现在很明显，AI正在改变世界运作的方式。这感觉像是一场巨大的运动，因为如此多的资本持续投入到AI领域，如此多聪明人致力于利用它，显然变革已经开始了。我们可以争论是否存在泡沫，但这与我今天想讨论的话题关系不大（此外，当每个人都涌向同一个机会时，总是会导致泡沫，无论是抵押贷款、比特币还是AI）。

我想谈的话题反而是AI如何重塑了人们对公司增长的预期（剧透警告：它彻底改变了这些预期）。在本文中，我将讨论AI如何改变初创公司的增长轨迹，然后谈谈我们的行业，以及为什么我认为，无论好坏，绝大多数网络安全初创公司都不会像新的AI公司那样快速增长。我最初想说“网络安全初创公司的增长速度永远无法匹敌新的AI公司”，但总会有人找到一个让这个观点看起来错误的例子，即使它适用于99.99%的市场，所以我宁愿保持一些可信度，换个说法。

AI初创公司的新1亿美元ARR增长曲线

几个月前，Bessemer发布了《2025年AI现状报告》（如果你没看过，我强烈建议一读）。在这份报告中，他们讨论了AI世界的趋势，并对未来几年提出了一些预测。总体而言，这是一份不错的读物，但让我印象深刻的是这样一个观点：在AI之前，顶尖公司平均需要约7年时间才能达到1亿美元的年经常性收入（ARR）。在后AI时代，所需时间已大幅缩短。根据Bessemer的说法，如今，优秀的AI初创公司（他们称之为“AI流星”）在4年内达到1亿美元ARR，而Bessemer称为“AI超新星”的卓越AI公司，大约在1.5年内就能达到1亿美元ARR。

这些数字令人惊叹。让我们看看报告中的几段内容：

“超新星是软件历史上增长最快的AI初创公司。这些企业几乎一眨眼就从种子轮冲刺到1亿美元ARR，通常是在商业化的第一年。这些既是我们看到的最令人兴奋的，也是最可怕的初创公司。几乎可以肯定地说，这些数字出现在收入可能显得脆弱的情况下。它们涉及快速采用，这要么掩盖了低转换成本，要么预示着可能与长期价值不符的巨大新颖性。这些应用通常非常接近核心基础模型的功能，以至于可能被贴上‘薄包装’的标签。在竞争激烈的红海市场中，利润率往往被压缩到接近零甚至为负，因为初创公司使用一切工具争夺赢家通吃的奖赏。”——来源：Bessemer的《2025年AI现状报告》

“相比之下，‘流星’看起来更像是卓越的SaaS公司：它们快速找到产品市场契合度，保留并扩展客户关系，并保持强劲的毛利率——由于增长更快和适度的模型相关成本，毛利率略低于SaaS同行。它们的平均增长速度超过了之前的SaaS前辈，但其速度仍然感觉受到组织扩展的传统瓶颈制约。这些企业可能尚未占据头条，但它们深受客户喜爱，并正走在创造软件历史的轨道上。

平均而言，这些‘流星’在收入第一年达到约300万美元ARR范围，同时实现同比增长四倍，毛利率约为60%，第一年每位全职员工产生的ARR约为16.4万美元。

如果说T2D3（三倍、三倍、两倍、两倍、两倍）定义了SaaS时代，那么Q2T3*（四倍、四倍、三倍、三倍、三倍）更能反映我们从当今AI‘流星’身上看到的五年轨迹。这些初创公司的增长速度明显快于传统SaaS，但仍然比爆炸性的AI‘超新星’更接近SaaS的基准。”——来源：Bessemer的《2025年AI现状报告》。

总的来说，我认为这份报告很好地概括了如今构建软件公司与大约2-3年前有何不同。同时，对我来说，它引发了很多问题，其中最大的是：“那么……这对网络安全意味着什么？”

