当安全变成Agent的内生能力，那些外挂式的低价值安全产品会被重新定价。

保旺达始终以客户业务场景为核心，率先推出Agent IAM等创新解决方案，助力企业将安全能力嵌入每一个智能体执行链条，持续创造可度量、可闭环的业务价值。

很多安全从业者最近都有一种说不清的失落感。

过去二十年，安全行业每隔几年就有一轮新故事：边界安全、终端安全、云安全、零信任、数据安全、攻防演练、态势感知、SOC、勒索防护。每一轮都有新产品、新预算、新厂商。

但到了AI Agent这里，事情有点不一样。如果未来每个Agent Runtime都内置权限控制、工具调用审计、敏感信息拦截、行为追踪、策略判断，那安全厂商还能卖什么？这是一个很残酷的问题。

结合行业发展趋势来看，AI Agent 或将重塑行业格局，近半数安全厂商将迎来价值重估。尤其是那些靠旁路监测、事后告警、报告交付、项目人天赚钱的公司，将被市场重新定价。

但这并不是说“安全行业没有未来”。恰好相反，安全会变得更靠近业务核心。只是很多传统安全公司的位置会消失。过去安全厂商卖的是“看见风险”，未来真正值钱的是“管住动作”。

先看过去二十年。2000年代，安全围绕边界展开。防火墙、IDS/IPS、VPN、上网行为管理、终端杀毒，是当时的主流产品。客户买的是“把外面的人挡住”。

2010年代，云、移动办公、SaaS、DevOps出来后，边界变得松散。安全厂商开始卖EDR、WAF、CASB、云安全、漏洞管理、态势感知、SOC。客户买的是“我知道哪里有问题”。

2020年以后，勒索病毒、供应链攻击、身份攻击、数据安全、攻防演练继续推高预算。但很多产品仍然有同一个毛病：发现问题很多，解决问题很慢。

安全平台里告警越来越多，漏洞列表越来越长，合规报告越来越厚。业务方不愿意改，安全团队只能不断催。

最后很多安全工作变成一种仪式劳动：看上去很忙，但风险并没有按比例下降。而更糟糕的是，AI Agent会把这个矛盾放大。

因为Agent不是一个普通应用。它会读上下文、选工具、调API、写代码、发邮件、改配置、查数据库、创建工单，甚至编排子Agent。

它不是“一个系统”，更像一个会行动的“数字员工”，如果安全还在旁边看日志，再等人处理，速度就跟不上了，所以平台一定会把一部分安全能力做进去。

OpenAI的Agents SDK已经提供Rracing，记录LLM Generation、Tool Call、Handoff、Guardrail等事件；Anthropic的MCP在标准化AI助手和工具、数据源之间连接；Microsoft Entra Agent ID则直接把Agent当成重要身份、生命周期、访问控制和治理的对象。

这说明一件事：安全能力正在进入Agent平台内部，这会吞掉五类低价值产品：

1.只过滤提示词（Prompt）的LLM防火墙；

2.只做内容审核的AI安全网关；

3.只看输入输出、不碰权限和工具调用的检测工具；

4.把老SOC、老SIEM、老SAST换个AI名字的产品；

5.不能进入开发、部署、运行链路的咨询式平台。

这些东西不是完全没用，而是会变便宜，便宜到很难撑起一家高毛利安全公司。

这也是另一个常被忽略的事实。平台会做安全，不代表企业就不需要安全厂商，原因很简单：企业不是只用一个平台。

一个真实企业里，可能同时有Microsoft Copilot、OpenAI API、Claude、Gemini、阿里云百炼、火山方舟、内部大模型、几个SaaS Agent、十几个自研Agent、几十个MCP Server。

它们还会连接传统IAM、数据湖、CRM、ERP、代码仓库、工单系统、生产数据库。每个平台都会说自己安全，

CISO要回答的是下面七个问题：

1．公司现在到底有多少Agent？

2．哪些是官方的，哪些是员工自己接的？

3．哪些Agent能读客户数据、财务数据、代码和生产配置？

4．哪些Agent拿着长期Token？

5．哪些MCP Server暴露了高危动作？

6．某个Agent为什么删除了一批记录？

7．出事后，能不能证明责任链？

平台内生安全更多解决“平台内部怎么安全”，而企业需要的是跨平台、跨身份、跨数据、跨动作的总账。

这就是安全厂商还有机会的地方，目前，安全厂商还有五大块机会。

Agent IAM 是当前确定性最高的发展赛道。AI Agent会变成一种新的非人身份，它不是普通Service Account。普通Service Account通常执行固定任务，而Agent会在运行时选择动作、组合工具，甚至创建子任务。

