Skip to content

Latest commit

 

History

History
101 lines (71 loc) · 9.58 KB

File metadata and controls

101 lines (71 loc) · 9.58 KB

AI 資安生態位:賣鏟人故事到底誰最對位

2026-06-07。起點是一篇 CrowdStrike 2026 Q1 財報貼文 + Kurtz「賣鏟人 / Mythos」電話會發言。 一路推到「AI agent 時代誰的資安生態位最對」,以及這個多方共識正在略過什麼。 比較對象:CrowdStrike、Palo Alto、Zscaler、SentinelOne。

0. 起點:那篇 CRWD 財報怎麼讀

CrowdStrike 2026 Q1:總營收 13.86 億(+26%)、net new ARR 2.56 億(+32%,Q1 新高)、Non-GAAP 營業利潤率 18%→24%、FCF 4.68 億、Rule of 40 = 59。同步宣布上市首次股票分割(4 拆 1)。

訊號 vs 雜訊

  • 雜訊:股票分割(不改變價值,情緒題)、總營收 +26%(訂閱制的落後指標,幾乎是已知數)。
  • 真訊號:net new ARR 加速 + 上調全年 500bps(這是 CRWD 的領先指標,公司能透過 bookings 控制)。
  • 隱形大訊號:2024 七月全球當機事件沒被提,但「連四季加速 + Q1 net new ARR 創高」本身就是「客戶信任已修復完畢」的證據。
  • 最高品質:Rule of 40 = 59 + 利潤率擴張——成長與獲利同時往上,最難造假。

為什麼股價跌:Q2 營收財測只與市場共識持平。財報後驗超棒、前瞻打平。

矛盾即訊號:全年上調 ARR、Q2 卻只給 in-line 營收 → 管理層對「自己能控制的 bookings」比「近期營收認列時點」有信心。可能是當機年後的習慣性 sandbagging,也可能 deal 週期拉長。下一季 beat 多少能驗證。

1. Kurtz 那段話在講什麼(賣鏟人 / Mythos)

三層:

  1. 「Mythos 時刻」:Mythos 是 CRWD 自家 AI 平台敘事。Kurtz 用「iPhone 時刻」式句型,要宣告「資安角色正在質變」的轉折。
  2. 「資安從成本項 → AI 關鍵基礎設施」:過去資安是「不得不花的保險費」(成本中心,能省則省);Kurtz 主張現在「要部署 AI 就必須先有資安」=資安變成 AI 能不能跑的前提=基礎設施。證據是客戶心聲「想更快部署 AI,但需要先解決資安」。若為真,資安預算性質從「可砍」變「不能不花」,是估值邏輯的大升級。
  3. 「賣鏟人」(picks and shovels):1849 淘金潮典故——穩賺的不是淘金者,是賣鏟子的。要投資人這樣想 CRWD:不用賭哪個 AI 應用會贏,只要 agent 大量部署、每個都要保護,CRWD 就收過路費。「90 個 agent / 員工、每個都要保護」是「鏟子市場有多大」的量化版。

提醒:這套敘事結構成立、也漂亮,但每家資安公司都會講一模一樣的故事。聽 CEO 賣願景時,要回去看實測(net new ARR、AI DR 實際 pipeline),不是看話講得多好。

2. 核心推論鏈:為什麼比較不能比功能,要比「層」

鏈 A:護城河 = 收費站的「無法繞過程度」 賣鏟人能不能持續收錢,不看技術多好,看位置別人能不能繞過。功能會被抄(generative 能力正在商品化),位置不會。所以四家要拆到「agent 生命週期裡卡在哪一層」。

四家的層定位(各自的既有護城河決定站哪層)

  • CrowdStrike — 端點/執行層:Falcon AIDR 看「agent 實際做了什麼」(走 process tree、看真實動作不猜意圖),橫跨 endpoint→SaaS→cloud→AI pipeline,綁自家威脅情報 + XDR。
  • Palo Alto — 網路/平台層:Prisma AIRS 跑在 NVIDIA BlueField DPU 硬體層,平台套件最廣,併了 CyberArk(身份)
  • Zscaler — 流量/Zero-Trust 代理層:inline 看所有進出 GenAI 工具的流量,強在 shadow AI、資料外洩。
  • SentinelOne — 端點挑戰者:AI SIEM + Purple AI,規模最小、彈性最大(高 beta)。

鏈 B:為什麼身份是最普世的收費站 一個 agent 端點可以不碰(跑雲端)、網路流量可以走內部(agent 對 agent),但它一定要有身份去認證、拿權限、被授權。沒身份什麼都做不了。所以身份是唯一「100% 的 agent 都會經過」的點。2026 浮現的共識:agent 本質是一個「非人類身份」(NHI)——46% 的 AI 工具已能碰核心系統、76% 沒納入特權管理。

