L5 应用层

AI安全应用

当前核心信号:AI驱动的攻击手法升级与防御滞后

一句话判断

AI安全应用 是 L5 应用层中连接上游供给、产业约束和下游 AI 需求的关键环节,当前主要观察 AI驱动的攻击手法升级与防御滞后。

关键瓶颈 AI驱动的攻击手法升级与防御滞后
代表公司 7 家
内容状态 部分填充

核心约束

先看卡点
AI驱动的攻击手法升级与防御滞后

后续会补充关键瓶颈、资本开支信号和催化事件。

代表公司

7 家

近期催化

待补充

相关催化待补充

研究笔记

来自 Obsidian

AI安全应用

关键信息摘要

Key Highlights

  • 2025年中国网络安全市场约1200亿元,AI安全占比约15-20%,AI+安全成为安全厂商差异化竞争核心
  • 深信服安全GPT 4.0/360安全大模型/天融信天问/奇安信等均已发布安全大模型产品,AI安全产品化加速
  • 海外CrowdStrike(Charlotte AI)/Palo Alto(Cortex XSIAM)/SentinelOne(Purple AI)是AI安全三大标杆

行业定义与边界

AI安全应用是指将人工智能技术应用于网络安全防御、威胁检测、安全运营等场景的产业形态。核心细分:AI威胁检测(异常行为分析/入侵检测)、AI安全运营(SOC自动化/告警降噪)、AI渗透测试(自动化漏洞挖掘)、安全大模型(安全知识问答/事件分析/脚本生成)、AI内容安全(反欺诈/深伪检测)。需区分"AI用于安全"(本行业)和"安全保障AI"(模型安全/数据安全,属于AI治理范畴)。

市场规模与增长

  • 2025年中国网络安全市场约1200亿元,AI安全产品占比约15-20%
  • 全球AI安全市场2025年约350亿美元,2030年预计超900亿美元,CAGR约20%
  • CrowdStrike 2025财年ARR超36亿美元,Charlotte AI用户渗透率超60%
  • 国内安全大模型2024年发布超20个,AI SOC自动化成为政企安全采购新议题
  • 深伪/AI仿冒检测市场2025年约30亿元,增速超50%

技术演进路线

技术路线
阶段 01
威胁数据源

日志/流量/端点 · EDR:CrowdStrike(CRWD)

基础算力

GPU/云平台 · 英伟达(NVDA)

攻击模拟

AI红队/渗透测试 · 自动化漏洞挖掘

阶段 02
AI分析引擎

异常检测/关联分析 · 图神经网络(GNN)

阶段 03
安全大模型

威胁情报/事件归因 · 深信服(300454)安全GPT(2023)

阶段 04
自动化响应

SOAR/剧本执行 · Palo Alto Cortex XSOAR

阶段 05
金融行业

反欺诈/交易风控

运营商行业

网络安全/数据保护

政府行业

态势感知/应急响应

原始图谱
flowchart LR
  subgraph 数据与算力
    A1[威胁数据源
日志/流量/端点
EDR:CrowdStrike(CRWD)
NDR:Darktrace(DARK)]
    A2[基础算力
GPU/云平台
英伟达(NVDA)
阿里云]
  end
  subgraph AI安全平台与服务
    B1[AI分析引擎
异常检测/关联分析
图神经网络(GNN)
2022-2023主流方法]
    B2[安全大模型
威胁情报/事件归因
深信服(300454)安全GPT(2023)
360(601360)安全大模型(2023)]
    B3[自动化响应
SOAR/剧本执行
Palo Alto Cortex XSOAR
2023年集成AI]
    B4[攻击模拟
AI红队/渗透测试
自动化漏洞挖掘
2022-2024已商用]
  end
  subgraph 行业客户
    C1[金融行业
反欺诈/交易风控]
    C2[运营商行业
网络安全/数据保护]
    C3[政府行业
态势感知/应急响应]
  end
  A1 --> B1
  A2 --> B1
  B1 --> B2
  B2 --> B3
  B3 --> C1
  B3 --> C2
  B3 --> C3
  B4 --> B1