AI时代的网络安全初创公司

AI改变了产品交付速度，但并未太多改变市场进入速度

略微转述Dave DeWalt的话，在网络安全领域，产品是寸土必争的游戏，而市场进入（GTM）则是万里长征。五年前如此，无论你是否喜欢，如今更是如此。技术上最优秀的产品很少能战胜更好的分销渠道（这就是为什么初创公司常常在大型供应商只是将新功能捆绑到其平台中的地方苦苦挣扎的原因之一）。

毫无疑问，AI使公司能够更快地推出新产品，更快地迭代，更快地了解什么有效、什么无效。然而，在网络领域，快速推出功能从来不是问题（以色列初创公司早就明白了这一点）。我们行业的增长完全关乎分销，而分销又完全关乎信任。

安全以信任的速度前进，而非以推出新功能的速度前进。 有趣的是，随着AI正在加速推出新功能的速度，它实际上减缓了信任建立的速度，因此概念验证（POC）可能会变得更长。企业正在质疑AI究竟如何被使用，它将如何处理他们的数据等等，而获取这些答案只会延长初创公司达成交易所需的时间。

一些安全初创公司可能成为“AI流星”，但大多数将停留在“云半人马”位置

首先，ARR如今是一个有趣的指标，因为据传闻，我们行业中的一些公司对其定义相当有“创意”，使他们能够吹嘘远高于流入其银行账户金额的数字。撇开非GAAP术语“ARR”的特殊性不谈，事实是安全收入通常不是一个飞轮。企业销售（大多数网络公司都向企业销售）是一场苦战，销售周期往往超过6-12个月。当POC需要9个月，首次购买可能来自“创新预算”时，很难成为“AI超新星”。

我毫不怀疑一些安全初创公司确实能够更快地完成采购流程。然而，（我很抱歉不得不这么说）这很可能不会是因为AI。归根结底，AI驱动的漏洞管理很可能要经过与漏洞管理相同的采购周期（甚至更多的检查和步骤），而AI驱动的SIEM很可能要经历与常规SIEM相同的过程。根据我的所见所闻，AI原生公司确实经常提供更优越的体验，一些现在可以借助AI解决的问题以前完全无法解决。然而，采购团队仍然像以前一样对它们进行一系列步骤（甚至更多）。

此外，许多安全产品并不需要AI。具有讽刺意味的是，对于非AI公司，通过POC可能比AI原生公司用时更短。底线是，虽然一些安全初创公司可能成为“AI流星”，但大多数将停留在“云半人马”的位置。它们仍将增长，仍将是稳健的企业，并且通常仍将有极佳的退出，但它们看起来将与这些“AI超新星”不同，这引出了本文最有趣的观点之一：风险投资。

并非安全初创公司是糟糕的投资；它们只是不同

并非安全初创公司是糟糕的投资；它们只是不同，而这些差异是结构性的。安全发展缓慢，因为就其本质而言，安全关乎降低风险，而一切新事物都是有风险的。信任始终决定网络领域的节奏。 对这个话题感兴趣的读者，我之前写过几篇关于安全领域信任的深度文章，包括《为什么有这么多网络安全供应商，这导致了什么，以及我们该何去何从》和《信任时间：它是什么，为什么网络安全初创公司必须缩短它以加速增长，以及如何做到》。

安全的增长是缓慢的，需要极大的耐心。以Zscaler为例，它最近庆祝ARR突破30亿美元——这对大多数网络公司来说是一个天文数字。大多数人没有意识到的是，Zscaler花了10年时间才达到1亿美元ARR，然后只用了5年多就达到10亿美元ARR。十年达到1亿美元ARR当然不是“AI超新星”，但没有人会否认Zscaler不是一个巨大的成功。成立于2011年的CrowdStrike，在2019年上市那年实现了2.5亿美元ARR（他们花了8年时间达到这个数字）。如今，6年过去了，该公司的ARR达到了46.6亿美元。这些数字表明，安全的增长关乎一致性、辛勤工作和信任的复合效应。它与增长黑客或营销伎俩无关；它关乎持续的价值交付和纪律。那些追求其他东西（快速扩张等）的公司历来难以建立持久的业务。

