第一部分：RSAC 2026创新沙盒总体判断

1. RSAC Innovation Sandbox的历史地位与风向标意义

• RSAC Innovation Sandbox不是一个普通创业比赛，它更接近于网络安全行业的早期方向选择器。官方把它定义为“cybersecurity’s leading startup competition”，每年从数百个提交项目里筛到10家决赛公司，现场只有3分钟pitch和答辩机会；更重要的是，过去20多年里，入围公司累计发生了100+起并购、获得了超过181亿美元后续融资。官方列举的历史入围者包括 Wiz、Imperva、SentinelOne、Axonius、HiddenLayer、Reality Defender，2025年获胜者是ProjectDiscovery。也就是说，这个名单本身就已经是一个行业“预选后的共识池”，不是泛泛而谈的创新展示。
• 从机制上看，它还有两个会显著放大“风向标效应”的特征。
  • 第一，参赛资格受限于很早期：产品发布时间必须在2024年12月1日到2025年12月1日之间，公司私有、收入或ARR低于500万美元，并且产品已经被客户采购和实施过。也就是说，它筛选的不是概念公司，而是刚刚进入商业验证、但尚未被大厂定价的方向。
  • 第二，从2025年起，Top 10决赛公司每家都能拿到500万美元uncapped SAFE，2026年延续这一机制。这意味着它已经不只是“看秀”，而是在制度上把“方向判断”变成了“早期资本共识+市场放大器”。
• 从战略研究角度，RSAC Innovation Sandbox的真正价值不在于看“谁会赢”，而是通过它看清三件事：
  • 第一，资本、买方和行业意见领袖现在共同认为哪些问题最值得优先解决。
  • 第二，旧赛道的边际创新在下降，新控制面正在形成。
  • 第三，未来2–4年并购和平台重构前瞻信号。

2. 2026 Top 10名单与赛道分布

• 2026年官方公布的Top 10是：Charm Security、Clearly AI、Crash Override、Fig Security、Geordie AI、Glide Identity、Humanix、Realm Labs、Token Security、ZeroPath。

• 按“它们在解决什么新问题”来分，这10家大致可以归成六类：
  • 第一类：AI代理/非人类身份安全
    • 代表公司是Token Security、Geordie AI。
      • Token强调“发现、管理和治理每一个AI agent和non-human identity”。
      • Geordie强调“面向 AI agents的安全与治理，实时理解agentic footprint、姿态和行为，并原生识别和缓解风险”。
    这说明一个非常明确的方向：AI代理已经不再被当成普通应用功能，而是被当成新的身份对象和新的治理对象。
  • 第二类：新一代认证/身份基础设施
    • 代表公司是Glide Identity。
      • 这是“built for the AI era”的下一代认证平台，利用密码学、电信网络情报和设备级信任，不依赖密码或短信验证码。
    它押注的不是“再做一个MFA产品”，而是认为AI时代会把传统认证体系的脆弱性彻底放大，认证基础设施本身要升级。
  • 第三类：社会工程/human layer安全
    • 代表公司是Charm Security、Humanix。
      • Charm讲的是“防诈骗、社工和human-centric fraud（诈骗）”。
      • Humanix讲的是“利用conversational AI和cognitive psychology（认知心理）实时检测manipulation（操纵）、deception（欺骗）和 impersonation（伪装）”。
    这表明今年有一条非常值得注意的线：安全创新正在从机器层回到人层，而且不是传统的安全意识培训，而是把“人被操控”本身变成可检测、可响应、可产品化的安全问题。
  • 第四类：AI原生AppSec/代码安全
    • 代表公司是Clearly AI、ZeroPath。
      • Clearly AI不是做传统扫描，它是做“AI security engineer”，自动化威胁建模、设计评审和风险分级。
      • ZeroPath则要用单一AI-native engine取代传统SAST（应用程序静态测试）、SCA（软件成分分析）、Secrets（机密信息扫描）和IaC（架构及代码）工具栈，专门抓legacy tools漏掉的business logic flaws（逻辑关系）和chained vulnerabilities（链式漏洞）。
  • 第五类：软件供应链与构建可信
    • 代表公司是Crash Override。
    • 它不是简单做SBOM，而是嵌入CI/CD，捕获API拿不到的构建执行数据，做自动化SLSA Level-2合规、完整provenance tracking（溯源追踪）和证书管理。
    • 这说明供应链安全正在从“文档和清单证明”升级为“执行过程和构建事实证明”。
  • 第六类：SecOps韧性/AI应用可信
    • 代表公司是Fig Security、Realm Labs。
      • Fig做的是Security Operations Resilience——让detection & response在持续变化中还能正常工作。
      • Realm Labs做的是监控AI在inference阶段的“thoughts”，在misbehavior（异常）造成伤害前介入。
    这两家看似不一样，但本质上都在回答同一个问题：当系统越来越动态、越来越自动化时，怎么保证控制本身不失效。
  如果进一步看整体分布，会发现一个更强的事实：根据 RSAC创新负责人Cecilia Marinier 在接受采访时的说法，今年所有finalist都以某种形式把AI纳入了产品里。

  她甚至直接说，“all of the companies have AI in them in some way”。这不是某几家公司碰巧带了AI，而是AI已经从一个赛道变成创新的通用底座。

  2026年Top 10的赛道分布，不是“AI安全很多”，而是行业创新重心已经从传统安全对象（终端、网络、告警）转到新型可治理对象（AI agent、non-human identity、认证信任、推理过程、人类操控链、构建事实）。这意味着安全产品边界正在被重新划分。

3. 本届共同主题：AI-heavy、identity-centric、automation-firs

• 第一条主线：AI-heavy ——AI不再只是一个能力，而是攻击面、对象、工具、工作流四位一体
    官方和媒体都明确指出本届 finalists是 “AI-heavy”。但这个“AI-heavy”不能简单理解为“很多公司都说自己用了 AI”，真正的变化是：AI在这届里同时扮演了四个角色。
  • 第一，AI 是新的攻击面。 Realm Labs、Geordie AI、Token Security都是在围绕AI系统本身的风险建控制。也就是说，AI不再只是帮助安全团队提效，而是自己变成需要被治理的资产。
  • 第二，AI是新的身份对象。 Token和Geordie最典型：agent、non-human identity、machine identity不再是边角料，而是核心对象。这说明在企业环境里，AI正在从“工具”变
  • 成“会行动的主体”。
  • 第三，AI是新的安全引擎。 Clearly AI、ZeroPath、Charm、Humanix 都在用AI做安全工作：自动评审、深语义代码理解、社工识别、对话分析。也就是说，AI 不只是要被防，还在
  • 被用来重写安全产品的实现方式。
  • 第四，AI是新的组织生产方式。 Fig、Clearly AI背后有一个共同前提：企业节奏太快，安全必须自动化嵌入，否则人力跟不上。这说明 AI带来的不仅是技术变化，更是开发和运营节奏的变化。

  AI已经同时重塑了被保护对象、攻击方式、检测方法和安全团队工作方式。比过去“云安全兴起”“终端检测兴起”更深，因为它不是多一个新赛道，而是整个安全栈都要重写接口。

• 第二条主线：identity-centric—— 身份从辅助变量上升为一等控制变量
    这届最强的隐含主题其实是身份。表面上只有Glide Identity、Token Security明显写了identity，但如果把范围放大，你会发现很多finalist的核心都是“谁在行动、它凭什么行动、它该拥有什么权限、它是否值得信任”。
  • Glide Identity解决的是用户身份认证的可信性。
  • Token Security解决的是AI agent和non-human identity的可见性与治理。
  • Geordie AI 解决的是agent行为与姿态的治理，本质也是身份-权限-行为三位一体。
  • Humanix/Charm虽然不直接叫identity，但解决的是“看起来合法的人”是否真的可信。
  • Realm Labs则在更深一层回答：AI应用内部的决策过程是否可信。

  这说明身份正在从传统安全架构里的“接入前置条件”，变成横跨认证、授权、行为、意图、推理可信的中枢控制变量。

  • 过去的身份安全主要回答“你是谁”；现在要回答的是：你是不是人？你是不是设备？你是不是 agent？你有没有这个意图？你的行为是否偏离角色？你的决策过程是否可信？
  • 这对防火墙行业是个大信号：未来的网络控制不可能继续只用IP、端口、应用识别做主键，至少要逐步接入更强的identity context，包括human identity、device trust、non-human identity、agent intent、会话风险等。
• 第三条主线：automation-first —— 安全创新正在从“发现风险”转向“自动完成控制”
    这届公司里，几乎没有谁只是单纯“报个告警”：
  • Clearly AI是自动threat modeling 和design review；
  • Crash Override 是自动构建证明和合规；
  • Fig是自动发现并修复 SecOps 流程断裂；
  • Token是自动发现并治理 agent identity；
  • ZeroPath是用单一 AI-native engine 替换多工具栈。
    换句话说，今年的创新重点不是“更会发现问题”，而是更会把安全工作做完。