AI安全应用的技术演进围绕数据驱动的分析引擎、大模型认知能力与自动化响应闭环逐步展开。2022年前后,核心突破口集中在图神经网络等AI分析引擎的规模化落地,关键前提是高质量威胁数据源与算力基础设施就绪——CrowdStrike (CRWD) 的EDR端点和 Darktrace (DARK) 的NDR流量数据提供全维度行为画像,NVIDIA (NVDA) GPU与云平台支撑海量日志实时关联分析。

2023年安全大模型集中涌现构成代际拐点,深信服(300454)安全GPT、360(601360)安全大模型率先将LLM注入威胁情报研判与事件归因,将安全运营从规则驱动推向认知驱动。同期 Palo Alto Networks (PANW) 将AI集成至Cortex XSOAR编排平台,AI红队与自动化漏洞挖掘在2022-2024年逐步商用,攻击模拟从人工渗透向AI自主决策升级。当前技术瓶颈集中在误报率控制与模型可解释性,金融反欺诈、运营商数据保护、政府态势感知构成首批高价值落地场景。

产业价值链结构

价值链
上游 威胁情报

VirusTotal/MITRE ATT&CK/微步在线 · 2025年国内威胁情报市场约50亿元

中游 安全大模型平台

深信服安全GPT(300454) · 奇安信Q-GPT(688561)/360安全大模型(601360)

下游 AI算力基础设施

华为昇腾/寒武纪-688256 · 2025Q1政企AI安全算力采购占比约30%

下游 AI威胁检测与响应

CrowdStrike(CRWD) Charlotte AI · SentinelOne(S) Purple AI

下游 AI安全运营平台

深信服SIP/奇安信天眼 · 天融信天问(002212)

下游 安全评估与靶场

永信至诚(688244)数字风洞 · 奇安信攻防演练平台

终端 政企客户

金融/能源/电信/政府 · 2025年中国网安市场约1200亿元

原始图谱
flowchart LR
  A[威胁情报
VirusTotal/MITRE ATT&CK/微步在线
2025年国内威胁情报市场约50亿元] --> B[安全大模型平台
深信服安全GPT(300454)
奇安信Q-GPT(688561)/360安全大模型(601360)
2024年发布超20款]
  C[AI算力基础设施
华为昇腾/寒武纪-688256
2025Q1政企AI安全算力采购占比约30%] --> B
  B --> D[AI威胁检测与响应
CrowdStrike(CRWD) Charlotte AI
SentinelOne(S) Purple AI
AI驱动安全ARR加速增长]
  D --> E[AI安全运营平台
深信服SIP/奇安信天眼
天融信天问(002212)
政企SOC AI渗透率约15%]
  E --> F[安全评估与靶场
永信至诚(688244)数字风洞
奇安信攻防演练平台
大模型安全评估新增长点]
  F --> G[政企客户
金融/能源/电信/政府
2025年中国网安市场约1200亿元
AI安全占比15-20%]

AI安全产业价值链以威胁情报与AI算力为上游起点,贯穿大模型底座、威胁检测、安全运营、安全评估直至政企最终用户。上游威胁情报由VirusTotal、MITRE ATT&CK以及国内微步在线等提供,2025年国内威胁情报市场约50亿元;AI算力方面,华为昇腾与寒武纪(688256)的推理芯片已成政企安全采购主流,2025Q1用于AI安全的算力设备占比约30%。中游安全大模型平台高度集中:深信服(300454)安全GPT、奇安信(688561)Q-GPT、360(601360)安全大模型等代表产品,2024年以来已有超过20款安全大模型发布,形成安全运营的通用智能层。AI威胁检测与响应对标CrowdStrike Charlotte AI(全球ARR已破36亿美元)及SentinelOne Purple AI,国内厂商正加速追赶。安全运营平台是落地主战场,深信服SIP、奇安信天眼与天融信(002212)天问等正在推动政企SOC的AI化,当前AI渗透率约15%,未来三年有望提升至50%以上。产业链末端,永信至诚(688244)的数字风洞与AI模型安全评估平台开辟了新增长空间,服务于大模型安全测评。最终政企客户涵盖金融、能源、电信与政府部门,2025年中国网络安全市场约1200亿元,其中AI安全产品占比已达15-20%。最新催化为2026年3月CrowdStrike Charlotte AI完成多模态威胁狩猎升级,带动全球AI安全投资情绪回暖并映射国内对标标的。