我认为我们将看到更多综合型风投离开安全领域

在过去十年中，从风投的角度来看，网络安全已成为科技领域最热门的类别之一。仅在过去一年，我们就看到了巨大的成果，从Wiz的收购到最近的CyberArk交易，以及一系列虽小但稳健的退出。自然，每一个目睹这些大型并购时刻的风投都希望自己是Wiz的早期投资者。有一段时间，他们的行为都像是在追逐下一个Wiz。直到现在。

你看，Wiz仍然只是一家公司。它是一个特例。尽管风投喜欢说他们热衷于押注特例，但大多数风投希望看到他们的投资如何成为千里挑一的路径。在网络领域，这可能相当困难。安全领域确实有伟大的故事（Palo Alto、Zscaler、Cloudflare、CrowdStrike，等等），但这并不是一个容易理解的市场，尤其是在似乎存在更轻松路径的世界里。

对于网络安全风投来说，做出投资决策更简单，因为他们的选择自由相当有限（毕竟，他们已向有限合伙人承诺将资金专门投资于安全领域）。当然，他们可以发挥创意，将一些无人机初创公司算作“安全”，或一些反欺诈解决方案，或者如果他们真的非常非常努力，甚至可能是AI语音初创公司。除此之外，他们必须将资金分配到他们承诺的行业中。最重要的是，他们深知，对于那些了解自己在做什么的人来说，网络安全领域的增长放缓并不意味着获得丰厚回报的潜力减少。

综合型风投在一套不同的激励机制下运作。他们不受特定垂直领域的束缚，甚至他们的“专长”也往往是广泛的，如SaaS、金融科技、企业软件、AI。那么，让我们回顾一下Bessemer关于在1.5年内达到1亿美元ARR的统计数据。现在想象一下，一个综合型风投在评估一家金融科技初创公司（运营10个月后ARR为500万美元）和一家网络安全初创公司（销售一年半，ARR有望达到170万美元）时的情景。在网络安全世界，170万美元在这个阶段被认为是非常好的，有时甚至是出色的。但是，当与一家收入是其3倍且用时更短的金融科技初创公司并排比较时，综合型风投不太可能印象深刻。这不是无知；这只是理性的投资组合决策。在更大类别中实现更快增长是难以反驳的。

如果当前趋势持续下去，我认为这将导致许多“观光客”风投离开网络领域，因为他们将无法证明投资于这些“增长较慢”的安全公司（相对于那些一年后ARR达到1000万至4000万美元的“AI超新星”）是合理的。看看Bessemer的这张图表，网络安全很可能默认且设计上会保持在“云半人马”位置，只有少数公司能作为例外而非新常态进入“AI流星”类别。我认为，了解该领域、在交易时对市场演变有清晰认识的网络安全专业风投不仅会留下来，而且将继续产生丰厚的回报。同时，我完全预计综合型风投的兴趣将枯竭，因为他们将继续纠结于如何按照新标准将“看起来普通的公司”与AI超级明星进行比较。

展望未来

预测未来从来都不容易，但有时迹象是明显的。除非安全预算无限期扩张，并且除非安全买家突然变得不那么规避风险（这两者似乎都不太可能），否则安全初创公司将难以与新一轮AI公司竞争以吸引风投的关注。随着越来越多的AI原生初创公司报告破纪录的ARR数字，对比变得越来越鲜明。是的，其中一些数字被夸大了，许多这些公司将像它们融资一样快地崩溃，但AI对各行各业的影响似乎是真实的，它带来的竞争也是如此。

目前，仍有大量资金流入安全初创公司，但可能很快就会变得更加困难。尽管听起来很奇怪，但这实际上可能对该行业是健康的。一旦“观光客”对网络安全的热情消退，那些真正理解安全、并花大量时间与安全买家打交道的风投应该会发现他们的工作更轻松。这变成了一种自然选择：解决真实、紧迫问题的公司将得以生存，而那些建立在炒作或微弱信号之上的公司将不可避免地挣扎。