  这件事背后的深层原因是：企业已经不太愿意再买“再多一个看板、再多一类告警”。原因不是安全团队不重视风险，而是组织已经进入“告警饱和、集成饱和、工具饱和”的阶段。现在真正有价值的，是能减少人工摩擦、缩短闭环、让控制真正发生的产品。

4. 这说明网络安全行业正在发生什么变化

• 变化一：安全对象在重新定义——从“保护设备和流量”转向“保护会行动的对象”

  • 过去安全的主对象是用户、终端、服务器、网络边界、漏洞、文件。
  • 2026这批 finalists 说明，新对象已经变成：AI agent\non-human identity\推理过程\构建执行过程\被操控的人\复杂业务逻辑漏洞链。
  也就是说，安全行业正在从“保护IT资产”走向“保护能产生行动和决策的对象”。
  • 这非常重要，因为谁是对象，决定了谁会成为预算中心、谁会成为控制主键、谁会要求新的 telemetry。
  变化二：控制面在上移——从流量、主机、告警，上移到身份、意图、行为、证明、推理

•   传统安全产品主要围绕三个控制层：
  • 网络层：连不连、过不过
  • 终端层：装不装、跑不跑
  • 告警层：有没有异常
    本届finalist集中说明，新控制层正在形成：
  • 身份控制：谁能做什么
  • 意图控制：这个agent/user这次要干什么
  • 行为控制：动作是否偏离角色与常态
  • 证明控制：这个软件/构建/部署是否可信
  • 推理控制：这个AI输出前的内部过程是否异常

  这意味着行业价值重心在从“观测单点事件”转向“理解对象上下文并执行控制”。

  • 对安全设备说，这意味着未来竞争不只是吞吐、识别率、部署规模，而是：你能接多少上层控制信号，并把它们变成真正的执行动作。
• 变化三：安全行业从“规则时代”进入“治理时代”
    这届公司有一个共同点：它们很多不是在卖“一个更强检测器”，而是在卖治理能力。
  • Token卖的是AI/machine identity governance；
  • Geordie 卖的是AI agent governance；
  • Crash Override卖的是software provenance governance；
  • Fig 卖的是SecOps resilience governance；
  • Glide卖的是authentication trust governance。

  这说明安全行业正在从“发现坏事”转向“建立秩序”。 “规则时代”的核心是找恶意；“治理时代”的核心是控制复杂性。

  • 这意味着未来大赛道会更偏向：统一对象视图、生命周期管理、持续验证、动态权限、自动化闭环，而不是单纯比谁告警更多、谁覆盖面更广。
    变化四：买方重心在转移——CISO不再只买“安全工具”，而在买“组织能跑得更快但不失控的能力”
  • 这点很关键。无论是AI coding、AI agents、社会工程、身份可信，背后其实都是同一个管理命题：企业想继续加速，但不能因此失控。
  • 所以，这届finalists反映出来的不是“新威胁来了”，而是“企业在用AI、自动化、云化加速前进时，旧安全模型已经拖后腿”。
  • 新的买单逻辑不再是：我有一个漏洞，所以买一个扫描器，而是：
    • 我想放心地上AI agent，所以要买治理和身份控制
    • 我想缩短开发周期，所以要买自动安全评审
    • 我想保持SOC可用，所以要买韧性和自动化
    • 我想让身份体系能扛住AI时代，所以要升级认证基础设施

  这是最深的行业变化：网络安全正在从“阻止坏事发生”的支撑部门，变成“保证组织高速运行而不失控”的基础设施层。

5. 未来的创新方向会怎么变化

第二部分：十家入围厂商分析

1. Charm Security

• ①公司概况
  • RSAC官方对它的定义：它不是传统fraud tool，也不是传统 phishing detection，而是一个面向scam、social engineering和human-centric fraud的Agentic AI Workforce，用 AI agents结合欺诈经验和行为心理学，做实时预防、干预和处置。
  • 从公司公开资料看，Charm总部在纽约，2025年3月从stealth走出并宣布获得800万美元种子轮融资，由 Team8领投。创始团队是Roy Zur 和 Avichai Ben David：前者有网络情报与欺诈防控背景，后者来自 Transmit Security 和 Microsoft，偏AI驱动风控与数据科学。公司官方定位是：保护组织及其客户免受 scams、social engineering 和 human-centric fraud的AI驱动客户安全平台。
  Charm 不是在做“更好的诈骗检测”，而是在做：把“人被操控的瞬间”变成可被AI实时感知、引导和干预的安全控制面，这是它最核心的公司定义。
• ②切入机会点
  • Charm切入的机会点，不是传统安全厂商最熟悉的那类问题，恶意文件、漏洞利用、网络横向移动、终端持久化、账号盗用后的异常行为。它切的是一个过去长期存在、但一直没被主流安全产品体系很好产品化的问题：“人类在被诱导、被操控、被施压时，做出错误但表面合法的动作。”
  • 这是一个非常特殊的安全切口。因为在很多真实诈骗和社工场景里，攻击者并不需要突破系统边界，也不一定需要植入恶意代码。他只需要让用户、客服、柜员、坐席、运营人员在一个高压、高情绪、高迷惑性的情境里做出一个动作，比如：转账、改绑、提供验证码、信任某个“官方”来电、关闭某个安全控制、放行某笔高风险交易、接受一个“看起来合理”的身份解释。
  • 这类问题的本质不是“系统被黑”，而是系统里的“人”被操控成了攻击链的一部分。Charm官方就直接把目标问题定义为scams、social engineering、human-centric fraud。
  • 它切入的机会点之所以大，在于这个问题天然横跨三类团队，但过去一直没人能统一解决：
    • 第一类是 fraud/financial crime团队。他们看到了损失，但传统fraud stack更擅长识别异常交易和设备，不擅长识别“交易背后的人是不是正在被操控”。
    • 第二类是 security 团队。他们看到了 social engineering 风险，但传统 security stack更擅长机器层和身份层，不擅长在人机交互时刻做实时干预。
    • 第三类是 frontline/customer-facing teams。他们最接近风险现场，但缺少实时判断工具，常常只能靠经验。

  Charm 的机会点，就是把这三类割裂的能力合并成一层：

  • 在“高风险互动时刻”给人提供可执行的、上下文化的、心理学驱动的风险判断和干预建议。
  • 这就是它为什么不是单纯的anti-fraud tool，而更像一个human-risk operating layer。
• ③它看到了什么结构变化
  • 变化一：安全问题正在从“机器异常”转向“人类异常决策”
        传统安全核心观测对象是主机行为、网络流量、身份事件、文件执行、云资源调用。
        Charm看到的是：在很多高损失场景里，这些信号都可能是“正常”的。真正异常的是：
    • 人为什么突然信了这个说法
    • 为什么在这个节点改变了行为
    • 为什么话术让他放弃了原本的警惕
    • 为什么客服在交互中被带偏了决策
        也就是说，异常从机器层转移到了认知层和交互层。
  • 变化二：最脆弱的安全控制点不是终端，也不是网关，而是“高风险对话时刻”
        Charm 官网反复强调其实时介入的价值，尤其是支持 contact centers、branches、wealth、support 等 customer-facing teams。
        这说明它看到的关键控制点，不在传统网关，而在：
    • 联系客户的那一通电话
    • 客服接到的那个解释
    • 柜员面对的那个转账请求
    • 支持人员与客户的那段聊天
    • 前线人员处理“看起来合理但其实异常”的案例
        过去这些时刻大多是“人自己扛”。 Charm 看到的是：这些时刻应该被系统化接管和增强。
  • 变化三：未来的 fraud / security 不再只靠检测，而要有“行为引导”
        Charm的表述里很少停留在detection，而是强调guide、intervene、resolve。背后反映的是一个更深变化：
        面对 human-centric attacks，仅仅告诉你“有风险”是不够的。系统必须进一步回答：
    • 现在应该问什么问题
    • 应该怎么打断对话节奏
    • 该如何验证对方说法
    • 应该如何降低客户的情绪被操控程度
    • 最后怎么把事件形成可复盘的处置闭环
        这意味着安全产品开始从“识别器”升级为“引导器”。
  Charm的赛道价值，恰恰来自它不再把“诈骗”看成一个金融问题，而是：

