AI并未显著降低安全创业的门槛

有很多关于人工智能如何改变网络安全行业运作方式的讨论，我当然不会反对这个观点。与此同时，我逐渐形成了一种观点：对于初创公司来说，它带来的改变并不像许多人假设的那么大。在我完全失去你的注意力之前，让我解释一下。

为了使这次讨论有意义，我认为我们需要分开两条思路：AI为客户带来了什么，以及AI为初创公司解决了什么。这是两个非常不同的对话，虽然我想把文章的重点放在后者上，但如果我不简要地谈谈前者，就不会完全理解。

本期由 Harmonic Security 为您呈现。早期访问开放：具有智能数据控制的 MCP 网关

代理式AI正在快速发展，而大多数团队对其实际发生的情况一无所知。Harmonic的MCP网关改变了这一点。它是一个轻量级、对开发者友好的网关，让安全团队能够了解MCP的使用情况，并能够设置实际的控制措施，在出现问题之前阻止有风险的客户端或数据流。我们正在向数量有限的前瞻性安全团队开放早期访问。在此为您的团队申请早期访问：请求早期访问。

欢迎来到 Venture in Security！在我们开始之前，帮我一个忙，确保你点击了“订阅”按钮。订阅让我知道你关心这个专栏，并激励我写更多文章。谢谢大家！订阅

对于客户而言，AI正在改变安全工作的方式

在过去的一年里，我清楚地认识到，AI已经在改变安全工作的方式。现在，这并不是因为大语言模型（LLM）在检测方面完美无缺，或者AI没有缺陷（它们并不完美，也确实有缺陷）。我对这波AI浪潮所释放的机遇持乐观态度的更重要的原因很简单。安全团队超过90%（有些人甚至会说95-97%）的日常工作并不是什么高级的事件响应或与国家行为体打交道。大多数安全团队的工作与追查高级攻击者无关。更重要的是，那是枯燥、平凡的工作，比如：

为领导更新报告和仪表盘
为审计收集截图和证据
回应重复的访问和合规请求
跨工具和系统核对数据
调查永远不会有什么结果的低优先级警报
记录发现并处理无穷无尽的工单

如果你有兴趣了解更多，我之前写过一篇专门的深度文章来讨论这个问题：大多数安全团队的工作与追查高级攻击者无关。

这里的重点是，所有这些手动工作正是那种适合自动化机会的工作，也是AI代理可以发挥重要作用的地方。作为一个行业，我认为我们应该兴奋地使用AI来简化或消除耗时但必要的工作，为自己争取时间专注于我们根本无法触及的高价值工作。这就是扩展安全团队的意义所在，我对这对企业和初创公司都创造的机会感到非常乐观。

评估AI对安全初创公司的影响则更为棘手

当谈到AI为安全初创公司带来了什么时，我的看法与我在网上看到的很多内容不同。我看到有些人认为AI使得快速验证需求、大幅缩短上市时间、甚至避免雇佣高级工程人才成为可能。有些人甚至认为企业将用自己构建的代理式解决方案取代所有昂贵的SaaS订阅。我对这两种说法都不太赞同。

AI并未显著简化安全领域的真实需求验证

我非常喜欢AI原型制作工具（V0是我最喜欢的之一，但如果你有更好的建议，我很乐意听听）。原型制作使得在几分钟内迭代设计、生成足够好的工作原型用于与潜在客户测试成为可能。它们非常棒。那么，为什么我说AI并没有让安全领域的真实需求验证变得明显更容易呢？答案很简单：因为获取关于原型的反馈与真正的需求验证相差甚远。

我最近写了一篇题为《网络安全初创公司构思、发现和验证的真实困境》的文章，其中扩展了Stephen Ward在网上分享的一些想法，并引用了他在LinkedIn上分享的一个关于构思旅程的精彩图示。

图片来源：Stephen Ward

我在这里谈论的是不同的东西。这更多地是关于一个事实，即在B2B领域，真正的验证只有当有人愿意掏钱买单时才算数。理想情况下，你希望这个人除了想解决他们公司的一个痛点问题之外，没有任何其他动机这么做。

人们总是愿意分享他们的观点，而拥有一个想法的视觉呈现是非常重要的。AI原型工具可以帮助收集反馈、了解问题，甚至根据用户反馈规划应该优先考虑哪些功能。原型做得不好的一点是验证某人是否会支付真金白银（至少根据我的观察是这样）。

