做一款平庸无奇的安全产品，错了吗？

我几年前写过一篇文章，讲我是如何购买工具的——而且从一开始就没打算长期保留。在创业世界里，极端优先级管理是生存法则。很多时候，最聪明的选择不是自己造，而是直接买，尤其当这个工具并非产品核心能力时。

把诸如基础设施访问控制这类高度专业、但不具备差异化价值的问题外包给成熟工具，可以立刻换来研发速度的提升。这些工具未必是“终局选择”，而更像是阶段性杠杆：帮你跨过下一个增长门槛，而不是把工程资源消耗在长期维护上。

但随着 AI 的成熟，购买安全工具的门槛已经发生了变化。我变得更挑剔了。在 AI 的加持下，构建简单的内部工具几乎没有成本，许多细分品类——尤其是应用安全里的基础能力、脚本类工具——正在快速消失。今天如果我要考虑引入一个新工具，它必须提供足够高、且不可商品化的价值。

但在“继续使用还是切换”的讨论中，还有一个被严重低估的因素：切换成本本身，而且是巨大、隐性的切换成本。

切换成本陷阱(The Switching Cost Trap)

安全负责人常常会掉进一个误区：追求“最优解”。一旦换了新负责人，第一反应往往就是重换安全工具栈。官方说法通常是“现有产品无法覆盖某些风险”，但更真实的原因往往很私人——他更熟悉另一套工具，或者想“留下自己的印记”。

在当下更加精简、强调效率的环境里，这种做法基本是巨大的时间浪费。切换安全工具，远不只是多买一份许可证那么简单，真正的成本来自运营摩擦。

管理成本：重新走一遍采购流程、法务审查和合同谈判

学习成本：每个新工具都有自己的逻辑、界面和查询语言

集成负债：把新工具重新接入 SIEM、SOAR、工单系统等现有流程

2025 年的数据表明，采用“最佳组件拼装式”安全架构的企业，平均要维护 83 个安全工具，来自近 30 家不同厂商。这并不是实力的象征，而是一种结构性税负。相比之下，向平台化、整合式架构演进的组织，在发现并处置安全事件时，平均能快 74–84 天。

平庸为何是一种可行策略(Why Mediocrity is a Viable Strategy)

很多安全从业者不愿承认这一点，但事实是：只要能把事做好，用一个“平庸”的工具完全没问题。我之前就说过，安全领域的工具已经严重过载，我们正在从“解决问题的人”，变成一个个安全工具管理员。

如果团队已经熟悉某个工具，而它也能覆盖低到中等风险场景的基本需求，那为了追求“最优解”而切换工具，带来的迁移风险往往大于那点增量收益。那种“要是用了最好的工具，这次就不会出事”的说法本身就是伪命题——你根本无法验证反事实。在现实中，安全体系的复杂度本身，才是最大的成本放大器之一。

对于中等风险场景而言，对业务更理性的选择，往往是继续使用一个便宜、够用、所有人都会用的平庸工具，而不是投入数百万成本，花上半年时间调优，只为了换一个“稍微好一点”的产品。

“够用就好”平台的崛起

这一趋势正在基础设施平台上实时上演，比如 Datadog。Datadog 正在向分页告警（替代 PagerDuty）、事件响应（替代 incident.io）以及 Feature Flag（替代 LaunchDarkly）等领域扩张。

这些 Datadog 的新能力，功能是否能和各自领域的独立王者相比？大概率不能。横向对比，它们是“平庸”的。但它们依然能赢，原因在于简单性和上下文整合。到 2025 年，使用一体化平台的组织，其 ROI 达到 101%，而依赖碎片化工具栈的组织仅为 28%。在工程和 DevOps 的世界里，目标本就是效率，因此这种回报差异尤其直观。

平庸适用的地方(以及不适用的地方)

是否接受“平庸”，本身就是一项战略决策。

合规（Compliance）

这是一个典型的“向下竞赛”。大多数公司只想用最低成本通过审计。像 Vanta 这样的工具，并不需要成为“最强的安全产品”，只需要成为最容易进门、并且能留下来的合规平台——只要“刚刚好”地解决痛点即可。

应用安全与 CSPM

许多应用层安全品类（例如 CSPM）已经高度商品化。如果一个工具除了好看的界面和几段脚本，并不能提供更深层的分析或独特价值，那它就非常适合被归入“平庸工具”一类。除非你的风险画像明确要求一套成熟、昂贵的高端体系，否则“能把基础做好”已经足够。

托管安全服务（Managed Services）

如果你使用 MDR / MSSP，这类服务商往往可以替你消化平庸工具带来的复杂性。头痛由服务方承担，底层软件的“平庸”也就变得可以接受。

但有一个例外：凭证与身份

在凭证泄露依然是前三大攻击向量、且 2025 年美国数据泄露平均成本已攀升至 1022 万美元 的背景下，身份与访问管理(IAM)绝不能省。这里不允许“将就”，必须是顶级能力。

初创公司的策略：以“平庸”为楔子

对安全初创公司来说，“平庸”反而可能是竞争优势。只要你能提供一个简单、轻量的产品，精准补上某个合规或流程缺口，就有机会先进入组织，慢慢“长在里面”，成为基础设施的一部分。

很多时候，目标不该是做出世界上技术最先进的产品，而是做一个差不到让人想换掉的产品。只要你能顺利落地、快速产生价值、集成成本足够低，企业内部巨大的切换成本，就会自动变成你最坚固的护城河。

最后

当安全负责人承诺通过采购“最好的工具”来阻止所有安全事件时，往往从一开始就设定了错误的预期。这会制造一种安全与业务之间的错配。现实是，风险管理的本质在于承认：有些领域，只需要“够用就好”。

AI 的确让替换平庸工具变得前所未有地容易——因为用简单脚本或平台能力就能重建很多功能。但在你真正有理由迁移之前，别让对“最优解”的执念，干扰了你解决真实问题的节奏。

原文链接：

https://franklyspeaking.substack.com/p/its-ok-to-be-a-mediocre-tool

声明：本文来自安全喵喵站，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。