现在非常明显，人工智能正在改变世界的工作方式。这感觉像是一场大规模的运动，因为有如此多的资本持续投入AI领域，如此多聪明的人致力于利用它，显然转型已经开始了。我们可以争论是否存在泡沫，但这与我今天想讨论的话题关系不大（此外，当每个人都涌向同一个机会时，总是会导致泡沫，无论是抵押贷款、比特币还是人工智能）。

我想探讨的话题反而是AI如何重塑了人们对公司增长的预期（剧透警告：它完全改变了这些预期）。在本文中，我将讨论AI如何改变初创公司的增长轨迹，然后我将谈论我们的行业，以及为什么我认为，无论是好是坏，绝大多数网络安全初创公司的增长速度都无法与新的AI公司相提并论。我最初想说“网络安全初创公司的增长率永远无法匹配新AI公司的增长率”，但总会有人找到一个例子，使这个观点看起来是错的，即使它适用于99.99%的市场，所以我宁愿保持一些可信度，换一种说法来表述。

AI初创公司的新一亿美元年度经常性收入增长曲线 几个月前，Bessemer发布了《2025年AI现状报告》。在这份报告中，他们讨论了AI世界的趋势，并对未来几年提出了一些预测。总体而言，这是一份不错的读物，但令我印象深刻的是这样一个观点：在AI出现之前，顶级公司平均需要约7年时间才能达到1亿美元的年度经常性收入。在后AI时代，所需时间已大幅缩短。根据Bessemer的数据，如今，优秀的AI初创公司（他们称之为“AI新星”）在4年内达到1亿美元年度经常性收入，而卓越的AI公司，Bessemer称之为“AI超新星”，大约在1.5年内就能达到1亿美元年度经常性收入。

这些是令人惊叹的数字。让我们看看报告中的一些内容： “超新星是软件史上增长最快的AI初创公司。这些企业从种子期冲刺到1亿美元年度经常性收入几乎不费吹灰之力，通常在其商业化的第一年就实现了。这些公司既是我们见过的最令人兴奋的，也是最可怕的初创公司。几乎可以确定，这些数字出现在收入可能看似脆弱的情况下。它们涉及快速的采用，这种采用要么掩盖了较低的转换成本，要么表明可能与长期价值不符的巨大新颖性。这些应用程序通常非常接近核心基础模型的功能，以至于可能会被贴上‘浅层包装’的标签。在竞争激烈的领域中，初创公司为了争夺赢家通吃的奖励，利润率通常被压缩到接近于零甚至为负。”

“相比之下，新星看起来更像是卓越的SaaS公司：它们能快速找到产品市场契合点，保留并扩展客户关系，并保持强劲的毛利率——由于增长更快和适度的模型相关成本，毛利率略低于SaaS同行。它们的平均增长速度比SaaS前辈更快，但其增速仍然受到组织扩展的传统瓶颈制约。这些公司可能尚未占据头条，但它们深受客户喜爱，并正走在创造软件历史的轨迹上。 平均而言，这些新星在其收入的第一年达到约300万美元年度经常性收入范围，同时年度增长率翻两番，毛利率约为60%，第一年每位全职员工产生约16.4万美元年度经常性收入。 如果说T2D3（三年、三年、两年、两年、两年翻倍增长）定义了SaaS时代，那么Q2T3*（四年、四年、三年、三年、三年翻番增长）更好地反映了我们今天从AI新星身上看到的五年增长轨迹。这些初创公司的增长速度明显快于传统SaaS，但仍比爆炸性增长的AI超新星更接近SaaS基准。”

总的来说，我认为这份报告很好地概述了如今构建软件公司与大约2-3年前有何不同。同时，对我来说，它引发了很多问题，其中最大的一个是“那么……这对网络安全行业意味着什么？”。

