大多数网络安全公司根本无法像新兴AI初创公司那样快速扩张

AI如何改变稳健增长的定义及这对网络安全初创公司意味着什么

现在很明显，AI正在改变世界的运作方式。这感觉像是一场巨大的运动，因为有如此多的资本持续投入AI，如此多的聪明人致力于利用它，显然这场变革已经正在进行中。我们可以争论是否存在泡沫，但这与我今天想讨论的话题关系不大（此外，当所有人都涌向同一个机会时，无论是抵押贷款、比特币还是AI，都总会导致泡沫）。

我想探讨的话题是AI如何重塑对公司增长的期望（剧透警告：它完全改变了这些期望）。在这篇文章中，我将讨论AI如何改变初创公司的增长轨迹，然后谈谈我们的行业，以及为什么我认为，无论好坏，绝大多数的网络安全初创公司都不会像新兴的AI公司那样快速增长。我最初想说“网络安全初创公司的增长率永远无法匹配新兴AI公司的增长率”，但总会有人找到一个例子让这个观点看起来是错的，即使它适用于99.99%的市场，所以我宁愿保持一些可信度，换个角度表述。

AI初创公司的新1亿美元年度经常性收入增长曲线

几个月前，Bessemer发布了《2025年AI现状报告》（如果你还没看过，我强烈推荐一读）。在这份报告中，他们讨论了AI世界的趋势，并对未来几年提出了一些预测。总体而言，这是一篇很好的读物，但让我印象深刻的是这样一个观点：在AI之前，顶级公司平均需要约7年时间才能达到1亿美元的年度经常性收入（ARR）。在后AI时代，所需时间已大幅缩短。今天，根据Bessemer的说法，优秀的AI初创公司（他们称之为“AI流星”）在4年内达到1亿美元ARR，而卓越的AI公司，Bessemer称之为“AI超新星”，大约在1.5年内达到1亿美元ARR。

图片来源：Bessemer的《2025年AI现状报告》

这些是惊人的数字。让我们看看报告中的几段内容：

“超新星是软件历史上增长最快的AI初创公司。这些企业从种子轮到1亿美元ARR只需极短时间，通常是在商业化的第一年。这些公司既是最令人兴奋的，也是最令人恐惧的初创公司。几乎可以定义，这些数字出现在收入可能显得脆弱的背景下。它们涉及快速采用，这要么掩盖了较低的转换成本，要么预示着可能与长期价值不符的巨大新颖性。这些应用通常非常接近核心基础模型的功能，以至于可能被贴上‘薄层封装’的标签。在竞争激烈的领域，利润率通常被压缩到接近零甚至为负，因为初创公司使用一切工具争夺赢家通吃的奖品。”——来源：Bessemer的《2025年AI现状报告》

“相比之下，流星看起来更像杰出的SaaS公司：它们快速找到产品市场契合度，保留并扩展客户关系，并保持强劲的毛利率——由于增长更快和适度的模型相关成本，毛利率略低于SaaS同行。它们平均比之前的SaaS公司增长更快，但速度仍然感觉受限于扩展组织的传统瓶颈。这些公司可能尚未主导头条新闻，但深受客户喜爱，并正在走向创造软件历史的轨迹。

平均而言，这些流星在收入第一年内达到约300万美元ARR范围，同时实现年同比增长四倍，毛利率约为60%，第一年每全职员工ARR约为16.4万美元。

如果T2D3（三倍、三倍、双倍、双倍、双倍）定义了SaaS时代，那么Q2T3*（四倍、四倍、三倍、三倍、三倍）更好地反映了我们今天从AI流星身上看到的五年轨迹。这些初创公司的增长明显快于传统SaaS，但仍然比爆炸性的AI超新星更接近SaaS基准。”——来源：Bessemer的《2025年AI现状报告》。

总体而言，我认为这份报告很好地概述了如今构建软件公司与2-3年前的不同之处。同时，对我来说，它提出了很多问题，其中最大的一个是“那么……这对网络安全意味着什么？”

AI时代的网络安全初创公司

AI改变了产品交付速度，但并未同等改变进入市场的速度

稍微转述一下Dave DeWalt的话，在网络安全领域，产品是寸土必争的游戏，而进入市场（GTM）是英里赛跑的游戏。五年前是这样，无论你喜欢与否，今天更是如此。技术上最卓越的产品很少能战胜更好的分销渠道（首先，这就是为什么初创公司常常在与将新功能捆绑到平台中的大型厂商竞争时挣扎的原因）。

