AI 正在改写世界运转方式,这点现在已经毋庸置疑。
资本持续涌入、顶尖人才不断加入,这不是“可能会发生的变革”,而是已经在全面展开的巨大运动。至于是否有泡沫——这当然可以争论,但对今天这篇文章而言并不重要。只要所有人都在涌向同一个机会,无论是次贷、比特币还是 AI,泡沫都必然会出现。
真正值得讨论的,是 AI 如何彻底刷新了人们对公司增长的预期(剧透:完全重塑)。
这篇文章会先谈 AI 如何改写创业公司的增长轨迹,然后再聚焦网络安全行业——为什么我认为绝大多数安全创业公司,不管愿不愿意,都无法跑出 AI 新创那种级别的增长曲线。
我原本想直接说一句:“安全公司永远追不上 AI 新创的增长速度。”但总会有人举个 0.01% 的例子来挑战观点,让论述显得不严谨。所以我换一种方式表达——但意思你已经懂了。
AI 创业公司的全新百亿美元增长曲线
几个月前,Bessemer 发布了《State of AI 2025》报告(强烈推荐一读)。报告里谈了很多 AI 生态的趋势和预测,但真正打动我的,是过去与现在的增长速度对比。
在 AI 出现之前,一家顶尖公司通常需要 大约 7 年 才能做到 1 亿美元 ARR。而在 AI 时代,这条时间线被彻底压缩。
Bessemer 的数据给出了一个新的标尺:
优秀的 AI 创业公司(AI Shooting Stars):4 年 做到 1 亿 ARR
顶级中的顶级(AI Supernovas):1.5 年 就能破 1 亿 ARR
这不是增长加速一点点,而是直接改写了“什么叫高速增长”的定义。AI 创业公司正在以过去难以想象的速度冲向规模化,重新设定整个行业的增长基准线。
这些数字确实惊人。来看报告中的几段原文(重点非常值得咀嚼):
Bessemer 这样描述 AI Supernovas:
“Supernovas 的增长速度堪称软件史上最快。从种子轮到 1 亿美元 ARR,几乎是一眨眼的事,甚至常常在商业化的第一年就冲上去。这类公司既令人兴奋,也令人恐惧。它们的收入几乎天然带着脆弱性:极快的采用速度意味着低迁移成本,或是产品太新奇以至于长期价值未定。许多产品离基础模型的核心功能过近,容易被贴上‘薄封装(thin wrapper)’的标签。在炽热竞争中,它们的利润率往往被拉到接近零甚至负数,因为所有人都在赌最终的赢家通吃。”
相对地,AI Shooting Stars 更像传统高质量 SaaS:
“它们快速验证产品市场契合度,能留住客户、扩展关系,毛利强劲——略低于 SaaS 同行,但仍稳健。在增长速度上,它们比传统 SaaS 快,但仍受组织扩张基本瓶颈的约束。第一年收入通常做到约 300 万 ARR,年度增长可达 4 倍,首年毛利率约 60%,人均 ARR 大约 16.4 万美元。”
报告还提出一个新的增长公式:
过去 SaaS 时代靠 T2D3(3 倍、3 倍、2 倍、2 倍、2 倍) 定义高速增长;
现在 AI Shooting Stars 的节奏是 *Q2T3(4 倍、4 倍、3 倍、3 倍、3 倍)**。
总体来说,Bessemer 很好地勾勒了 AI 时代的软件公司与 2-3 年前完全不同的增长逻辑。
但对我而言,这也引出了一个更大的问题:
——这对网络安全行业意味着什么?
AI 已经彻底改写了增长曲线,那安全创业公司在这种新节奏下还能如何竞争?能跟上吗?还是说根本不在同一条赛道上?
AI 时代的网络安全创业公司
AI 加速“造产品”,但没法加速“卖产品”
借用一下 Dave DeWalt 的说法:在网络安全里,产品是英寸之战,GTM 是英里之战。
五年前如此,今天更甚。技术领先从来不是胜利的决定因素,分发(distribution)才是。大厂为什么能轻松碾压创业公司?因为它们直接把新能力打包进已有平台,分发能力天然强过你。
AI 的确让团队造产品更快、迭代更快、试错更快。
但问题在于:“造东西快”从来不是安全行业的瓶颈。(以色列创业公司早就把“快速造功能”玩明白了。)
网络安全的增长本质是:
分发 → 信任 → 扩张
而不是“功能 → 发布 → 收钱”
安全行业的速度,是由“信任”决定的,而不是“出新功能”的频率。
更有意思的是:
AI 虽然让功能交付更快,但却让信任建立更慢。
POC 变长了。
企业的问题更多了:
你们到底怎么用 AI?