AI时代的网络安全初创公司 AI改变了产品交付的速度，但并未同等改变市场进入的速度 借用戴夫·德瓦尔特的话来说，在网络安全领域，产品是寸土必争的游戏，而市场进入则是万里长征。五年前就是如此，不管你喜不喜欢，如今更是如此。技术上最先进的产品很少能击败拥有更好分销渠道的对手（这就是为什么初创公司常常挣扎，而大型供应商却能将新功能捆绑到他们的平台中）。 毫无疑问，AI使公司能够更快地交付新产品、更快地迭代、更快地了解什么有效什么无效。然而，在网络安全领域，快速交付功能一直不是问题（以色列的初创公司早就解决了这个问题）。我们行业的增长全在于分销，而分销又全在于信任。

安全以信任的速度发展，而不是以交付新功能的速度发展。 有趣的是，随着AI加速新功能的交付速度，它实际上减缓了信任的建立速度，因此概念验证可能会变得更长。企业质疑AI具体如何被使用，它会如何处理他们的数据等等，而获取这些答案只会延长初创公司完成交易所需的时间。

一些安全初创公司可能会成为“AI新星”，但大多数将停留在“云半人马”的位置 首先我要说，如今年度经常性收入是一个有趣的指标，因为有传言称我们行业的一些公司在如何定义它方面颇具创意，使他们能够吹嘘远高于流入其银行账户金额的数字。撇开非GAAP术语“年度经常性收入”的特殊性不谈，事实是安全收入通常不是一个飞轮。企业销售（大多数网络安全公司向企业销售）是一场艰苦的战斗，销售周期通常超过6-12个月。当概念验证需要9个月，而首次购买可能来自“创新预算”时，很难成为“AI超新星”。

我毫不怀疑，一些安全初创公司将确实能够更快地通过采购流程。然而（我很抱歉不得不这么说），这很可能不是因为AI。归根结底，AI驱动的漏洞管理很可能要经过与漏洞管理相同的采购周期（甚至更多的检查和步骤），而AI驱动的安全信息和事件管理系统也很可能要走与常规安全信息和事件管理系统相同的流程。根据我的所见所闻，AI原生的公司确实经常提供更优的体验，一些现在借助AI可以解决的问题以前是完全无法解决的。然而，采购团队仍然将它们置于与以前相同的一系列步骤中（甚至更多）。

此外，许多安全产品并不需要AI。具有讽刺意味的是，对于非AI公司来说，通过概念验证的时间可能比AI原生公司更短。底线是，虽然一些安全初创公司可能成为“AI新星”，但大多数将停留在“云半人马”的位置。它们仍会增长，仍会是持久的企业，并且仍常常会有极佳的退出机会，但它们的形态将不同于这些“AI超新星”，这引出了本文最有趣的一点：风险投资。

并非网络安全初创公司是糟糕的投资；它们只是不同 并非网络安全初创公司是糟糕的投资；它们只是不同，而这些差异是结构性的。网络安全发展缓慢，因为就其本质而言，它是关于降低风险的，而一切新事物都是有风险的。信任始终决定着网络安全的速度。对于那些对这个话题感兴趣的人，我之前写过几篇关于网络安全信任的深度文章。

网络安全领域的增长缓慢，需要极大的耐心。以最近庆祝突破30亿美元年度经常性收入的Zscaler为例——这对大多数网络安全公司来说是一个天文数字。大多数人没有意识到的是，Zscaler花了10年时间才达到1亿美元年度经常性收入，然后又花了5年达到10亿美元年度经常性收入。十年达到1亿美元年度经常性收入当然不是“AI超新星”，但没人会否认Zscaler是一个巨大的成功。成立于2011年的CrowdStrike，在2019年上市时年度经常性收入为2.5亿美元（他们花了8年时间达到这个数字）。如今，6年过去了，该公司的年度经常性收入达到了46.6亿美元。这些数字表明，网络安全领域的增长关乎一致性、艰苦努力和信任的复利效应。它不是关于增长黑客或营销噱头；而是关于持续的价值交付和纪律。历史上，那些追求其他东西（快速扩张等）的公司很难建立持久的企业。