鏈 C:為什麼模型廠的點名是硬訊號 OpenAI 的 Trusted Access for Cyber(2026 April)只點名 PANW / CRWD / ZS,跳過 S1;Anthropic 的 Project Glasswing 是 CRWD + PANW。離 AI 最近的人用行動投票誰是收費站,比 CEO 口頭願景可信一階。

3. 排序與理由

  1. Palo Alto — 故事最對位,不是 CrowdStrike。併 CyberArk 直接卡在「agent = 非人類身份」這個最普世的收費站,平台化最廣、執行風險最低。身份層覆蓋面天然大於端點層。代價:整合風險。
  2. CrowdStrike — 財報品質最高、敘事最會講,但護城河最可能被搬走。優勢是執行層遙測 + 最乾淨現金流。風險:agent 越來越不跑在傳統端點,而是雲端/SaaS 身份;RSAC 2026 三家(含 CRWD)都被點出「agent 行為基線」缺口沒補。它的護城河最依賴「surface 留在端點」。
  3. Zscaler — 估值最甜,卡點偏窄。看流量適合 shadow AI,但 agent 對 agent、執行期看不到。
  4. SentinelOne — torque 最大,生態位驗證最弱(模型廠沒點名)。

4. 共識 vs 非共識(時間軸很重要)

  • 12 個月前共識:AI 會吃掉資安、CRWD 要完蛋(空方)。
  • 現在(2026 年中)共識:CRWD 贏了、最佳季、AI 是順風、賣鏟人成立(多方)。一年前空方被財報打臉退場。
  • 危險:鐘擺從「AI 殺手」盪到「AI 救世主」,已 price in。盪到滿時就該找它略過什麼。

三個非共識

非共識 1:收費站可能不歸這四家——模型廠正在往下吃 OpenAI 已出 GPT-5.4-Cyber、Daybreak(AI 找漏洞 + 驗補丁)。今天叫「夥伴計畫」,常是平台往應用層吃的第一步。鏟子的供應商(模型廠)自己開始賣鏟子。 加上 hyperscaler 把資安綁進 compute 合約壓價。「這四家穩收過路費」建立在「模型廠/雲廠願意一直只當上游」這個沒人質疑的假設上。

非共識 2(最硬一條):「每個 agent 都要保護」≠ 每個 agent 都收得到錢 用「估計值 vs 實測值」拆 Kurtz 的「90 個 agent / 人」:

  • 「量」這個估計值大概率對——agent 數會爆。
  • 營收 = 單價 × 量,問題在單價。agent 把 seat 壓縮 90%、不佔 license、不登入、成千上萬瞬起瞬滅;而資安歷史上按端點 / seat / workload 計價。當被保護對象變 ephemeral,舊計價會崩。
  • 真正該追問:CRWD 打算怎麼對一個活 30 秒的 agent 收費? 這是當前最被略過的問號,因為 net new ARR 太漂亮,沒人去追計價結構撐不撐得到 agent 時代。

非共識 3(反向的反向,對 CRWD 偏多):AI 可能加深遙測護城河而非商品化資安 當人人能用 AI 做偵測,偵測模型本身就不值錢,差異化回退到「誰有最多真實遙測資料餵 AI」。那 CRWD 的 threat graph(全球端點即時資料)反而更稀缺,因為資料 AI 抄不走。呼應本 repo 的卡:harness/資料 > 模型本身。模型商品化的世界,贏家是有獨家資料管道的人。CRWD 真護城河不是「AI 多強」,是「看得到別人看不到的東西」。

5. 收斂與該盯的領先指標

  • 多方共識(CRWD = 賣鏟人)中期大概率對,因為遙測護城河(非共識 3)真存在。
  • 但兩個結構風險被 euphoria 蓋住:計價模型能否撐到 agent 時代(非共識 2)、模型廠會不會往下吃(非共識 1)。
  • 生態位最對故事的仍是 Palo Alto(身份收費站);CRWD 是「最會講 + 資料最厚,但位置要證明能延伸」。

該盯的領先指標(不看營收,看這些先動):

  1. CRWD / PANW 有沒有推出明確的「per-agent / 非人類身份」計價。
  2. 模型廠的 cyber 產品是合作,還是開始自營銷售。
  3. 身份類資產(CyberArk 整合、Okta 的 agent 身份)成長速度有沒有超過端點。

哪個先轉,哪個就告訴你收費站在往哪移。

可能升級成卡片的兩條元判斷(可跨脈絡重用)

  • 「身份是 agent 的收費站」:在 agent 大量部署的世界,最普世的卡點是身份(每個 agent 都是一個必須認證的非人類身份),不是端點/網路/流量。這條不只適用資安,適用任何「agent 經濟誰收費」的問題。
  • 「賣鏟人故事的計價斷層」:TAM 故事講「量」會爆時,要回去追「單價 × 量」的單價端——舊計價模型(per-seat/per-endpoint)在 ephemeral agent 面前可能崩。讀任何「每個 X 都需要 Y」的 TAM 敘事都該套這個檢查。

出處