数据会去哪?
模型在看什么?
隐私怎么保证?
要把这些问题都解释清楚,周期只会更长——这意味着安全创业公司的成交速度会进一步下降,而不是提升。
AI 加速产品,但减速信任。
这就是当下安全创业公司最真实的处境。
少数安全公司会成为 “AI Shooting Stars”,但大多数会停在 “Cloud Centaur” 区间
先说一句:如今 ARR 已经变成一个“有点艺术”的指标。行业里不少公司对 ARR 的定义相当“灵活”,数字看起来漂亮,但真正进银行账户的现金却没那么多。
撇开这些非 GAAP 的花活不谈,核心事实是:安全公司的收入本质上不是飞轮业务。
网络安全主要卖给企业,企业销售周期又长又磨人,经常是 6–12 个月起步。如果你的 POC 就要跑 9 个月,第一笔钱还来自“创新预算”,那你基本不可能变成 “AI Supernova”。
当然,我相信会有部分安全创业公司能让采购周期更短。
但现实是:这通常不是因为你用了 AI。
AI 驱动的漏洞管理,还是漏洞管理。
AI 驱动的 SIEM,还是 SIEM。
采购部门会把你拉进和过去一样的流程——甚至更长,因为现在还要审查你的 AI 怎么用数据。
从我看到的情况来看,AI 原生安全产品体验往往更好,有些问题甚至只有 AI 才能解决。
但采购流程并不会因为你的技术酷就变快。
他们依然会把你推进一套又一套的安全、合规、数据、隐私检查。
更讽刺的是:很多安全产品根本不需要 AI。
而对于这些非 AI 的安全公司,POC 反而可能更短,因为评估更简单。
综上:
极少数安全公司 会成为 “AI Shooting Stars”;
绝大多数 会停在 “Cloud Centaur” 区间——稳健、增长正常、有很好的业务耐久性,也能有不错的退出;
但它们的增长曲线不会像 AI Supernovas 那样炸裂。
这一点直接通向下一段最关键的问题——
风险投资怎么看这一切?
安全创业公司不是“不好”,而是“不同”
安全创业公司并不是糟糕的投资标的——只是它们的增长逻辑从根上就和 AI 公司不同。
安全行业慢,是因为它的使命就是减少风险,而任何“新东西”本身就意味着风险。
因此,在安全行业里,信任永远决定增长速度。
我之前写过不少关于“信任”的深度分析,比如:
为什么安全厂商这么多?这对行业意味着什么,我们会走向哪里?
Time to Trust:为什么安全创业公司必须缩短信任周期,以及怎么做?
你会发现一个共识:
安全的增长需要耐心,而不是爆发力。
来看两个最典型的成功案例:
Zscaler:10 年到 1 亿 ARR,接着 5 年到 10 亿 ARR
Zscaler 最近突破了 30 亿 ARR,这在安全行业几乎是天文数字。
但大多数人不知道的是:
到 1 亿 ARR:用了 10 年
从 1 亿到 10 亿 ARR:只用 5 年
这不是 “AI Supernova” 的起飞模式,但它是安全行业最稳健的增长曲线:慢热、接管、防守到位,然后信任复利开始爆发。
CrowdStrike:8 年到 2.5 亿 ARR,接着 6 年到 46.6 亿 ARR
CrowdStrike 2011 年成立,2019 年上市时 ARR 是 2.5 亿(用了 8 年)。
6 年后,也就是现在,它的 ARR 达到 46.6 亿美元。
这两个例子讲得很清楚:
安全行业的增长靠耐力,不靠爆发
靠复利信任,不靠增长黑客
靠长期价值交付,不靠炫技或营销奇招
那些试图靠“快速扩张”“激进增长”来冲规模的安全公司,过去几十年里基本都失败了。因为安全的本质不是增长游戏,而是信任与分发的复利游戏。
AI 改写了软件公司的增长方式,但它改不了安全行业的底层逻辑。
安全创业公司能成为伟大公司,但它们的路径永远不同。
越来越多的“通用型 VC”会退出安全赛道
过去十年,网络安全一直是 VC 眼中的热门赛道。仅过去一年,我们就看到从 Wiz 被收购到 CyberArk 大交易等一系列大额退出,还有一批中型但稳健的并购。
因此,每个 VC 都希望自己当年投中了 Wiz。
这一阵子,他们也都表现得像是在追下一家 Wiz。
直到现在。
问题在于:Wiz 只有一个,它是极端的例外。
虽然 VC 口口声声说自己擅长“投异类”,但他们真正想看到的,是:为什么眼前这个项目可以成为万里挑一的那个?