我认为我们将看到更多综合性风险投资公司离开网络安全领域 过去十年，从风险投资的角度来看，网络安全已成为科技领域最热门的类别之一。仅在去年，我们就看到了巨大的成果，从Wiz的收购到最近的CyberArk交易，以及持续不断的小型但稳定的退出。自然，每一个目睹这些大型并购时刻的风险投资人都希望自己曾是Wiz的早期投资者。并且有一段时间，他们的行为都像是在追逐下一个Wiz。直到现在。

你看，Wiz仍然只是一家公司。它是一个特例。尽管风险投资人喜欢说他们热衷于押注特例，但大多数人都希望看到他们的投资如何成为千里挑一的那一个的路径。在网络安全领域，这可能相当困难。网络安全确实有伟大的故事，但这不是一个容易理解的市场，尤其是在看似存在更容易路径的世界里。

对于网络安全风险投资人来说，做出投资决策更简单，因为他们的选择自由相当有限。当然，他们可以发挥创意，将一些无人机初创公司算作“安全”，或者一些反欺诈解决方案，如果他们非常非常努力，甚至可能算上AI语音初创公司。除此之外，他们必须将资金分配到他们承诺投资的行业。最重要的是，他们很清楚，对于那些了解自己在做什么的人来说，网络安全领域的增长较慢并不意味着获得丰厚回报的潜力更小。

综合性风险投资公司遵循不同的激励机制。他们不局限于特定的垂直领域，甚至他们的“专长”也往往很宽泛，比如SaaS、金融科技、企业软件、AI。那么，让我们回顾一下Bessemer关于在1.5年内达到1亿美元年度经常性收入的统计数据。现在想象一下，一个综合性风险投资公司正在评估一个成立10个月后达到500万美元年度经常性收入的金融科技初创公司，与一个销售了一年半、预计达到170万美元年度经常性收入的网络安全初创公司进行比较。在网络安全世界，170万美元在那个阶段被认为是非常好的，有时甚至是出色的。但是，当与一个在更短时间内以三倍收入冲刺的金融科技初创公司并列比较时，综合性风险投资人不太可能感到印象深刻。这不是无知；这只是理性的投资组合决策。在更大的类别中获得更快的增长是很难辩驳的。

如果当前趋势继续下去，我认为这将促使许多“游客”型风险投资人离开网络安全领域，因为他们将无法证明投资于这些“增长较慢”的安全公司，而不是那些成立一年后就有1000万到4000万美元年度经常性收入的“AI超新星”是合理的。看看Bessemer的这张图表，网络安全很可能默认且由设计使然，会停留在“云半人马”类别，只有少数公司作为例外而非新常态进入“AI新星”类别。我认为，理解这个领域、并且在进行交易时对市场如何演变有清晰认识的网络安全专业风险投资人不仅会留下来，还会继续产生丰厚的回报。同时，我完全预计综合性风险投资人的兴趣将会枯竭，因为他们将继续纠结于如何按照新标准，将“看似普通的公司”与AI超级明星进行比较。

展望未来 预测未来从来都不容易，但有时迹象是明显的。除非安全预算无限期地持续扩张，并且除非安全买家突然变得不那么规避风险（这两者似乎都不太可能），否则网络安全初创公司将难以与新一轮AI公司竞争风险投资的注意力。随着更多AI原生初创公司报告创纪录的年度经常性收入数字，这种对比变得越来越鲜明。是的，其中一些数字被夸大了，许多这些公司将像筹集资金一样快地崩溃，但AI对各行业的影响似乎是真实的，它带来的竞争也是如此。

目前，仍有大量资金流入网络安全初创公司，但可能很快就会变得更加困难。尽管听起来很奇怪，但这实际上可能对这个行业是健康的。一旦“游客”对网络安全的热情消退，真正理解网络安全、并花费大量时间与安全买家打交道的风险投资人应该会发现他们的工作更容易。这成为一种自然选择：解决真实、紧迫问题的公司将得以生存，而建立在炒作或微弱信号之上的公司将不可避免地挣扎。