3600万美元的疑问:为何资本巨头正看空安全扫描器?
反应式安全的终结
当埃隆·科尔曼(Alon Kollmann)宣称,过去十年间出现的应用安全工具不过是“草屋”里的“更智能的火灾警报”时,他并非故作姿态。这位Clover Security的联合创始人于11月25日揭开神秘面纱,获得了Notable Capital和Team8的3600万美元投资,他所阐述的正是行业数据已经明示的:在AI时代,反应式扫描工具将无法生存。
严峻的数据令人震惊。AI智能体现在生成代码的速度比人类开发者快10倍,而安全能力却停滞不前。这种差距每天都在扩大。更糟糕的是,2025年80%的数据泄露将源于设计缺陷——不安全的集成、有缺陷的数据流——这些是任何后期实施的扫描器都无法预防的。静态应用安全测试(SAST)、动态应用安全测试(DAST),甚至所谓的“AI驱动的应用安全”工具,都在开发者完成工作后才检测出问题,这使得安全团队疲于应对“昨日之火”,而“明日之代码”却已在熊熊燃烧。
Clover的理念很简单:安全必须从产品设计的源头嵌入——在Confluence文档、Jira工单、Slack对话中——而不是在产品出现问题之后。该公司的AI智能体能够吸收组织背景信息,学习系统架构,并在代码编写之前指导设计决策。金融服务公司、企业软件开发商以及Udemy和Lemonade等公司,已经为科尔曼所称的每个客户享有的“3-4名虚拟安全工程师”服务支付“数百万美元收入”。
Clover的押注:代码诞生之前的安全
这一时机并非巧合。2025年,三股力量正在汇聚:自主AI智能体正以机器般的速度做出架构决策;专门针对AI系统的新威胁建模框架正在迅速增多;而传统的应用安全态势管理(ASPM)工具仍然固守着后期实施的模式。当营销团队能够利用无代码平台在数小时内快速启动应用程序时,旧的安全模式——在部署后扫描工件——在结构上已经过时。
Clover将自己定位在威胁建模工具(通常是基于研讨会的模板)和ASPM平台(仍然以扫描器为中心)之间。该公司解析自然语言架构文档和混乱的图表,构建特定于组织的知识图谱,以检测设计意图与实际实施之间的偏差。它不是预防SQL注入,而是预防那些导致SQL注入发生的架构决策。
市场验证了这种方法。预计到2030年,应用安全市场将达到250亿至300亿美元,其中AI网络安全领域的年增长率将超过20%。Forrester称2025年是一个“转折点”,届时传统扫描将变得过时,因为AI模型虽然减少了已知漏洞,但在RAG管道和智能体工作流中引入了新颖的设计缺陷。
风投的盘算:高估值下的完美期待
然而,这项投资的论点揭示了一些令人不安的事实。一笔由Wiz创始人阿萨夫·拉帕波特(Assaf Rappaport)、伊农·科斯蒂卡(Yinon Costica)以及Check Point联合创始人什洛莫·克拉默(Shlomo Kramer)参与的“3600万美元种子轮”投资,实际上并非真正的种子轮——它更像是披着以色列网络安全外衣的A轮融资,其估值很可能建立在Wiz级别的成功基础上。
内部风投备忘录坦率得令人警醒:“这是一笔高信号、高期望的赌注,赌‘安全设计’将成为一个独立的平台层。”这意味着:投资者正在资助一个新类别的创建,而不仅仅是一个好的产品。Clover目前拥有约40名员工,并计划将其翻倍,同时其“低到中等个位数百万美元的年经常性收入(ARR)”意味着它面临着巨大的增长压力,必须在估值下调风险出现之前达到2000万至3000万美元的ARR。
看涨的理由取决于三个假设:设计时安全(design-time security)能够成为一个独立的预算项目,而非ASPM的一个功能;Clover特定于组织的知识图谱能够真正对抗大语言模型(LLM)的商品化;以及监管顺风(如欧盟AI法案将于2026年开始强制执行)将强制要求有文档记录的威胁建模。如果这三个假设都成立,那么实现20亿至50亿美元的估值是可行的。
无人提及的真正风险
但风投备忘录指出了一个生存威胁:“品类吸收风险”。现有ASPM厂商、Wiz和Palo Alto等云平台,以及超大规模云服务商的安全副驾驶(security copilots)可能会提供足够的设计指导,使得Clover成为一个可有可无的附加功能,而非核心记录系统。那么,其退出方式可能更像是3亿至7亿美元的整合收购,而非一个独立的平台。
更根本的是,安全设计是一种流程和文化,而不仅仅是工具。无论技术多么优秀,那些推出过晚或产生过多干扰的工具都会被绕过。如果安全团队无法将Clover融入到标准工作流程中,即使初期销售强劲,使用率也会停滞不前。
最大的讽刺是:Clover的成功取决于改变组织构建软件的方式——而这种文化变革正是几十年来安全工具所未能实现的。这次不同的是,AI智能体而非人类成为了障碍。这是否会让问题变得更容易解决,抑或是难上加难,将决定反应式安全是真正消亡,还是仅仅换个名称。
不构成投资建议