AI并未显著加速安全领域的市场推广

我听到行业内的许多人说过类似这样的话：“既然我现在可以更快地发布新功能，我就能以3倍到10倍的速度扩展规模。”在其他市场——看起来是这样，在消费领域——当然，但在安全领域，并非如此。

创始人现在确实可以更快地发布新功能，但安全领域快速增长的最大障碍从来都不是发布新功能的速度。安全创始人必须应对的头号障碍是长达数年的销售周期，而这一点短期内不会改变。

Aviso Ventures的Andrew Peterson（之前是Signal Sciences的创始人兼CEO）在他的LinkedIn帖子中说得非常非常好：“AI正在改变你构建产品和功能的速度，但它并没有改变安全领域销售周期的缓慢。尽管构建功能的速度加快了，但这将继续阻碍信息安全领域的增长速度。

你可能认为产品的成本可能会大幅下降，从而推动采用速度，但安全产品的价格几乎一直是由销售和营销成本驱动的，而不是开发成本或毛利率（安全领域的毛利率通常都出奇地好）。

在我们看到安全领域的销售周期有所改善之前，我们将暂时受困于缓慢的采用曲线。我预计这会如何改变是一个更长的话题，但简短的版本是：我不认为会改变。主要是因为安全的实施依赖工程部门来安装有意义的控制措施，而他们很少是优先考虑的对象（尽管实际实施变得越来越容易）。

尽管如此，安全初创公司的增长一直很强劲，我预测将继续如此，因为总有新的机会和创新出现。我只是不预测增长会因为AI而加速，尽管我在其他行业看到了这一点。”

我认为我无法为这个非常完美的总结添加更多内容了，它总结了我一直在观察到的现象。如果一个原本需要9个月才能发布的功能现在只需要6个月，那是一个巨大的改进（缩短了30%）。但如果这个功能还需要一年时间才能卖出去，那么计算就不同了。原本从概念到第一个付费客户可能需要1年9个月，现在可能变成1年6个月。实际上，可能更长，因为担心AI生成代码引入风险的安全团队可能会延长评估周期，要求查看更多的架构图等等。我们可能在编写软件上节省了时间，但如果销售周期保持不变甚至变得更长，我们就不会在市场推广速度上看到根本性的差异。

AI并不能避免雇佣资深工程人才

然后是人才问题。我听好几个人说过，有了像Claude Code这样的工具，公司可以减少雇佣高级工程师，初创公司可以吸引渴望使用新工具的年轻、有冲劲的人才。正如某位智者曾经说过的，理论上，理论和实践没有区别，但在实践中，却有区别。这在涉及开发人员和AI生成代码时非常适用。

我的思路很简单：从第一性原理出发，并没有发生太大变化，很可能，也不会发生太大变化：

渴望学习、成长和尝试新事物，但没有扎实经验的人，随着时间的推移，会胜过那些有经验但学习成长动力不足的人。这在AI之前就是如此，有了AI也不会有变化。AI只会放大有动力和没动力的工程师之间的差距。现在是2025年了，任何“还没有时间”开始使用AI编码助手的软件工程师，可能正在被行业淘汰。
足够谦虚地承认自己没有所有答案，并且足够聪明地总是寻找捷径的人，随着时间的推移，会胜过那些有更多答案但觉得寻找捷径有损自尊或使自己显得逊色的人。这在AI之前就是如此，当时一些开发者只是“太优秀”了，不愿意去Stack Overflow或直接向同事求助，会浪费数小时时间自己摸索。AI只是让这两类工程师之间的区别更加明显。
拥抱新技术和新工作方式的人总是会比那些不这样做的人表现更好。有很多开发者反对云、反对敏捷、反对小批量交付、反对持续交付等等。历史已经证明他们都大错特错了。我认为对于AI也不会有什么不同：不接受它的开发者将走向与那些不想拥抱云的开发者同样的道路。
在为规模化构建和为确定性精确性构建方面，经验将继续重要。构建一项服务是一回事，而构建一项能在企业规模下运行的服务是另一回事。
在一个人们认为可以仅凭AI就进入他们一无所知的领域的世界里，领域专业知识将变得更加重要。
那些雇佣一群工程师并要求他们使用Claude生成代码，却没有建立真正的护栏来确保代码质量的公司，将在获得第一个付费客户之前就被技术债务淹没。在我看来，没有AI工具的高级工程师速度太慢且成本太高；没有经验但有干劲并使用AI编码工具的初级工程师很可能会搞砸太多事情并制造出成堆的技术债务。最好的答案是雇佣优秀的工程师，并为他们提供所有最新、最好的工具。然而，这确实意味着，吸引优秀人才在今天和以前一样关键（甚至可以说更加关键！）。