毫无疑问，AI使公司能够更快地交付新产品，更快地迭代，更快地了解什么有效、什么无效。然而，在网络安全领域，快速交付功能从来不是问题（首先，以色列的初创公司已经弄清楚了这一点）。我们行业的增长完全关乎分销，而分销又完全关乎信任。

安全以信任的速度前进，而不是以交付新功能的速度前进。有趣的是，当AI正在加速交付新功能的速度时，它实际上正在减缓信任的速度，因此概念验证（POC）可能会变得更长。企业正在质疑AI的具体使用方式，它将如何处理他们的数据等等，而获得答案只会延长初创公司完成交易所需的时间。

一些安全初创公司可能成为“AI流星”，但大多数将停留在“云半人马”的位置

首先让我说，ARR如今是一个有趣的指标，因为我们行业中有些公司被传在定义ARR方面非常有创意，使他们能够吹嘘远高于流入其银行账户金额的数字。撇开非GAAP术语“ARR”的特殊性不谈，事实是安全收入通常不是一个飞轮。企业销售（大多数网络安全公司都向企业销售）是一项艰苦的工作，销售周期通常超过6-12个月。当POC需要9个月，首次购买可能来自“创新预算”时，很难成为“AI超新星”。

我毫不怀疑，一些安全初创公司将确实能够更快地完成采购流程。然而，（我很抱歉不得不这么说）这很可能不是因为AI。归根结底，AI驱动的漏洞管理很可能将经历与漏洞管理相同的采购周期（甚至更多检查和步骤），而AI驱动的SIEM很可能将经历与常规SIEM相同的过程。根据我的所见所知，AI原生公司确实经常提供卓越的体验，一些现在借助AI可以解决的问题以前是完全无法解决的。然而，采购团队仍然像以前一样（甚至更多）对它们进行一系列相同的步骤。

还有一个事实是，许多安全产品不需要AI。具有讽刺意味的是，对于非AI公司来说，通过POC可能比AI原生同行花费更少的时间。底线是，虽然一些安全初创公司可能成为“AI流星”，但大多数将停留在“云半人马”的位置。它们仍将增长，仍将是持久的企业，并且通常仍将有出色的退出，但它们看起来将与这些“AI超新星”不同，这引出了本文最有趣的一点：风险投资。

并非安全初创公司是糟糕的投资；它们只是不同

并非安全初创公司是糟糕的投资；它们只是不同，而这些差异是结构性的。安全之所以缓慢，是因为就其本质而言，安全关乎降低风险，而一切新事物都是有风险的。在网络安全领域，信任始终决定节奏。对于那些对这个话题感兴趣的人，我之前写了几篇关于安全信任的深度文章，包括《为什么有这么多网络安全供应商，这导致了什么以及我们将何去何从》和《信任时间：它是什么，为什么网络安全初创公司必须缩短它以加速增长，以及如何做到》。

安全的增长是缓慢的，需要极大的耐心。例如，以Zscaler为例，该公司最近庆祝突破30亿美元ARR——这对大多数网络安全公司来说是一个天文数字。大多数人没有意识到的是，Zscaler花了10年时间才达到1亿美元ARR，然后又花了5年时间达到10亿美元ARR。十年达到1亿美元ARR肯定不是“AI超新星”，但没有人会认为Zscaler不是一个巨大的成功。成立于2011年的CrowdStrike，在2019年上市当年实现了2.5亿美元ARR（他们花了8年时间才达到这个数字）。今天，6年后，该公司的ARR达到了46.6亿美元。这些数字表明，安全的增长关乎一致性、辛勤工作和信任的复合效应。它不是关于增长黑客或营销噱头；而是关于持续的价值交付和纪律。历史上，那些追求其他东西（快速扩张等）的公司很难建立持久的企业。

我认为我们将看到更多综合型VC离开安全领域

在过去十年中，从VC的角度来看，网络安全已成为科技领域最热门的类别之一。仅在过去一年，我们就看到了巨大的成果，从Wiz的收购到最近的CyberArk交易，以及持续不断的小型但稳固的退出。自然地，每一个看到这些大型并购时刻的VC都希望自己曾是Wiz的早期投资者。有一段时间，他们都表现得像是在追逐下一个Wiz。直到现在。

