AI Agent时代的安全架构重塑
过去一年多,企业里悄然迎来一批特殊“员工”:AI Agent。它们无需薪酬、无需休息、工作效率是人类的数十倍,能够代为检索信息、撰写邮件、调度系统,甚至主动召唤其他 Agent 协同作业,完成复杂的工作链路。但当前的安全防护体系——无论是门禁、权限管理还是审计机制——都是围绕"人"这一单一主体构建的,根本无法有效应对这批新兴的 AI Agent。这直接导致了安全基础设施的全面重构需求。
回顾十几年前的安全防护模式,采用的是"城墙加护城河"策略:只要身处公司内网、账号密码验证通过,即被视为可信;远程办公者则通过 VPN(加密专用通道)接入这张信任网络。彼时安全设备就是机房入口处的硬件防火墙,所有流量都必须经过这道关卡。后来随着云计算和远程办公的普及,这套模式被彻底瓦解——应用迁移至云端和各种 SaaS 平台,人员也分散各处,"边界"概念不复存在,无法再将全部流量回传至总部设备进行集中审查。
由此催生了第一次安全基础设施重建,核心围绕两个概念展开。其一是零信任原则:默认所有主体均不可信,每次访问都需重新验证身份、设备安全性、操作合理性,不会因为"进入了网络"就全程放行。其二是 SASE:将网络过滤、远程接入、数据管控等安全能力从总部设备迁移至云端,就近提供服务,并与网络架构整合为云端统一通道。这两者的落地催生了一批新兴企业,尤其是那类"位于用户与目标之间、所有流量必经之路"的云端代理——即 inline 模式,如同在交通要道上设置的检查站。
那么既有安全架构为何再次崩塌?
零信任与 SASE 的设计初衷是针对"人"的:单一用户、单一设备、固定身份、人的操作速度,遇到异常还能弹出验证码争取缓冲时间。
但 AI Agent 逐一打破了这些前提假设。它的身份由程序动态生成,还常借用某位员工的权限范围,事故发生后"责任归属"难以界定。它以机器速度运转,一秒内可发起成千上万次操作,人工审批根本无法匹配节奏。它的数量是人类员工的数十甚至上百倍。它不像人类那样逐页浏览网页,而是直接调用接口(API,即软件间的标准通信协议)、调用工具,很多场景需要走 MCP "智能体专用对接协议",管理对象从"访问了哪个网页"转变为"调用了哪个接口、执行了什么操作"。最关键的是它具备执行能力——写入数据、发起交易、代替用户下单,风险不再局限于"它看到了什么",而是"它做了什么"。
从"过滤人员上网流量"转向"监控 Agent 调用接口和工具的行为";从"该用户能否进入系统"转向"这个 Agent 是否有权执行此操作、接触这份数据";从"人的身份加验证码"转向"非人类实体的授权与追责"。这三次"转向",将成为后续所有资金重新分配的关键杠杆。
资金沿着 Agent 的行为路径,在各个关卡重新分配
拆解一个 Agent 的工作流程,它的请求需要穿越多重关卡,每道关卡都是潜在的收费节点。Agent 数量越多、操作越频繁,这些关卡的商业价值就越大。但各关卡的盈利能力和可持续性存在显著差异。
第一道关位于"用户出口"——Agent 需要访问外部云服务、互联网或其他 Agent,流量由此流出。这正是上一轮重建催生的那个卡口,Zscaler、Netskope 等守在此处。Agent 浪潮来袭,过境流量激增,它们是最直接的受益者。但这道关面临一个新浮现的代价:要物理接收全部流量并进行逐一检测,流量暴涨就需自建机房、购置内存、存储和处理器,偏偏这些硬件正逢 AI 涨价周期。安全这个过去以软件为主的轻资产业务,守在 inline 卡口的这部分被迫转型为"消耗硬件、大额资本支出"的重资产模式。
第二道关位于网络和分支的防火墙层面,由传统防火墙厂商把守,如 Palo Alto 和飞塔。这一层在 AI 数据中心时代获得意外红利:流量越大,越考验"每瓦性能"——检查同等流量时,谁更节能、性价比更高,谁就占优势。飞塔是其中唯一拥有自研安全芯片(ASIC)的厂商,专注于高性能、低延迟、低功耗,恰好契合数据中心对能耗日益敏感的趋势。它与第一道关的关系耐人寻味:前者消耗涨价中的通用芯片,后者销售节能的专用芯片。
第三道关位于"应用入口",即流量真正抵达自有系统、调用自有接口的那道关。守护此处的包括负载均衡和 API 网关厂商,如 F5。它与第一道关形成对偶关系,一个守"出口",一个守"入口"。这道关在 Agent 时代被严重低估:Agent 是"接口原生"的,它不浏览网页,而是疯狂调用接口,而最危险的事件往往发生在那些无人监控的接口上。F5 的网关已能直接在流量中解析 MCP,清晰洞察一个 Agent 到底调用了哪些接口和工具。简言之这道关的价值——事故发生时,问题往往不是 Agent 直接攻破了系统,而是它顺着某个无人看管的接口悄然潜入。
第四道关位于"身份发放、权限配置"层面:为 Agent 发放身份、规定其操作范围、随时可一键撤销。Agent 时代这道关的重要性急剧攀升,因为最核心的问题不是"它能否连接",而是"它是否被授权执行此事"。Palo Alto 以约 250 亿美元收购 CyberArk 正是补齐这道关,Okta、微软也在此布局。这一层属于纯软件、无需硬件投入、毛利率是几道关中最高的。
因此 AI 时代的价值不在于"销售一台安全盒子",而是分散在 Agent 请求经过的整条链路中;越靠近"授权"和"操作"这两端的关卡,收益越持久;越是单纯充当"流量管道"的关卡,利润越容易被摊薄,还得承担硬件成本。
网络安全行业的两大核心产业变量
第一,价值正从"管道"流向"授权"和"接口"。人的时代人们浏览网页,守在用户出口那根管道上的玩家占据主导地位;Agent 时代浏览不再是主角,调用接口和执行操作才是核心,于是价值向两端迁移——决定 Agent"能做什么"的授权层,以及 Agent 操作实际落地的应用接口层。
第二,"安全开始消耗算力"这一趋势,对不同参与者意味着截然不同的命运。同一趋势,对那些采购现成芯片来处理流量的 inline 管道玩家而言,是一项侵蚀利润的开支;对销售自研节能芯片的厂商,以及更上游的内存、存储、服务器、光模块供应商,反而是新增的市场需求。这条线索恰好与"AI 基建涨价"这条更为人熟知的主线相衔接——过去大家争抢训练和推理所需的硬件,现在要再加上新的竞争维度:连安全设备也加入了抢硬件的行列。安全,从一个软件议题,衍生出了一条硬件需求的新支线。
因此,当连安全卡口都需要比拼资本支出、拼芯片时,这条产业链上获取最大份额收益的,究竟还是不是安全公司本身?