传统IAM管人，PAM管特权账号，机器身份管理（NHI）管证书和Token，Agent把这些问题混在了一起。

CSA在2026年关于非人身份治理的白皮书里提到，企业里的非人身份平均已经是人类身份的45倍，云原生环境可到144倍。

Agentic AI会让这个问题更麻烦，因为Agent会动态获取权限、调用外部API、编排子Agent、写代码、执行代码。

所以安全厂商的第一块机会不是“给Agent发一个账号”，

而是关注以下七件事：

1．Agent注册、归属、所有者和用途说明；

2．Agent身份和人类身份的绑定关系；

3．最小权限授权；

4．临时权限和零常驻特权；

5．Token、Secret、API key的轮换和回收；

6．Agent废弃、版本变更后的权限清理；

7．异常Agent行为检测。

Microsoft已经把Agent ID放进Entra和Agent 365，大平台已经看到了这块价值。独立安全厂商的机会在于跨云、跨模型、跨 SaaS的中立层，前提是产品必须接入真实身份系统和真实授权流程。

只做一张“Agent资产清单”，不够。

很多人讨论AI安全，第一反应是提示词注入（Prompt Injection）。这当然重要，但Agent真正造成损失，往往不是因为它说了什么，而是因为它做了什么。

OWASP 2025 LLM Top 10 里有一个风险叫过度代理行为（Excessive Agency），原理很直白：过多功能、过多权限、过多自治。比如一个原本只该读文档的Agent，却拿到了修改和删除文档的权限；一个该代表单个用户访问文件的扩展，却用了高权限通用账号。

这类风险不是靠“提示词写得更安全”就能解决的。安全厂商应该站在Agent和工具之间，做Agent Action Gateway（智能体行为网关），

提供以下七种能力：

1．Tool Call前的策略判断；

2．MCP Server风险评级；

3．高危动作的人审；

4．参数级别的权限控制；

5．写操作、删除操作、外发操作的强制二次确认；

6．数据出境、敏感字段、客户信息的拦截；

7．每次动作的签名、日志和回放。

这种产品思路更像支付行业的风控，不像传统WAF。WAF判断一个请求是不是攻击，Agent Action Gateway要判断的是：这次动作在这个上下文里该不该发生。

这件事会很难，因为它要求厂商同时懂IAM、API网关、数据安全、审计、业务语义和Agent Runtime，只懂大模型提示词是不够的。

但也正因为难，这里才可能有壁垒。

传统资产管理已经够复杂了，云资源、容器、SaaS、API、证书、开源组件，经常都管不清。

Agent进来后，资产问题会更乱，因为Agent不是静态资产，它可能由业务部门创建，可能接了个人Token，可能调用Unofficial MCP Server（非官方MCP服务端），可能把内部知识库接到外部模型上，可能长期无人维护但仍然拥有权限。

所以会出现一类新产品：智能体态势管理（Agent Posture Management），别把它做成漂亮的Dashboard（仪表盘），

它应该回答以下四个问题：

1．发现：企业有哪些Agent、Workflow、MCP Server、工具连接、向量库和模型调用？

2．权限：它们能访问什么、能调用什么、能写入哪里？

3．风险：哪些Agent暴露在公网、使用弱认证、拥有过大权限、接入敏感数据？

4．修复：能否自动降权、吊销Token、隔离工具、要求Owner复核？

这类产品会和CNAPP、DSPM、SSPM、ASM、IAM打架，也可能被它们消融。独立厂商要想活下来，必须比大平台更快接入多模型、多云、多SaaS场景。

Agent的边界，不主要由模型决定，而由数据决定：它能检索什么知识库？能读哪些表？能看到哪些字段？向量库里有没有客户隐私、源代码、合同条款、内部流程？检索结果是否做了权限过滤？Embedding数据是否被投毒？回答里是否泄露了不该泄露的上下文？