而在安全行业,这非常难解释。
是的,安全行业有很多巨头故事——Palo Alto、Zscaler、Cloudflare、CrowdStrike……
但对“通用型 VC”来说,这个市场依然难懂、不直观,而且——相比 AI——看起来增长更慢、路径更复杂。
为什么专注安全的 VC 反而不焦虑?
因为他们 没有选择自由。
他们已经承诺 LP:只投安全。
当然,他们可以 occasionally 把无人机、防欺诈、甚至 AI 语音识别勉强算成“安全”,但总体上 他们必须在安全行业内部下注。
更关键的:
他们深知安全行业的慢增长不等于回报差。安全业务的复利来自信任、长期合同、深度渗透,是可以稳稳跑出 IRR 的。
但通用型 VC 的激励完全不同。
通用 VC 的“专长”大多是宽泛的大类:SaaS、Fintech、Enterprise、AI……
他们的资本没有行业限制,目标是把钱投向 增长最快、爆发最猛、市场最大 的领域。
想象一个典型场景:
Fintech startup
10 个月做到 $5M ARR
Cybersecurity startup
卖了一年半,预计今年 ARR $1.7M——在安全行业,这已是非常优秀的节奏
但放在一起比较?
对通用 VC 来说,这是 5 分钟的决策:5M vs 1.7M,不投前者简直不合理。
这不是他们不懂安全,而是这是正确的组合策略:在大类别里追更快的增长率。
结果是什么?
如果趋势持续:大量“安全旅游型 VC”(tourist VCs)会从这个行业撤出。
他们很难再 justify:为什么要投年增速 2–3x 的网络安全公司,而不是年增速 10–20x 的 AI Supernovas?
在 Bessemer 的分类里很清楚:安全公司大多数都会留在 “Cloud Centaur” 区间——稳健、可持续,但不爆炸。
能变成 “AI Shooting Star” 的安全公司永远只是极少数例外。
谁会留下?谁会退出?
会留下的:
真懂安全行业的专业 VC
理解安全产品周期、分发逻辑、信任复利
知道如何在慢增长里找大回报
会退出的:
追逐下一家 Wiz 的通用型 VC
无法用 AI 的增长 benchmark 来理解安全行业
认为安全公司“看起来普通”的投资人
最终,这不是好坏问题,是结构性问题:AI 把 VC 的时间尺度拉成了 18 个月,而安全行业的时间尺度永远是 5–10 年。
两者不在一个宇宙,自然无法用同一套估值和增长模型来评估。
展望未来
预测未来从不容易,但有些趋势已经清晰可见。
除非安全预算无限扩张,或者企业采购者突然变得不再谨慎(显然都不太可能),安全创业公司在争夺 VC 关注上,很难和新一波 AI 公司竞争。随着越来越多 AI 原生公司刷新 ARR 纪录,这种对比只会愈发明显。
是的,这些数字中有些被夸大了,也有不少公司会如升起般迅速倒下,但 AI 对各行业带来的冲击是真实的,竞争也是真实的。
目前,仍有大量资本流向安全创业公司,但不久之后,这种环境可能会收紧。
听起来有点反直觉,但这对行业其实可能是好事:
当那些“旅游型 VC”失去对安全行业的热情后,
真正懂安全的投资者,花时间理解买家需求的 VC,
将会更容易找到真正有价值的投资机会。
这就像一场自然选择:
真正解决紧迫问题的公司会存活并成长;
靠噱头或微弱信号起家的公司则注定会挣扎甚至消失。
AI 的浪潮已经到来,安全行业需要的不仅是速度,更是耐心、信任与长期价值。
原文链接:
https://ventureinsecurity.net/p/most-cyber-companies-simply-cant
声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