人们忽略的另一个有趣的事情是，AI正在使构建软件变得更难，而不是更容易。Mrinal Wadhwa几周前阐述了这个想法：“到目前为止，大多数软件都专注于表单。大多数软件工程师的职业生涯都在构建三层Web应用。相比之下，具有代理的产品是随机的；每个请求都有很长的生命周期；通信通过双向消息流进行；状态分布在各个代理之间；等等。这是更难的工程。当然，生成代码变得更容易了，但要构建可扩展且安全的可靠产品，我们现在需要复杂得多的架构。”我推荐听一下这个7分钟的片段，因为它很好地解释了为什么与几年前相比，强大的工程人才在今天更加关键。

AI短期内不会扼杀安全产品

在过去的几个月里，我听到一些人说：“我现在可以在周末内‘氛围编程’出大部分安全产品”，预测这种氛围编程的浪潮将导致企业停止购买SaaS。在我看来，这与事实相去甚远。

那些认为企业购买软件只是因为无法内部构建的人，从根本上误解了大型组织的运作方式。开源已经存在了几十年，为什么企业仍然在免费可用的软件上花费数百万美元？因为在它们的规模下，真正的成本不在于每个用户的许可费，而在于维护、可靠性和支持。

一旦一家公司达到5000名员工（并且肯定超过25000名），它就需要可扩展的所有权、维护和问责系统。如果每个人都只是氛围编程出自己的工具然后就不管了，整个结构就会崩溃。每个大型企业都已经有一些内部工具，其创建者已经离开（甚至去世），留下了没有人敢碰的脆弱系统。这正是他们选择购买而不是构建的原因，也是他们为什么对将AI应用于问题如此谨慎的原因。

安全的另一个方面是，它关乎深度。当然，任何人都可以氛围编程出一个高级的基本系统，来接收云配置并输出一些发现。这确实很容易。然而，要使其适用于企业规模、企业复杂性和企业环境，仅仅氛围编程是远远不够的。更重要的是，要识别复杂系统中的风险，安全产品必须“五英寸宽，十英尺深”，而这种深度来自于人类的专业知识、研究和明确的专注，而不是让Claude写一些“云检测逻辑”。

结语：对初创公司而言，AI是强大的放大器，而非补偿器

有很多讨论认为AI极大地降低了创业的难度。在其他行业和市场领域可能是这样，但我认为在安全领域并非如此。让我明确重申：AI确实使初创公司能够解决以前根本解决不了的问题。此外，它放大了我们行业一直在努力解决的许多安全问题（数据安全、SaaS安全、第三方风险管理等）。所有这些都创造了新的可能性、新的问题，从而创造了新的市场和新机会。

然而，在我看来，AI没有改变的是安全公司的构建方式。它确实让一些事情（如原型制作）变得更容易，但它并没有把一个坏想法变成好想法，也没有让“看起来不错”变成真正的验证。AI让优秀的开发人员比以前更有效率，但它并没有把一个初级开发人员变成资深专家，也没有把一个缺乏动力的开发人员变成一个高效能工程师。换句话说，AI是一个强大的放大器，但它不是一个补偿器。

最重要的是，AI并没有真正改变基本原则：

安全关乎信任，而AI的不可预测性只会提高建立信任的门槛。
企业销售关乎处理人际关系和复杂性，而AI在减少这种复杂性方面作用甚微。
构建伟大的产品需要深度和专业知识，你不能依靠字面上的人类知识平均水平来获胜。

建立成功公司的基本原则并没有真正改变：一个广阔的市场、一个强大的团队，以及必须做出的上千万个正确决策，同时希望错误的决策无关紧要到不会产生影响。

如果你喜欢我的博客，请订阅并与你的朋友分享。我是在业余时间做这件事的，所以看到读者群增长有助于我保持动力并写更多文章。除了我的文章，我不会发送任何其他东西，也不会把你的数据卖给任何人，因为我有更好的事情要做。

如果你是建设者——现任或未来的初创公司创始人、安全从业者、市场或销售负责人、产品经理、投资者、软件开发人员、行业分析师，或是其他正在建设网络安全未来的人——请查看我的畅销书《Cyber for Builders》。

如果你的公司有兴趣赞助Venture in Security，请查看赞助计划。

最后，请查看Inside the Network播客，我们在这里为你带来构建网络安全未来的最佳创始人、运营者和投资者。