  把它看成一个security+fraud+operations+trust的综合问题。

2. Clearly AI

• ①公司概况
  • RSAC官方对它的定义：帮助团队更快交付安全软件，用AI-powered reviews替代人工工作；从团队已经在用的环境里拉取上下文，像一个专属AI security engineer一样，自动完成 threat modeling、design reviews 和 smart risk triage。
  • 从公司官网与融资信息看，Clearly AI更像一家AI原生产品安全（Product Security）自动化公司，而不是传统扫描工具厂商。官网主入口写的是“automating design reviews and threat modeling”，并已把场景扩展到security teams、product teams、privacy teams、vendor risk等。2026年2月，公司宣布完成840万美元 Seed轮融资，并强调其产品已被Rivian、Ericsson、Webflow等客户使用，安全评审时间缩短90%+。
  Clearly AI 不是想把“扫描器做得更快”，而是想把长期依赖资深安全工程师的设计评审、威胁建模和风险判断流程，改造成一个可规模化的AI安全工程工作层。
• ②切入机会点
  • Clearly AI切入的不是一个传统意义上的“检测盲区”，而是一个长期存在却被低估的组织瓶颈： 安全团队无法以与产品开发相匹配的速度，完成高质量的设计评审与威胁建模。
  • 传统AppSec体系最常见的问题不是“完全没有工具”，而是工具结构严重失衡：
    • 左侧（开发前/设计期）大量工作靠人做：架构评审、威胁建模、第三方接入评估、隐私评审、AI feature设计审查。
    • 右侧（开发后/代码期）大量工作靠工具做：SAST、SCA、Secrets、IaC、DAST、漏洞管理。
        结果就是：真正决定系统安全边界的高价值工作，反而是最难规模化的人工瓶颈。
        Clearly AI看到的机会点，正是这块长期没有被很好产品化的区域。它并没有继续去卷“发现更多 CVE”或“减少多少误报”，而是切了一个更靠前、更偏组织流程的点：把产品安全团队最耗时、最稀缺、最依赖经验的评审类工作自动化。
    • 这类机会之所以大，是因为它满足三个条件：
      • 第一，它是强刚需。任何成熟企业都知道 threat modeling、architecture review、vendor risk review 很重要，但几乎所有公司都做不全、做不快、做不深。Clearly AI 官网甚至把“Catch high-risk issues before production without process pain”放在最显眼位置，这说明它切的是一个“大家都认同重要，但流程痛苦”的问题。
      • 第二，它是高价值但低覆盖。一个好的架构评审能阻止后面大量代码缺陷和上线后的高成本补救；但由于资深安全人员稀缺，很多团队只能“挑重点看”，导致大量中长尾系统处于未评审或浅评审状态。
      • 第三，它是天然适合 AI 的知识工作。这类工作需要大量：读上下文、识别系统边界、判断数据流、映射威胁、提出控制建议、形成结构化输出。
• ③它看到了什么结构变化
  • 变化一：产品安全的价值重心，正在从“代码发现”回到“设计判断”
        过去十多年，AppSec 工具主流叙事集中在代码扫描与漏洞发现。但 Clearly AI 选择的不是这个主战场，而是 design review、threat modeling、vendor review、AI security review。这说明它看到：
        未来最贵、最难、最决定系统安全边界的问题不在“有没有更多 issue”而在“设计阶段有没有做对关键判断”。
        换句话说，安全的核心重新回到了：trust boundary 设计、数据流和权限边界设计、依赖与供应商引入决策、AI feature 的安全假设、高风险业务流程的控制设计。这是一种从“查错”回到“做对”的重心变化。
  • 变化二：安全团队的稀缺性，不再能靠加人解决
        Clearly AI 的产品叙事本质上建立在一个现实前提上：资深 Product Security / AppSec 工程师太稀缺了，而需要他们的地方越来越多。过去企业还能靠：招更多人、外包一些 review、让开发自己补模板来勉强扛住。
        但当系统数量、AI feature 数量、第三方依赖数量一起增长时，这条路不再可持续。Clearly AI 看到了这一点，所以它不是卖“效率工具”，而是在卖安全团队的可扩展性。
  • 变化三：安全评审要变成“持续工作流”，不能再是偶发性人工会议
        Clearly AI 博客里明确提到，它生成的 threat models 可以自动创建 ticket、填写 risk register、跟踪 remediation status across an entire application portfolio。
        这说明它看到的不是一次性的“评个审”，而是把安全评审从：会议式、文档式、人工临时式。变成持续化、结构化、可跟踪、可组合进工程系统。这很重要，因为一旦安全评审变成持续工作流，它就天然更容易成为企业级平台，而不是咨询式服务。
        变化四：AI 安全不是独立赛道，而会并入产品安全主流程
        Clearly AI创始人在公开表述里说，他们目标是解决 product, vendor, and AI security。这透露出一个很强的判断：AI security 不会长期作为一个完全分离的工具栈存在，而是会逐渐并入产品安全主流程。
         也就是说，企业不会无限期接受“传统产品评审一套、AI feature评审另一套、供应商评审再一套”。未来更自然的路径，是一个统一的review fabric，把这些不同对象放进同一安全决策工作流里。

3. Crash Override

• ①公司概况
  • RSAC官方对它的描述：它嵌入CI/CD，采集API拿不到的build execution data，用自动化SLSA Level-2合规、完整provenance tracking和证书管理，来证明真正部署了什么，并在生产事故发生前控制风险。 这一定义已经说明它不是传统SCA/SAST，也不是普通SBOM工具，而是在切“构建事实、部署事实和可证明性”这一层。
  • 从公司公开资料看，Crash Override2022年成立于纽约，创始人为John Viega和Mark Curphey。2025年7月，公司宣布完成2800万美元Seed轮融资，由GV和SYN Ventures领投，Blackstone Innovations Investments、Bessemer参投；公司将自身定位为首个Engineering Relationship Management（ERM） 平台，强调在代码、基础设施、工具、构建和贡献者之间建立统一事实层。公司还披露其客户与设计伙伴包括Fortune 100团队，官网案例页展示了Toyota Motor North America和Amazon安全工程从业者的引用。
  • 但这里要注意一个重要变化：Crash Override的官网首页到2026年已经把主叙事进一步收束为 “Find AI, Accelerate Adoption, Secure It”，强调发现AI生成代码、加速AI coding采用并控制其风险。也就是说，它从早期“工程关系管理 / 软件交付全景可见性”的宏大定位，逐步聚焦到一个更锐利的切口：AI coding 时代的软件供应链可见性、可归因与可治理。 这不是方向切换，而是商业叙事收敛。
  Crash Override 不是在做“再多一个软件供应链扫描器”，而是在构建一层覆盖 code-to-cloud、build-to-deployment、human-to-artifact 的工程事实系统，让企业在AI coding时代第一次真正知道“是谁、用什么、在哪儿、如何构建并部署了什么”。
• ②切入机会点
    Crash Override切入的机会点，不是“软件供应链安全很重要”这种泛泛命题，而是一个更尖锐、更工程化的问题：企业并不知道自己真正运行了什么，也不知道它是怎么被构建出来的。
    传统软件安全和 DevSecOps 体系里，企业通常能拿到很多“局部视图”：代码仓库里有什么、CI 流程是否跑过、云里有哪些 workload、扫描器发现了哪些 issue、SBOM 里声明了哪些依赖。
    但真正决定安全和韧性的关键问题，往往是这些局部视图拼不起来：
  • 这个服务到底是谁拥有的
  • 它现在跑的 artifact 是从哪次构建来的
  • 中间是否发生过不可见的变更
  • 构建时到底用了什么工具、环境、依赖
  • 哪些代码是 AI 生成的、已被部署到哪里
  • 某次事故发生后，到底是谁改了什么、什么时候改的、通过哪条链路进到生产
    Crash Override 对外一直在强调“single source of truth”“real-time change ledger”“deep build inspection”“what changed, when, and why”，说明它抓住的不是单点扫描问题，而是工程系统事实断裂的问题。
    这个机会点之所以大，在于它恰好踩中了传统软件供应链安全的三大痛点：
    第一，安全世界有很多声明数据，但缺少过程事实
    SBOM、签名、CI 记录、云资产清单都很重要，但它们大多是“声明式”的，不一定能证明构建过程实际发生了什么。RSAC 官方对 Crash Override 的表述里专门用了 “capture build execution data that APIs can't access”，这句话非常关键。它等于在说：现有主流安全和平台工具，大多只能看到接口暴露出来的数据，却看不到构建过程里真正决定可信性的深层执行事实。
    第二，工程复杂性已超过人脑和传统 CMDB 的承载能力
    Crash Override 在融资公告中写得很明确：现代软件环境存在 ownership 不清、工具重复、难以看清系统如何被 build、deploy 和 changed 的问题；当 outage、incident 或 security failure 发生时，企业经常要花很久才能回答“这是什么”“谁负责”“改了什么”。
    这说明它切的是一个“工程复杂性失控”问题，而不只是“供应链攻击风险”。这是它和很多纯安全公司最大的不同：它把问题定义成 engineering visibility failure，而不是 narrowly defined security bug。
    第三，AI coding 把“未知软件”问题进一步放大
    Crash Override 官网现在把 AI generated code discovery 放在最前面，GV 也在投资声明里点明：LLM-derived code 的爆炸式增长会引入新的复杂性和不可见性。
    这意味着它切入的不是传统“软件供应链安全”旧赛道，而是一个在 AI coding 时代被二次放大的新机会点： 代码产出变快了，但企业对代码归属、构建路径、部署结果和风险来源的理解反而更差了。
    所以 Crash Override 的机会点，不是“再做一次安全扫描”，而是要成为一个新的工程事实底座。
     这类底座一旦成立，它的上方可以承载：安全、合规、故障恢复、成本优化、AI 治理、ownership 管理 ，这就是它机会点足够大的原因。
• ③它看到了什么结构变化
    变化一：软件安全的核心问题正在从“有没有漏洞”转向“能不能证明现实”
    大多数传统 AppSec 工具的核心问题是：代码里有没有漏洞、依赖里有没有 CVE、配置里有没有 misconfig
    Crash Override 看到的是另一层问题：你以为你在保护的软件对象，到底是不是你以为的那个对象？
    这个问题比“有没有漏洞”更底层。因为如果你连：运行的 artifact 是什么、它由谁构建、它从哪条流水线来的、其中哪些部分是 AI 生成、哪些控制在构建时被绕过都说不清，那后面的扫描、响应、取证都建立在模糊对象之上。所以它看到的结构变化是：软件安全正在从 issue-centric 走向 evidence-centric。
    变化二：企业真正缺的不是更多信号，而是统一上下文
    Crash Override 的 ERM 叙事很有意思，它不是说“我们有更多检测能力”，而是说“我们连接 code、cloud、build systems，形成 single source of truth”。
    这说明它看到的根本问题不是“企业没有数据”，而是：数据在不同工具里、视图彼此孤立、无法回答跨系统问题、事故排查时上下文缺失。这和很多安全创业
  公司只做单点检测完全不同。 Crash Override 在押的是：未来大的价值不在新增一个工具，而在重建一层事实关联图谱。
    变化三：AI coding 会让“影子工程（shadow engineering）”成为新常态
    Crash Override 的 glossary 里甚至专门列出 Shadow Engineering 这个词，用来描述发生在官方系统和流程之外的开发活动。这说明它看到的不是简单的开发提效，而是一个治理问题：
     当 AI coding 降低软件生成门槛后，会出现越来越多：隐性工具使用、非标准构建路径、ownership 模糊的代码、未被标准流程覆盖的部署产物。
    也就是说，AI coding 的真正风险不只是代码质量，而是它让工程现实比治理体系走得更快。
    变化四：软件供应链的控制面会从“扫描层”迁移到“构建与变更账本层”
    Crash Override 一直在强调：build inspection、real-time change ledger、provenance tracking
    这说明它看到未来的供应链控制不该只在：拉代码时扫、依赖管理时扫、镜像发布前扫、运行时再扫
    而是应该有一层持续记录“何物、何时、何人、何因、何链路”变化的 变更事实层。这本质上是在把“可观察性”从系统性能层推进到“软件生命链层”。