重点公司

本土龙头

  • 深信服(300454.SZ)— 安全GPT 4.0,网络安全+云计算,AI安全产品化领先
  • 360(601360.SH)— 360安全大模型,消费+政企安全,AI安全全栈布局
  • 奇安信(688561.SH)— 政企网络安全龙头,AI安全运营平台,央企信创安全受益
  • 天融信(002212.SZ)— 天问安全大模型,政府/金融防火墙核心供应商
  • 亚信安全(688225.SH)— 终端安全+云安全,AI威胁检测,科创板上市

海外对标

  • CrowdStrike(CRWD.NASDAQ)— Charlotte AI驱动的云原生EDR,ARR超36亿美元,全球AI安全龙头
  • Palo Alto Networks(PANW.NASDAQ)— Cortex XSIAM平台,AI驱动的安全运营中心
  • SentinelOne(S.NYSE)— Purple AI,AI原生EDR,对标CrowdStrike

未升格公司清单

留作行业全景参考,未单独建 note。出现重大催化时考虑升格。

Dashboard 已剔但产业链有效环节

本节说明 以下标的因交易维度 (PEG / 流动性 / 业绩兑现等) 在 stock-trading-dashboard 被 dropped, 但业务实质处于本细分 AI 产业链有效环节, 在此记录作为行业覆盖参考。 各标的尚未单独建公司一页纸笔记, 未来按需补充 (见 00-总览/待办清单-反灌补全工作.md)。

  • 绿盟科技(300369) [B 类]
    • 产业链定位:处于 L5-12 AI 安全应用下游,提供网络安全产品与服务,2024 年起推出风云卫安全大模型切入 AI+安全方向,与 深信服-300454 / 启明星辰-002439 同属网安第一梯队但产品线侧重抗 D 与威胁情报。
    • 业务介绍:公司主业为企业级网络安全产品与安全服务,覆盖抗 DDoS、Web 应用防火墙、漏洞扫描、威胁情报等领域,已推出风云卫安全大模型实现安全运营智能化,是国内老牌网安四强之一。
  • 安恒信息(688023) [B 类]
    • 产业链定位:处于 L5-12 AI 安全应用下游,主营网络安全产品与数据安全服务,2024 年发布恒脑安全大模型,与 深信服-300454 / 绿盟科技-300369 同属网安第一梯队,定位差异化于政企数据安全与攻防演练。
    • 业务介绍:公司主业为网络安全产品研发与销售,主打数据安全、云安全、攻防演练、安全运营服务,已发布恒脑安全大模型并落地政企客户,在数据安全治理细分赛道具有代表性。
  • 永信至诚(688244) [B 类]
    • 产业链定位:处于 L5-12 AI 安全应用细分赛道,核心产品为网络靶场与数字风洞测试评估平台,是国内网络靶场最具代表性的上市公司,与 深信服-300454 / 奇安信-688561 同处网安行业但产品差异化于安全测试评估垂直方向。
    • 业务介绍:公司主业为网络靶场技术与产品研发,提供春秋云镜网络靶场、数字风洞 AI 模型安全测试评估平台等产品,是国内网络靶场赛道的标杆公司,AI 大模型安全评估为新兴增长方向。

景气度判断

当前景气度(描述性) 信号源:深信服、奇安信财报;CrowdStrike ARR数据

景气度中等偏上。AI带来的新型攻击手法(AI仿冒/AI辅助渗透)推动防守方采购AI安全工具,安全大模型降低了SOC运营门槛。国内政企安全合规要求趋严(等保2.0/数据安全法)带来稳定需求,但经济下行压力下部分安全预算有所压缩。

风险提示

关键风险

  • AI攻击手法迭代速度超过防御响应速度,安全厂商需持续高研发投入以维持技术领先
  • 经济下行导致企业安全预算削减,政府财政压力影响政采项目落地节奏