IBM 2025年数据泄露报告里有这样一组数据：发生AI相关安全事件的组织里，97%缺少适当的AI访问控制；63%缺少AI治理政策。

IBM还给出全球平均数据泄露成本为440万美元，广泛使用安全AI和自动化的组织相比不同的组织，平均节省190万美元。

这说明安全预算不会只流向“模型安全”，

更大的钱会流向数据安全：

1．AI数据分类分级；

2．RAG检索授权；

3．向量库权限和血缘；

4．敏感数据脱敏、加密、遮蔽；

5．数据使用审计；

6．Prompt和检索上下文的泄露检测；

7．AI-Ready Data的安全治理。

在中国市场，这块会更敏感。IDC预测中国数据安全市场到2028年投资规模达173亿元人民币，复合增长率16.7%。

相比传统硬件安全，数据安全更接近业务，也更容易和AI落地绑定。

未来每个业务团队都可能造Agent，但大多数团队不会知道自己的Agent在什么条件下会越权、泄露、被诱导、误删数据。

所以，Agent安全评测会变成上线前的必备流程。这有点像以前的渗透测试、代码扫描、合规测评，但不能只靠问答测试，

它要测以下九种行为：

1．间接Prompt Injection；

2．RAG投毒；

3．工具参数污染；

4．跨用户越权；

5．高危动作误触发；

6．多轮上下文诱导；

7．子Agent权限扩散；

8．模型幻觉导致的错误执行；

9．供应链和MCP Server风险。

NIST AI RMF和生成式AI Profile已经把 AI风险管理、治理、预部署测试、内容溯源、事件披露放进框架。未来监管不会只问“有没有用AI”，而会问“上线前测过什么，运行中怎么监控，出事后怎么披露”。

安全厂商若能将 Agent 安全评测深度融入 CI/CD 流程，将迎来可观的市场机遇；但如果仅单纯搭建越狱提示词库开展基础检测，相关能力很快就会被主流平台及开源工具所替代。

有一个反行业共识的判断：AI 并不会为所有安全企业带来发展红利，不少厂商终将被市场淘汰。

第一类是卖“AI安全助手”的厂商。它们把大模型接到日志、告警、漏洞库上，做摘要、问答、报告生成。这能提高效率，但壁垒很薄，因为SIEM厂商、云厂商、EDR厂商、ITSM厂商都会内置。

第二类是卖“LLM防火墙”的厂商。如果只过滤Prompt、拦敏感词、做内容分类，价值会越来越低。因为平台会内置、开源会补上，客户也不愿意为一个旁路文本过滤器付太多钱。

第三类是传统项目型公司。靠合规、驻场、报表、人天堆起来的收入，在AI时代会更吃力。因为客户会问一个残酷的问题：既然AI能自动扫描、生成报告、分诊告警，为什么还要为低水平人天付费？

第四类是进不了执行链路的厂商。它们能看见风险，但不能降权、不能阻断、不能审批、不能回滚，未来这种产品会被归为“建议系统”。建议系统会很多，也会很便宜。

更可能赢得安全厂商，会有以下几个共同点。

一、它们能接到真正执行变更的链路，而不是只做旁路观察。能接入IAM、MCP、API Gateway、数据目录、CI/CD、工单和审计系统。

二、它们能跨平台。客户不会只用一家模型厂商，也不会只用一个Agent Builder，因此中立控制平面仍然有价值。

三、它们能理解业务动作。删除文件、发邮件、改权限、调拨资金、修改生产配置，在不同业务里风险不同，只靠通用规则是不够的。

四、它们能把事情办完。发现风险以后，可以自动降权、阻断、审批、回滚，至少要把修复动作推进到业务系统里。

五、它们能证明结果。安全行业长期被诟病的一点是卖恐惧、卖堆料、卖合规。AI时代客户会更看重：减少了多少高危权限？阻断了多少异常动作？缩短了多少响应时间？少暴露了多少敏感数据？

一句话：未来的安全厂商，不应该再问：“我能检测什么风险？”，而应该问：“我能管住哪个动作？”。

中国市场会更复杂。一方面，传统安全预算承压，硬件市场低迷，政企项目付款周期长，很多厂商过去靠合规和项目制增长，现在这套逻辑没那么顺了。IDC数据显示，中国网络安全市场仍会增长，预计从2023年110亿美元到2028年171亿美元，五年复合增长率9.2%，但增长不是平均分配。

另一方面，中国企业对数据安全、国产化、私有化部署、政企大模型、行业Agent的需求会很强。尤其是金融、能源、运营商、制造、政府这些行业，不太可能把核心数据和关键动作完全交给公有云Agent。

这里会需要本地化、行业化、可审计的Agent安全方案，

中国厂商的机会可能在以下三个方面：

1．政企和行业私有化Agent的身份、工具、数据治理；

2．数据安全和AI-Ready Data的结合；

3．面向国产模型、国产云、国产办公和行业系统的Agent安全控制平面。

但风险也很大：如果安全厂商只做外围功能，那么很快会被云厂商、大模型平台和办公套件平台挤压。

当安全内化为智能体的原生能力，本质上是对传统安全价值逻辑的重构与升维。保旺达以AI原生安全理念为牵引，以客户业务场景为锚点，依托数据安全、身份安全、安全运营三大基石，面向AI时代推出智能体身份管理（Agent IAM）解决方案。

该方案构建起覆盖身份、工具、数据与动作的全链路智能安全控制平面，实现跨平台、跨模型的统一权限治理与行为管控，真正将零信任细粒度的管控能力贯穿每一次智能体调用。