4. Fig Security

• ①公司概况
  • RSAC官方对它的定义：Fig领导的是“Security Operations Resilience（安全运营韧性）”这个新方向，核心是让检测和响应在持续变化中仍然正常工作；它能发现并修复整个 SecOps 栈中断裂的安全流程，并让团队快速模拟和部署计划中的变更。 官方一句话总结得很到位：“With Fig, change powers the SOC instead of breaking it.”
  • 从公开信息看，Fig Security 已于 2026 年 3 月初结束隐身并宣布累计融资 3800 万美元，由 Team8 和 Ten Eleven Ventures 领投。媒体报道显示，公司总部在纽约，CEO Gal Shafir 曾在 Google Cloud Security 和 Siemplify 任职，团队成员也有明显的 SIEM/SOAR/SecOps 基因。多家报道把它定位为：帮助企业在SIEM、数据管道、自动化平台、检测规则和响应流程持续变更的情况下，维持SOC的可靠性和有效性。
  • 用一句话定义Fig，它不是“又一个 SOC 工具”，也不是“更聪明的检测引擎”，而是在做一个更底层的新控制层：它要把 SOC 从“脆弱的工具拼装系统”升级成“能够承受持续变化的韧性系统”。
• ②切入机会点
  • Fig切入的机会点，不是“安全告警太多”这种老问题，而是一个过去长期存在、但始终没有成为独立产品类别的问题：企业以为自己的检测和响应在工作，但实际上，很多安全流程已经在悄悄失效。
  • 这是一个非常有意思的切口。因为在大多数企业里，SOC 的主要投入过去集中在三类事情上：买更多检测器、接入更多日志与数据源、做更多自动化编排。
  • 但 Fig 看到的是：真正让 SOC 失去价值的，往往不是“没有工具”，而是工具之间的连接、字段、规则、数据管道、自动化流程，在持续变更中逐步失真、断裂、漂移。
  • 官网首页有一句很强的话：“Change can kill your SOC. Or it can power it.” 这句话实际上就定义了它的机会点：现代 SOC 最大的问题不是静态防御不够，而是变化本身正在成为安全能力失效的主要来源。
  • 这个机会点之所以大，是因为它踩中了 SecOps 里最隐蔽、也最昂贵的失效模式：
        第一，SOC 最危险的问题往往不是“没有告警”，而是“该有的告警没来”
        很多安全团队最害怕的不是误报，而是静默失效（silent failure）。比如：上游字段名变了规则不再命中、数据管道丢字段或格式变化检测逻辑悄悄失灵、SOAR playbook 仍在运行但关键动作已不再生效、某个集成升级后原来的检测路径断了、一次“很小”的平台变更导致下游 SIEM 查询逻辑偏移。这些问题往往不会立刻爆出一个清晰错误，而是以“绿灯还亮着，但能力已经退化”的方式存在。Fig资源页直接写了 “Green dashboards lie.”，这几乎就是对这个机会点的精准命名。
        第二，SecOps 的复杂度已经从“工具复杂”演变为“流程复杂”
        Fig 媒体报道提到，它要做的是为 SOC engineers 提供对整个 SecOps infrastructure 的 observability，覆盖 SIEM、data pipelines、automation platforms 等多层系统。
        这说明它切入的不是单个工具的可靠性，而是端到端安全流程的可靠性。 比如从数据源进入管道，到规范化处理，到进入 SIEM，到触发规则，到生成案例，到调用自动化响应，这整个链路里任何一点变化，都可能让最终的“检测与响
    应能力”失真。
        所以 Fig 看见的机会点，不是“日志平台需要优化”，而是： SOC 需要一层专门负责验证安全流程是否仍然可信、仍然完整、仍然可执行的韧性层。
        第三，SOC 已经进入“变更密集时代”，传统人工验证不再可持续
        随着：云原生环境快速迭代、日志 schema 持续变化、供应商连接器频繁更新、检测规则持续调整、AI agents 开始进入 SOC 流程，企业安全运营不再是一个“搭好就跑”的静态系统，而是一个永远在变化的生产系统。在这种环境下，靠人手工回归测试、开会确认、上线后观察已经越来越不够。Fig 正是在切这个“SecOps 变更治理自动化”的空白。所以 Fig 的切入机会，本质不是“增强 SOC 检测”，而是让 SOC 这个系统本身可持续、可验证、可承受变化。
• ④它看到了什么结构变化、
    变化一：SOC 的关键问题正在从“检测能力不足”转向“检测能力不可靠”
    过去十年 SecOps 的主旋律是：数据不够、检测不够、自动化不够。
    Fig 看见的是：现在很多企业不是“没有能力”，而是不知道这些能力是否还在真实生效。这比“能力不足”更严重，因为它会制造一种虚假的安全感。这也是为什么 Fig 资源页会说 “Green dashboards lie.” —— 仪表盘显示健康，不等于能力真的健康。换句话说，SOC 的核心矛盾开始从“有没有”转向“是不是真的还有效”。
    变化二：安全行业正在从“检测产品时代”进入“安全系统可靠性时代”
    Fig 不去卷一个更强的检测引擎，而是切“让现有检测和响应持续有效”。这说明它看到了一个很深的行业阶段变化：当企业工具栈足够复杂后，真正稀缺的不是再买一个新检测器，而是保证整个安全系统在变化中不退化。
    这和现代 IT 的演进逻辑完全一致：先买工具、再做集成、最后发现最贵的是保证整个系统可靠运行，Fig 正是在安全行业重复这条轨迹。
    变化三：变更本身已经成为安全风险源
    很多安全公司把“变化”看成背景条件；Fig 把“变化”本身定义成问题对象。这是它最独特的地方。官网直接写：“Don’t break for a change.” 其核心不是防攻击，而是防因为变化而导致安全流程失效。这说明它看到了：未来企业最大的隐性安全损失之一，不来自外部攻击者的复杂技巧，而来自内部系统持续变化所带来的：规则漂移、数据漂移、集成漂移、自动化漂移，即所谓 security drift / pipeline drift / data drift 的综合版本。
    变化四：AI Security的一个新命题，不是“用 AI 检测威胁”，而是“在 AI 时代保证安全系统本身不失控”
    媒体在讨论 Fig 时，常把它放到“AI agents are rewriting risk for SOC teams”的背景里。这很值得注意。因为这意味着 Fig 虽然不是一家典型的“AI threat detection”公司，但它切的是 AI 时代非常底层的一个问题：当 AI 与自动化不断进入 SOC，谁来保证这些系统链路不悄悄坏掉？
    所以 Fig 的真正结构判断是：未来安全竞争不只是“谁更智能”，而是“谁的智能系统更可控、更可验证、更不容易静默失效”。

