导团队的又一次成功交易。他们在相对较早的时候就对一个具有高上升空间的免费市场下了一个合理的赌注。

但这还没有结束。Palo Alto Networks 仍需在 Protect AI 的基础上不断创新和建设，但他们在整合过去的收购方面已经取得了相当不错的成绩。

Palo Alto Networks 做了他们能控制的一切，那就是加快其AI安全产品套件的交付，并为想要购买平台的客户提供一个具体的选择。

Palo Alto Networks 平台化战略背后的战略赌注是，各部分的总和要优于其他独立产品。

对于 Palo Alto Networks 而言，现在这已成为一个市场问题：从长远来看，AI/ML安全市场的规模会有多大？

即便无法完全、彻底地主导 AI安全市场，这笔交易对他们而言也依然不失为一桩好买卖。

对于 Palo Alto Networks 来说，任何低于 10 亿美元的收购价格都是合理的赌注（也是盈亏平衡点），尤其是在一个有如此大上升空间的市场。

原文链接：

https://strategyofsecurity.com/p/palo-alto-networks-protect-ai-and-the-platformization-of-ai-security

声明：本文来自安全喵喵站，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。