你看，Wiz仍然只是一家公司。它是一个异类。尽管VC喜欢说他们喜欢押注异类，但大多数人都希望看到他们的投资如何成为千里挑一的那一个的路径。在网络安全领域，这可能相当困难。安全领域确实有伟大的故事（Palo Alto、Zscaler、Cloudflare、CrowdStrike，等等），但这不是一个容易理解的市场，尤其是在似乎有更容易路径的世界里。

对于网络安全VC来说，做投资决策更简单，因为他们的选择自由相当有限（毕竟，他们已经向LP承诺，他们将 precisely 投资于安全领域）。当然，他们可以发挥创意，将一些无人机初创公司算作“安全”，或一些反欺诈解决方案，甚至如果他们非常、非常努力，也许可以算上AI语音初创公司。除此之外，他们必须在他们承诺的行业内分配资本。最重要的是，他们很清楚，对于那些了解自己在做什么的人来说，网络安全增长较慢并不意味着获得出色回报的潜力更小。

综合型VC在一套不同的激励机制下运作。他们不受特定垂直领域的约束，甚至他们的“专长”也往往是宽泛的，比如SaaS、金融科技、企业软件、AI。那么，让我们回顾一下Bessemer关于在1.5年内达到1亿美元ARR的统计数据。现在想象一下，一个综合型VC正在评估一家在10个月内实现500万美元ARR的金融科技初创公司，与一家销售了一年半、有望实现170万美元ARR的网络安全初创公司。在网络安全世界，170万美元在那个阶段被认为是非常好，有时是 exceptional 的。但是，当与一家在更短时间内以3倍收入冲刺的金融科技初创公司并排比较时，综合型VC不太可能印象深刻。这不是无知；这只是理性的投资组合决策。在更大类别中实现更快的增长是很难反驳的。

如果当前趋势继续下去，我认为这将驱赶许多“游客”VC离开网络安全领域，因为他们根本无法证明投资于这些“增长较慢”的安全公司优于那些一年后就有1000万到4000万美元ARR的“AI超新星”。看看Bessemer的这张图表，网络安全很可能将默认且设计上保持为“云半人马”，只有少数公司作为例外而非新常态进入“AI流星”类别。那些理解这个领域、并且对如何达成交易有深入了解的网络安全专业VC，我认为不仅会留下来，而且将继续产生丰厚的回报。同时，我完全预计综合型VC的兴趣将会枯竭，因为他们将继续纠结于如何将按新标准看“看似普通的公司”与AI超级明星进行比较。

展望未来

预测未来从来都不容易，但有时迹象是明显的。除非安全预算无限扩张，并且除非安全买家突然变得不那么厌恶风险（这两者似乎都不太可能），否则网络安全初创公司将很难与新一轮AI公司竞争VC的关注。随着越来越多的AI原生初创公司报告破纪录的ARR数字，这种对比正变得越来越明显。是的，其中一些数字被夸大了，许多这些公司将像它们筹集资金一样快速崩溃，但AI对各行业的影响似乎是真实的，它带来的竞争也是如此。

目前，仍有大量资本流入网络安全初创公司，但可能很快就会变得更加困难。听起来很奇怪，这对行业来说实际上可能是健康的。一旦“游客”对网络安全的热情减退，那些真正理解安全、并花大量时间与安全买家打交道的VC，他们的工作应该会变得更容易。这变成了一种自然选择：解决真实、紧迫问题的公司将得以生存，而那些建立在炒作或弱信号上的公司将不可避免地挣扎。

如果你喜欢我的博客，请订阅并与你的朋友分享。我在空闲时间做这件事，所以看到读者群增长有助于我保持动力并写更多东西。除了我的文章，我不发送任何东西，也不将你的数据卖给任何人，因为我有更好的事情要做。

如果你是建设者——现任或有抱负的初创公司创始人、安全从业者、营销或销售负责人、产品经理、投资者、软件开发人员、行业分析师，或其他正在构建网络安全未来的人，请查看我的畅销书《Cyber for Builders》。

如果你的公司有兴趣赞助Venture in Security，请查看赞助页面。

最后，查看Inside the Network播客，我们在那里为你带来构建网络安全未来的最佳创始人、运营商和投资者。