5. Geordie AI

• ①公司概况
  • RSAC官方对它的定义：Geordie是一个专为AI agents打造的security and governance platform，企业可以实时理解自己的agentic footprint，观察agent posture 和 behavior，并原生识别和缓解agent 内部风险，从而安全扩展agentic innovation。
  • 从公司官网看，Geordie 把自己定位为 “the leading AI governance platform helping enterprises adopt AI agents safely across posture, observability, compliance, and contextual intervention”。官网首页直接点出其核心问题定义：企业的 agent adoption 已经在发生，治理没有跟上；安全团队不缺数据，缺的是对 agent 全生命周期的统一理解；传统控制不是为 adaptive systems 设计的。
  • 从公开报道看，Geordie 总部在伦敦，至少在 2026 年初已进入多个高影响力创业项目与奖项视野，包括入选 CrowdStrike / AWS / NVIDIA Cybersecurity Startup Accelerator 2026，并在 2026年3月成为 SC Awards finalist。其公开客户与支持者引言包括Currys的高管、AI71前Google DeepMind产品负责人以及资深企业CISO，这说明它并非只停留在概念阶段，而是在推动企业级 agent governance 的真实落地。
  • Geordie AI 不是在做“传统 AI 安全工具”，而是在为企业建立一层面向 AI agents 的原生治理与风控控制面，让组织第一次能够把 agent 当成会自主行动、会调用工具、会访问数据、会持续演化的“新型数字主体”来管理。
• ②切入机会点
  • Geordie AI 切入的机会点，不是泛泛的“AI 安全很重要”，而是一个非常具体、非常前沿的问题：企业正在快速部署 AI agents，但今天几乎没有成熟的企业控制体系真正是为 agent 这种对象设计的。
  • 这说明 Geordie 切的不是某个单点攻击技术，而是一个新对象治理缺失的问题。这个机会点之所以大，在于它命中了 AI 落地后企业控制体系最先失效的三处：
        第一，AI agent 不是传统软件，也不是传统身份对象
        传统软件通常是静态、可预测、按预设逻辑执行；传统身份体系主要围绕人或服务账号设计。但 agent 同时具备几种新特征：会基于上下文做动态决策，会自主调用工具，会访问数据、生成代码、触发外部动作，会在运行中表现出非线性、路径依赖和上下文敏感行为。
        这意味着，传统 EDR、IAM、PAM、CASB、AppSec 工具都只能覆盖 agent 风险的一部分，没人真正负责 agent 这一类对象的全生命周期治理。
        第二，企业不是看不见 AI，而是看不懂 AI agents 的真实风险
        Geordie 官网有一句很关键：“Security teams don't lack data, they lack understanding.” 这句话非常深。它说明企业不是没有日志、没有 API、没有运行数据，而是缺少一层把 agent 的：所有权、工具调用、数据接触面、决策路径、行为变化、风
    险生成机制、组织成统一上下文的系统。
        所以 Geordie 切入的机会并不是“再多收集一点遥测”，而是建立 agent-native context。
        第三，企业需要的是“敢上 agent”，而不是“先别上 agent”
        Geordie 的官网和对外表述反复强调的不是“阻止 AI”，而是 safe adoption / scale agentic innovation / say yes to innovation without friction。
     这说明它在商业上抓住了一个非常重要的心理：企业现在不是在问“要不要上 agent”，而是在问“怎么上 agent 而不失控”。
        这就把它的机会点，从“纯风险工具”提升成了“创新使能工具”。一旦一个安全产品能被组织理解为“让我敢用新技术”的基础设施，它的战略位置会显著高于单纯的检测工具。
• ③它看到了什么结构变化
    变化一：企业的核心安全对象正在从“用户和主机”扩展到“会自主行动的数字主体”
    这可能是 Geordie 最重要的行业判断。过去企业安全的主语是：人、设备、应用、数据。
    Geordie 则把 agent 抬升为一等对象。官网说得很明确企业需要知道 which agents you have, who owns them, how they behave, and the risks they create。这意味着安全对象的定义发生了变化：现在企业里出现了一类新的“数字行动者”，它既不是简单软件模块，也不是传统机器人脚本，而是具备一定自主性和上下文适应能力的 agent。一旦这一类对象变多，整个安全架构都会被迫重写。
    变化二：安全控制面正在从访问控制上升到行为与上下文控制
    Geordie 产品页强调：posture management、tool and data access mapping、decision and activity traces、contextual governance、dynamic behavioral oversight、contextual interventions
    这说明它看到的结构变化是：传统“谁能访问什么”已经不够，必须进一步控制：agent 在什么上下文下做决定、为什么调用这个工具、为什么走这条路径、行为是否偏离角色或预期、是否需要在决策时刻进行 context-aware intervention。也就是说，控制面正在从静态 access control 转向动态 behavior governance。
    变化三：企业真正缺的不是“AI 能力”，而是“敢用 AI 的治理能力”
    Geordie 官网的核心叙事一直是：Confident agentic adoption 与 Innovation without uncertainty。 这说明它看到的不是单纯安全预算，而是更高一层的组织需求：企业不是缺 AI 工具，而是缺一个让 IT / Security 领导层敢批量上线 agent 的基础设施。所以它
  实际上把安全预算和创新预算连接起来了。这类公司往往能拿到更高战略位置，因为它卖的是“可控增长”。
    变化四：AI 安全的重点正在从“模型保护”转向“agent 运行时治理”
    过去两年很多 AI security 产品聚焦：模型防护、prompt firewall、LLM red teaming、data leakage protection
    Geordie 切的是 agent runtime governance。
     官网把重点放在：who built them、where they run、what they can access、how they behave over time、how risk emerges。这说明 AI 安全赛道正在分层：模型安全是一层，而 agent 运行时的治理、安全、可审计性正在成为另一层独立大问题。Geordie 明显押注的是后者。

