网络安全股遭AI“错杀”？大摩看到2200亿美元机会

华尔街见闻04-21

网络安全板块因AI冲击叙事累计暴跌25%，但摩根士丹利直指这是结构性误判：AI催生的增量安全需求高达2200亿美元，是颠覆风险所涉市场份额的数倍，网络安全软件净市场规模反而将扩大约10%。恐慌过后，或是布局良机。

AI冲击网络安全赛道的叙事，正在被重新审视。

过去数周，Anthropic发布Claude Code Security并宣布Mythos AI模型在自有网络安全基准测试中取得满分，引发市场对AI颠覆网络安全行业的恐慌，相关个股累计跌幅约达25%。

但摩根士丹利在最新的报告中表示，这一抛售反映的是市场对AI威胁的结构性误判，而非基本面的真实恶化。投资者低估了AI带来的防御性需求扩张，却高估了其对现有厂商的颠覆威胁——AI催生的增量安全机遇高达2200亿美元，是当前受颠覆风险约10%市场份额的数倍，网络安全软件市场净规模预计反而比今天高出约10%。

板块下跌约25%：担忧被高估

触发此轮抛售的，是AI原生企业的一系列公告。据MarketWatch报道，Anthropic发布Claude Code Security，以及Mythos AI模型在其自有网络安全基准测试中取得满分，令投资者担忧AI将大幅削弱传统网络安全解决方案的价值，触发大规模减仓。

摩根士丹利表示，部分AI原生企业已开始与选定的网络安全厂商建立模型预发布合作关系，Palo Alto Networks和CrowdStrike均已参与其中，旨在模型正式落地前共同建立安全"护栏"。这一举动本身表明，AI厂商将网络安全视为模型规模化的前置条件，而非替代对象。

对于板块内部的分歧，摩根士丹利指出，长线投资者普遍看多，认为AI拉低攻击成本、提升攻击频率与复杂性，将从需求侧持续强化安全预算；对冲基金则更为悲观，对传统厂商长期抵御AI原生竞争者的能力持更多怀疑。

摩根士丹利认为，当前争论与云迁移初期"云厂商将取代安全行业"等历史叙事高度类似，最终事实均证明担忧被过度放大。

2200亿美元增量远超颠覆损失

摩根士丹利测算表示，当前网络安全市场规模约3000亿美元（含服务），占整体IT预算的6%至7%。

颠覆风险主要集中在"预防性安全"层——漏洞管理、应用安全测试、云配置管理等任务可异步执行，对延迟容忍度较高，是AI模型相对容易介入的领域，这部分约占整体市场的10%。

与此同时，AI带来的增量安全需求正在迅速成形：随着企业大规模部署AI模型、智能体和数据管道，保护这些新资产将催生可观的增量预算。摩根士丹利估算，这一新增需求足以抵消市场流失，并使网络安全软件净市场规模较今天扩大约10%。

攻击侧的数据进一步强化了需求端逻辑：当前80%至90%的攻击已由AI生成，攻击成本趋近于零。这不仅没有弱化安全支出的合理性，反而从根本上强化了对实时检测、响应及身份安全能力的需求。

防御壁垒最坚实的战场

摩根士丹利将网络安全市场划分为三个层次：预防性安全、控制点/边界安全，以及运行时安全，并强调AI颠覆力量在三层之间的分布高度不均。

运行时安全之所以难以被颠覆，在于AI模型进入生产环境后，提示注入、数据泄露和模型滥用等威胁必须被实时捕获和处置，无法在开发和训练阶段被提前消除。控制点和运行时安全均需低延迟、确定性响应，与当前概率性AI模型存在根本性冲突。CrowdStrike、Palo Alto Networks、Okta和SailPoint正以此为支点，将各自在终端、网络和身份安全领域的能力延伸至AI层，构建围绕实时AI系统的动态执行"护栏"。

成本逻辑同样不可忽视。摩根士丹利指出，用大规模语言模型处理邮件过滤或身份验证等高频安全任务，计算成本可能比现有方案高出数个量级。

目前邮件安全和身份平台通常以每用户每月低至中个位数美元定价，处理数十万乃至更多事件，意味着每笔事件的边际成本不足一分钱；而以基于token的AI模型在同等规模下运行，将引入显著更高的算力开支。摩根士丹利认为，在近期内，AI在成本敏感、低延迟场景中更可能扮演"增强"角色，而非全面替代现有架构。

非人类身份成下一个核心战场

AI普及正推动身份安全的战略地位持续提升。随着API、机器身份和自主智能体等"非人类身份"（NHI）数量快速增长，传统以人类用户为中心的身份管理框架已难以覆盖新型风险。

摩根士丹利指出，AI驱动的系统往往以较高权限运行，可跨分布式环境访问敏感数据，大幅扩大了凭证滥用、权限提升和非预期访问路径等攻击面。

身份安全正从单纯的"认证"演进为涵盖持续验证、细粒度访问控制和全生命周期管理的实时执行控制层。当AI智能体开始自主执行数据库查询、触发工作流程、与外部系统交互时，身份成为执行信任边界和策略管控的首要机制。

TD Cowen分析师Shaul Eyal也指出，每个AI平台上的每个智能体都需要身份凭证，且Okta和SailPoint是目前仅存的上市纯正身份安全标的，具有稀缺价值。

平台整合与灵活定价是核心门槛

摩根士丹利认为，AI时代的优质网络安全公司应具备三项核心属性：明确的智能体安全路线图及快速的AI产品发布能力；灵活的消耗型定价框架（如CrowdStrike的Falcon Flex），降低客户部署新能力的摩擦；以及以运行时执行、专有数据优势和成本效率为根基的整体价值主张。

从预算动向来看，摩根士丹利预计资金将从碎片化单点解决方案向整合平台迁移；长期来看，攻击面的持续扩张将推动网络安全成为企业IT支出中防御性最强的优先领域——该行CIO调研显示，网络安全软件是所有IT项目类别中最不可能被削减的。

Disclaimer: Investing carries risk. This is not financial advice. The above content should not be regarded as an offer, recommendation, or solicitation on acquiring or disposing of any financial products, any associated discussions, comments, or posts by author or other users should not be considered as such either. It is solely for general information purpose only, which does not consider your own investment objectives, financial situations or needs. TTM assumes no responsibility or warranty for the accuracy and completeness of the information, investors should do their own research and may seek professional advice before investing.