6. Glide Identity

• ①公司概况
  • RSAC 官方对它的定义：它是面向 AI时代的下一代认证平台，利用密码学、电信网络情报和设备级信任，在不依赖密码或短信验证码的情况下实现即时、安全验证。 Glide自己官网则把使命表述为：为 AGI时代构建“最安全、连续的身份平台”，服务对象既包括 humans，也包括 agents。公开资料显示，公司总部在旧金山，成立于 2024 年，并在官网披露已融资 2000 万美元。
  • Glide不是在做“更顺滑的登录”，而是在试图重构认证基础设施本身：把长期脆弱的密码、短信验证码、脆弱恢复链路，升级为设备绑定、SIM 锚定、密码学驱动、适合人和 agent 共存时代的身份信任底座。
• ②切入机会点
  • Glide 切入的机会点，不是传统 IAM 厂商常说的“提升登录体验”，而是一个更底层的问题：今天企业身份体系最脆弱的，不是认证界面不好看，而是认证根基太旧，已经不适配 AI 时代的攻击强度和自动化强度。 Glide 在 RSAC 入围稿中直接把自己定义成“built for the AI era”，并强调“without passwords or SMS codes”；官网则反复强调其方案是“AI-safe, agent-ready authentication”。这说明它押注的不是 MFA 增量优化，而是身份验证基础设施重置。
  • 这个机会点之所以大，在于它命中了传统认证体系的三个结构性短板。
        第一，密码和短信验证码已经不再是可接受的长期基础设施。 Glide 的公开表述非常明确：MagicalAuth 用 SIM 做静默验证，替代过时的 SMS code 和 password；SuperPasskey 的页面更进一步指出，passkey 虽然消除
    了密码，但恢复流程常常仍然退回到 email 或 SMS，而这些恢复链路依旧容易被攻击者利用。也就是说，Glide 看到的不是“密码不好”，而是整个身份恢复与
    重建链路都不安全。
        第二，企业需要的不只是“验证用户”，而是“验证设备-网络-凭证”三者是否属于同一可信实体。 Glide 的方案反复强调 SIM-anchored、carrier-verified、device-bound、cryptographic authentication，这意味着它切入的不是纯软件凭证层，而是想把
    telco network intelligence 和 device trust 拉进认证主链路。它看到的机会是：传统认证过于依赖用户知道什么（密码/验证码），而未来认证更应该依赖用户
    拥有什么、设备绑定了什么、运营商网络层能证明什么。
        第三，AI 时代会放大传统认证体系的社会工程和账户接管风险。 Glide CEO 在公开文章中直接把问题表述为“authentication arms race”，强调密码体系难以在 AI 时代生存。公司官网同样把“AI-safe”放在最核心的位置。
    这说明 Glide 看到的不是一般性的身份安全升级，而是：当 AI 加速钓鱼、诈骗、冒充、自动化账户恢复绕过时，认证系统本身会成为最先被击穿的基础设施。
        所以 Glide 的切入机会，不是“提供一个更方便的登录体验”，而是：在 AI 驱动的身份攻防升级中，重做一层更难被钓鱼、更难被接管、更少依赖脆弱恢复链路的身份根信任体系。
• ③它看到了什么结构变化
    变化一：身份认证的核心矛盾，正在从“记住秘密”转向“证明连续信任”
    传统身份体系建立在一个老逻辑上：用户知道一个秘密，所以系统信任他。 Glide 明显在押另一个逻辑：系统应该基于设备、网络、密码学绑定关系，持续证明这个主体的信任连续性。 MagicalAuth 的 SIM-based invisible verification 和 Glide-In 的 device-bound cryptographic authentication 都说明它看到的核心变化是：认证不该再围绕
  “你记得什么”，而应围绕“你和可信设备/网络关系是否连续存在”。
    变化二：身份安全的主战场正在从登录时刻扩展到注册、恢复、改绑和无感验证
    Glide 的产品线并不只是一种登录方式，而是覆盖：MagicalAuth（静默 SIM 验证）、SuperPasskey（强化注册与恢复）、Glide-In（线下/接触式身份确认）、
  KYC + SSO、Flowy Auth & Credentials（Web SSO） 这说明 Glide 看到的不是一个点状问题，而是：身份信任应该贯穿 onboarding、login、recovery、device transition、agentic transaction 等多个阶段。
    变化三：AI 时代的身份体系必须“同时适合人和代理”
    官网首页和公司简介都提到“built for humans and agents everywhere”以及“agent-ready authentication”。这是一条非常大的判断。它意味着 Glide 看到：未来身份不是单纯的人机认证，而要逐步支持 human identity + device trust + agentic action 的混合环境。也就是说，身份安全正在从登录问题升级为数字行动主体信任问题。
    变化四：下一代身份基础设施的护城河，不再只是协议支持，而是“信任材料组合能力”
    Glide 的独特之处，不是单纯支持 passkey，而是把：cryptography、telco network intelligence、device-level trust、SIM anchoring打包成一体化认证信任材料。 这说明它看到的行业变化是：未来身份厂商竞争，未必只是“谁支持的标准更多”，而是“谁能拿到并整合更强的根信任材料”。

7. Humanix

• ①公司概况
  • Humanix 是 RSAC 2026 Innovation Sandbox Top 10 Finalist 之一。RSAC 官方对它的入围描述与公司公开表述高度一致：Humanix 保护“human layer”，核心是 Human Threat Detection and Response（HTDR），通过对话式 AI 和认知心理学，实时识别 social engineering、manipulation、deception、impersonation 等针对人的攻击，并给出 context-aware remediation。
  • 从官网看，Humanix 的定位非常鲜明：“Security focuses on systems, attackers focus on people.” 公司明确主张，安全团队需要像保护 endpoint 和 network 一样，拥有针对“人”的 detection and response 能力。官网首页也写得很直接：

• • Humanix它不是传统安全意识培训产品，也不是单纯的反钓鱼工具，而是在试图把“对人的攻击”从软性管理问题，变成一类可实时检测、可响应、可运营的正式安全控制面。
• ②切入机会点
    Humanix 切入的机会点，不是“社工攻击一直存在”这个老问题，而是一个更尖锐的判断：企业安全体系对机器层有完整的检测与响应范式，但对人层攻击几乎没有对等能力。
    这个机会点之所以大，核心在于它命中了传统安全体系里最不对称的一块：
    第一，攻击者已经把“人”当成主战场，但防御仍主要围绕“系统”
    Humanix 官网和 PR 稿反复强调 human layer。这背后真正的含义是：安全行业已经对主机、流量、邮件附件、恶意文件形成了比较成熟的检测栈；但当攻击者转向：伪装身份、操控情绪、施加时间压力、制造权威感、引导“合法但危险”的业务动作时，传统安全栈往往几乎失明。
    第二，今天最贵的攻击常常不是“突破系统”，而是“借人执行”
    Humanix 的 PR 稿明确写到，其能力用于识别：manipulation tactics、impersonation attempts、pressure techniques、policy violations、identity verification failures并把这些都放在“active social engineering”里理解。
    也就是说，它看到的不是“人会被骗”这么简单，而是：很多真正造成损失的事件，本质上是攻击者借助人去执行本来不该执行的动作。这时系统日志里记录到的可能仍然是“正常用户、正常账号、正常业务流程”，异常只发生在交互语义和心理操控层。
    第三，企业需要的不再是“提醒员工小心”，而是“在攻击发生时帮助员工挡住”
    Humanix 官网首页说得很直接：Detect and respond to attacks hidden in voice, video, chat, and engagement systems before they reach your team. 这意味着 Humanix 的机会点不是“提升认知”，而是 在实时交互中识别攻击并干预结果。这与传统安全意识培训是两套完全不同的商业和技术逻辑。
    所以 Humanix 的机会点，本质上是：把对人的攻击，从“教育问题”升级成“实时检测与响应问题”。
• ③它看到了什么结构变化
    变化一：安全行业最严重的盲区之一，不是未检测到恶意代码，而是未检测到恶意意图
    Humanix 的一整套叙事都在强调 deception、manipulation、pretexting、authority and urgency。(humanix.ai/learn/detecting-reconnaissance-and-deceptive-pretexting-before-attacks-begin)
     这说明它看到的变化是：很多现代攻击里，关键不再是“有没有恶意 payload”，而是“有没有恶意意图被伪装成合理请求”。这个变化非常深，因为它意味着安全对象从“代码与行为”延伸到“语义与动机”。
    变化二：人不应再被当作最后一道被动防线，而应被当作需要被保护的攻击面
    Humanix PR 稿里有一句很重要的话：People should be protected, not punished for being human. 这实际上是在重写一个长期存在的安全文化假设。过去很多组织默认：员工要自己识别风险、出事了多半是员工没警觉、解决办法是再培训一次
    Humanix 看到的变化是：在 AI 放大的社工环境里，单靠个人警觉不再现实。“人”本身正在成为需要被技术保护的攻击面。
    变化三：社工攻击正在从单点渠道攻击，变成多渠道、分阶段的行动链
    Humanix 官网与学习资源都反复提到 voice、chat、email、cross-channel correlation、reconnaissance and pretexting。 这说明它不是在看孤立“钓鱼邮件”，而是在看：侦察、预设身份、多渠道接触、压力施加、流程绕过的完整攻击链。这使它比传统反钓鱼厂商切得更深。
    变化四：人层安全会逐步从培训预算，转入安全运营预算
    Humanix 之所以把自己定义成 HTDR，而不是 awareness platform，就是在抢这个预算迁移。 它看到的不是“再做点培训技术”，而是：human-targeted attacks 需要被纳入和 EDR/NDR 类似的持续监测与响应体系。一旦这个预算迁移成立，Humanix
  的战略位置会比传统培训厂商高得多。

8. Realm Labs

• ①公司概况
  • RSAC官方对它的定义：Realm Labs让企业能够“看进 AI的大脑里”，在推理阶段监控模型的“thoughts”，从而在AI失范行为造成伤害之前发现并采取行动。 这一定义非常关键，因为它说明Realm Labs不是停留在输入输出过滤，也不是泛化的“AI 安全平台”，而是在押注一个更深的控制点：模型推理过程本身的可观察与治理。
  • 从目前公开可见的信息看，Realm Labs的对外叙事相对克制，曝光不像其他finalist那么多，但它能进入RSAC Top 10，本身已经说明两个事实。第一，评委相信它不是单纯概念，而是在尝试建立一条新的AI安全控制层。第二，它切的问题足够前沿，以至于即便市场教育尚早，也已经被认为具有“下一代基础性价值”。
  • Realm Labs 不是在保护模型的“外壳”，而是在尝试把模型推理过程本身变成企业可观测、可判断、可干预的安全控制对象。
• ②切入机会点
  • Realm Labs 切入的机会点，不是“AI 有风险”这种泛化命题，而是一个很尖锐的问题：今天企业对 AI 系统最危险的部分之一几乎是不可见的——模型在推理阶段为什么这么想、它是否正在偏离、它是否即将做出有害决策。 传统 AI 安全和治理，大体聚焦在几个层面：
    • 输入侧：prompt injection、越狱、恶意上下文
    • 输出侧：敏感信息泄露、有害输出、政策违规
    • 模型外部：访问控制、数据边界、API 调用
    • 生命周期：红队测试、上线审批、合规文档
  • 这些都重要，但 Realm Labs 切的是一层更底部的问题：如果真正的风险在于模型推理过程中已经出现“偏航”“欺骗”“规避”“错误意图形成”，那么只看输入输出往往太晚。这类机会点之所以大，是因为它命中了当前AI安全体系的三个根本短板。
        第一，当前大多数 AI 安全控制仍然是“黑盒式”
        企业今天通常只能看到：用户给了什么 prompt、模型返回了什么结果、外围工具调用了什么 API。但对于“中间发生了什么”，往往几乎无感知。
         Realm Labs 正是在切这块“黑盒地带”。RSAC 官方用 “monitor its thoughts during inference” 这种非常直白的语言，说明其核心卖点就是让企业第一次获得对推理过程内部状态的安全可见性。
        第二，AI 的危险不只是“说错”，而是“在内部形成错误行动逻辑”
        如果一个模型只是生成了低质量内容，那还是内容问题；但如果一个模型在内部形成了：隐瞒真实意图、规避规则、欺骗用户、破坏测试、选择有害行动路径，那问题就从内容错误升级成了推理安全问题。
        OpenAI 在关于 reasoning models 的公开研究里也强调，监控模型“thinking”能够帮助识别 subverting tests、deceiving users、giving up when tasks are hard 等失范行为，并明确表示 CoT monitoring 可能是未来少数可用的监督手段之一。Realm Labs 的路线与这一前沿方向高度一致。
        第三，企业需要的是“在伤害发生前”做判断，而不是事后归因
        RSAC 官方对 Realm Labs 的描述最后一句非常重要：“catch AI’s misbehaviors as they happen and act before they cause harm.”这意味着 Realm Labs 切入的不是事后审计，而是推理期的实时风险前置判断。
        所以 Realm Labs 的机会点，本质上不是“更细的 AI observability”，而是：把 AI 推理阶段从不可见黑盒，升级成企业可以提前感知并实施控制的新控制面。
• ③它看到了什么结构变化
    变化一：AI 安全正在从边界防御走向内部状态监督
    传统网络安全擅长做边界控制：谁能进、谁能出、哪个连接可疑、哪个输入危险
    早期 AI 安全也延续了这个思路：prompt 有害吗、output 合规吗、调用了危险工具吗
    Realm Labs 看见的是：未来真正关键的一层，可能是模型内部状态是否正在向有害方向演化。这意味着 AI 安全会从边界守卫，进入内部状态监督。
    变化二：安全控制对象正在从“AI 应用外部接口”扩展到“AI 决策过程”
    如果这个方向成立，企业安全团队未来要管理的不再只是模型 API、数据输入、输出日志。而是还要管理推理轨迹、决策生成过程、中间失范信号、内部规避行为
    这意味着控制对象的分辨率被大幅提高。换句话说，AI 不再只是一个黑盒服务端点，而是一个拥有内部风险状态的运行对象。
    变化三：未来的 AI 风险不一定表现为明显“违规输出”，而可能表现为“隐性错误意图”
    这是 Realm Labs 最有前瞻性的地方。很多危险并不会第一时间表现为：敏感词、违规答复、明显恶意结果。而可能表现为：模型为了完成目标而规避约束、模型对用户进行策略性误导、模型表面服从内部选择另一条路径，模型在复杂任务中形成潜在有害计划。如果这些判断成立，那么仅看 output 的治理体系会存在系统性盲区。Realm Labs 押注的，就是这个盲区会越来越大。
    变化四：AI 安全会分层，推理层会成为一条独立控制线
    过去 AI 安全常被看作单一赛道；Realm Labs 的出现说明它正在快速分层：模型层安全、数据层安全、边界层安全、代理/工具调用层安全、推理层安全，Realm Labs 正在定义最后这一层。如果它成功，这层不会只是附属功能，而可能成为 AI runtime security 里最难、也最有护城河的一层。

9. Token Security

• ①公司概况
  • RSAC官方对它的定义：它入围的原因是其AI Agent Identity Security Platform，能够为AI agents提供持续发现、生命周期治理和基于意图的访问控制。 Token自己官网则把定位进一步扩展为 “Identity-First AI Agent Security”，强调它帮助企业管理完整的AI agent identity lifecycle，让企业能够快速采用agentic AI而不失控。
  • 从公司发展路径看，Token并不是从“AI agent 安全”起家的纯新概念公司，而是从Non-Human Identity（NHI）Security 演化而来。2025 年1月，公司宣布完成2000万美元 Series A，彼时对外定位还是machine identity / non-human identity 安全领导者；到2025年中后，公司连续发布AI Discovery Engine、AI Agent Identity Lifecycle Management、MCP Server Discovery等能力，逐步把原有的NHI平台向AI agent场景重构。换句话说，Token不是“先看见AI热点再贴上去”，而是在原有machine identity赛道上，顺着AI agent爆发自然长出新层。
  • Token Security不是在做泛化的“AI 安全平台”而是在为AI agents、MCP servers和其他non-human identities建立一层以身份为核心的可见性、生命周期治理、所有权归属与意图驱动访问控制体系。
• ②切入机会点
    Token切入的机会点，不是“AI 很危险”这种泛化判断，而是一个非常具体、且会迅速成为企业控制盲区的问题：AI agents正在大量使用非人类身份、token、密钥、权限和外部工具，但企业几乎没有为这类主体建立过成体系的身份治理。 Token官网首页和产品页都把重点放在 “AI Agent & MCP Server Discovery”“AI Agent Ownership & Accountability”“AI Agent Access Control & Right-Sizing”“Traceability in a Multi-Agent Ecosystem” 上，这说明它看到的不是一个抽象 AI 问题，而是一个非常落地的身份治理问题。
    这个机会点之所以大，在于它踩中了三个正在同时爆炸的现实：
    第一，AI agent本质上在制造新一波non-human identity爆炸
    Token在2025年融资公告中就已经强调，它解决的是 enterprise machine identities，从 legacy applications 到 AI agents；2026 年官网和博客则进一步明确：随着 AI workflows、AI agents 和 agentic AI 落地，企业需要回答这些关键问题——有哪些 AI-driven identities、它们用了哪些 token/credential、谁拥有它们、权限是否过大、生命周期是否受控。 这说明 Token 看到的是：AI agent 不是独立于 machine identity 体系的全新世界，而是把原本就很难治理的 NHI 问题推向更复杂、更动态、更高权限的阶段。
    第二，企业今天最缺的不是“更多 AI 安全警报”，而是“知道这些 agent 到底是谁、归谁管、能干什么”
    Token官网把 “AI Agent Ownership & Accountability” 放在核心能力之一，这其实点得非常准。许多企业并非完全不知道自己在用 AI，而是不知道：哪些 agent 是 shadow AI；哪些 agent 连了哪些 MCP server；它们用了哪些 token / secret / service identity；真正 owner 是谁；谁应该为它的权限和行为负责。这类问题如果回答不了，后续再谈 least privilege、审计和控制都没有基础。
    第三，传统 IAM / PAM / IGA 对 AI agent 这类主体并没有现成答案
    Token在公司介绍页里说得很明确：随着 AI agents 从 simple assistants 走向 independent actors，企业需要的是 identity lifecycle 和 intent-based access management，以安全地把 AI 潜力变成竞争优势。这里最关键的是它用了两个词：lifecycle 和 intent-based。这说明它看到的不是传统 IAM 能轻松解决的“再多一个服务账号”，而是一个新对象：拥有持续变化的权限需求；可能动态调用工具和资源；需要按照“想做什么”而不是静态角色来限制访问；这已经超出了传统 RBAC-only思维。
    所以，Token 的机会点不是“给 AI 加点安全功能”，而是：在 agentic enterprise 到来时，建立一层原本不存在的“agent identity control plane”。
• ③它看到了什么结构变化
    变化一：企业身份体系的主语正在从“人”扩展为“机器与代理”
    Token 从 NHI 起家，再延伸到 AI agents，实际上说明它对行业的底层判断是：未来企业里最活跃、最危险、最难治理的一类身份，不再只是人类账号，而是：machine identities、service accounts、workload identities、AI agents、MCP-connected autonomous actors，这会迫使身份安全从 human-centric 走向 machine-first / agent-first。
    变化二：身份安全正在从“认证成功”转向“生命周期与责任链治理”
    Token的核心能力不是只有 discovery，而是 lifecycle governance、ownership、accountability、traceability。
     这说明它看到：未来身份安全价值不只在登录那一刻，而在于整个生命周期：这个 agent 是什么时候被引入的；谁批准的；用了哪些凭证；权限是不是越来越大；行为是否可追溯；是否能及时收敛和下线。换句话说，身份安全正在从“点状事件”变成“持续治理”。
    变化三：AI agent的访问控制必须从静态角色走向意图驱动
    Token 在 about 页里用的是 intent-based access management，这非常值得重视。它意味着企业在 agent 场景下不再满足于简单 RBAC，而是要根据：这个 agent 当前要完成什么任务；为什么需要访问某资源；当前上下文是否支持这次调用；来决定是否放行。这说明访问控制正在从“你是什么角色”向“你现在想做什么、该不该做”迁移。
    变化四：AI 安全、身份安全、云权限安全正在收敛
    Token 的整个平台连接 AI、云服务、CI/CD、on-prem 等多环境，并且既管 AI agents 也管 broader NHIs。
     这意味着它看到的是一条收敛趋势：AI 安全不只是 prompt / model 安全；身份安全不只是用户身份；云权限安全不只是 IAM policy hygiene；未来这些都会围绕“谁在调用、拿什么凭证、执行什么动作、是否可追责”汇聚到同一控制平面。

10. ZeroPath

• RSAC官方对它的定义：用单一AI-native engine 取代传统SAST、SCA、Secrets 和 IaC 工具栈，能识别 legacy tools经常漏掉的business logic flaws 和 chained vulnerabilities。 这句话已经把它和传统 AppSec工具厂商的差异点点明了：它不是“多一个扫描器”，而是试图用AI原生方法重构整套代码安全工具链。
• 从官网看，ZeroPath 的外部叙事也高度一致：首页直接写的是 “One Scanner. All of AppSec.”，并把产品覆盖范围定义为 AI SAST、SCA、Secrets、IaC、PR Reviews、Policy Engine、Risk Management 等；FAQ 则更直接地说：ZeroPath is the first AI-native platform for detecting, prioritizing, and resolving code security issues. It's a replacement for your SAST, SCA, and Secrets detection products.
• 从产品节奏和内容布局看，ZeroPath 不是只会讲“AI-native”概念。它已经形成了：主产品页、解决方案页、大量 CVE 研究输出、客户案例、开发者工具与
• MCP Server、多种企业集成能力，这说明它试图构建的不只是一个研究型引擎，而是一套可直接进入企业 DevSecOps 流程的产品平台。 ZeroPath 不是在优化传统代码扫描器，而是在押注一个更大的命题：未来 AppSec 不应再是多工具堆叠、规则噪声泛滥、对业务逻辑失明的碎片化体系，而
• 应是一套以语义理解和真实 exploitable risk 为中心的 AI 原生代码安全平台。
• ②切入机会点
  • ZeroPath 切入的机会点，不是“代码漏洞很多”这种老问题，而是一个今天 AppSec 团队普遍痛到麻木的问题：现有代码安全工具太碎、噪声太大、对复杂业务逻辑和链式漏洞理解太差，导致企业既花了很多钱，又没有真正获得想要的风险发现能力。
  • ZeroPath 自己在 FAQ 和多篇博客里反复强调的核心问题有两个：传统工具生成大量 false positives，造成开发者疲劳；它们又经常漏掉真正有价值的 business logic vulnerabilities 和 chained vulnerabilities。
  • 这说明 ZeroPath 切入的不是“扫描覆盖面不足”，而是 AppSec 体系更深的结构性失衡：
        第一，企业今天不缺扫描器，缺的是“更接近真实风险”的判断层
        大多数中大型研发组织已经有：SAST、SCA、Secrets scanning、IaC scanning、代码审查、漏洞管理平台
        问题不是完全没工具，而是工具太多，结论不统一，噪声太大，开发者不信，安全团队也无法把有限精力集中在真正高价值问题上。 ZeroPath 之所以高举 “One Scanner. All of AppSec.”，本质上就是在回应这一点：AppSec 工具栈碎片化本身，已经成为风险效率问题。
        第二，真正最危险的问题常常不是经典漏洞，而是业务逻辑漏洞
        ZeroPath 在客户案例里明确解释了它为什么强调 business logic flaws：这类问题不是 SQL injection、XSS 那种模式化缺陷，而是应用在自己的授权、支付、访问控制、业务规则实现上出了问题；它们代码上看起来往往完全“正常”，因此传统基于规则和模式匹配的工具很容易漏掉。
        这点很重要。它说明 ZeroPath 切入的不是传统 AppSec 的红海中心，而是一个高价值、长期痛点、却很难靠老方法解决的区域：对业务语义的理解。
        第三，AI coding 让传统 AppSec 工具体系更加跟不上
        虽然 ZeroPath 并没有像 Crash Override 那样把“AI code”放在绝对最核心的外部叙事位置，但它明确提供了：AI Code Review、Secure AI-generated
    code 方案、AI-native security analysis 这说明它看见的是：随着代码产出加快，传统 rule-based 工具的误报和漏报问题只会更严重，企业不可能继续靠“多加几个扫描器”解决。
        所以 ZeroPath 切入的机会，本质不是“让 SAST 更智能一点”，而是：用 AI-native 的深语义分析，重新统一并替代一整套已经边际收益递减的 AppSec 工具组合。
• ③ 它看到了什么结构变化
    变化一：AppSec 的核心矛盾正在从“有没有扫描”转向“扫描是否理解业务语义”
    ZeroPath最重要的判断，就是business logic flaws 和 chained vulnerabilities值得单独拿出来讲。这意味着它认为未来AppSec的高价值不再只是：多支持几种语言、多几个规则、多几个漏洞签名。而在于：工具能否理解应用在做什么，而不仅仅是代码长什么样。这是一个非常大的范式迁移，因为它把代码安全从“模式识别”推向“意图理解”。
    变化二：AppSec 会从多工具堆叠走向统一平台
    “One Scanner. All of AppSec.” 不是一句简单营销语，而是一个行业判断。 它说明 ZeroPath 看到：
  • SAST、SCA、Secrets、IaC、PR review、policy 分散存在
  • 开发者体验被破坏
  • 安全团队花大量精力做归一与解释
  • 未来一个更合理的方向是：由同一个语义层和风险判断层去统一多个 AppSec 场景。
    变化三：企业真正想买的是“高置信度 AppSec”，不是“更多 findings”
    ZeroPath 在 FAQ 和案例里不断强调 fewer false positives、real vulnerabilities、precision。这说明它看见的不是“缺扫描覆盖”，而是“开发者和安全团队已经对低置信度 findings 厌倦”。未来 AppSec 的竞争，核心会越来越偏向：结论真实性、上下文解释能力、remediation 能力、与开发流程的可接受性
    变化四：AI AppSec 会分裂成两类——“用 AI 做工具”与“保护 AI 生成的软件”
    ZeroPath 同时做：AI-native scanning、AI-generated code security、AI code review 这表明它看到的未来不是单一 AI AppSec 概念，而是两件事同时发生：用 AI 重写 AppSec 工具；用 AppSec 保护 AI 生成的软件。这两条线叠加，才构成它的
  完整价值。

第三部分：我们关注的机会

①这届入围者共同看到了什么

1. 安全对象在变化。不再只是用户、主机、服务器，而是AI agent、构建流程、推理过程、人类操控链。
2. 控制面在上移。从流量、终端、告警，上移到身份、意图、行为、构建证明、推理可信。
3. 安全团队无法靠人海战术扩容。因此自动化安全评审、自动化治理、SOC 韧性、AI 辅助决策会成为必选项。
4. AI既制造新攻击面，也制造新买单点。这也是为什么本届 finalists明显偏AI。Techstrong 对RSAC创新负责人采访中就点出了这届 finalists “AI-heavy”。
5. 身份成为最强的中枢变量。尤其是AI代理身份、无密码认证、人与机器身份混合治理。

②对网络安全行业三类机会

• 第一类：把网络控制做成新执行面 网络设备仍是少数能真正执行阻断、分段、限权、审计的硬控制点。 机会在于把上层新信号接进来：AI agent identity、human risk、code risk、build trust、model risk。
• 第二类：把防火墙从“看包”升级成“看对象” 对象包括：AI agent、non-human identity、API / service-to-service identity、risky workflow、model-connected traffic。
• 第三类：把防火墙从“设备”升级成“策略操作系统的一部分” 这届入围公司多数都不在卷吞吐，而在卷“治理、上下文、自动化、可信执行”。这说明未来价值可能更多在控制平面，而不是单纯数据平面。

③对厂家深度关注重点

• 从做防火墙的视角，优先级关注：
  • 第一梯队：Token Security、Geordie AI、Glide Identity、Realm Labs 因为它们直接关系到未来网络控制面是否要理解AI agent / identity / trust / inference。
  • 第二梯队：Humanix、Charm Security 因为“人层风险”未来很可能成为网络准入与访问控制的重要输入。
  • 第三梯队：Clearly AI、Crash Override、ZeroPath、Fig Security 这几家更偏上游治理和运营，但有机会把“代码风险 / 构建可信 / SOC 韧性”传给网络侧执行。