AI冲击SaaS，为什么网络安全是例外？

华尔街“SaaS末日”叙事，为何在网络安全这里戛然而止？

2026年初，Anthropic推出Claude Code Security功能，自动扫描代码库安全漏洞，一度引发网络安全公司股价震荡。华尔街随即诞生“SaaSpocalypse”（SaaS末日）新词，市场担忧大模型能直接替代安全软件功能。然而，最新财报季却给出了相反信号：Datadog、Snowflake等掌握数据与工作流的基础设施公司股价暴涨，而网络安全公司的核心价值未被侵蚀。

业界分析指出，AI确实让“写软件”变便宜，但“运行软件”并未简单化。网络安全恰恰是企业运行中最复杂、最依赖治理能力的环节。IDC中国研究总监卢言霞表示，企业级软件的权限管理、安全保障、API接口是AI应用落地的重大挑战，“大模型不会快速毁灭SaaS”。网络安全公司提供的不只是代码，而是长期积累的合规审计、生产环境权限和系统可靠性保障——这些恰恰是AI生成能力难以替代的。

90% SaaS应用由IT外部采用：安全盲区反成AI的“死穴”

一项调查显示，高达90%的SaaS应用程序由IT部门以外的人员直接采用。这意味着当应用发生安全事件时，IT部门可能完全不知情。这种“影子IT”现象暴露了传统安全管理的巨大盲区，也揭示了AI编程的局限：AI可以快速生成函数和页面，却无法感知和治理企业内部分散的权限体系、数据流向和合规要求。

例如，2026年初亚马逊因AI辅助生成代码引发生产事故——局部正确的改动触发北美订单系统异常，影响数百万订单。AI擅长生成“局部正确”的代码，却不懂哪个服务与财务系统有底层依赖，哪个权限策略会影响整个生产环境。在企业安全层面，这种“无责任感”的代码生成无法替代系统化的安全运营、审计和合规管理。网络安全公司恰恰填补了这一鸿沟：它们提供的是经过多年打磨的治理框架、威胁情报和应急响应流程。

AI Agent要落地，必须先过“安全审计”这一关

华泰证券研究指出，在AI时代，软件行业的赢家将包括安全审计公司——专门验证AI执行结果是否合规、安全。这一判断点明了网络安全的例外地位：AI Agent想进入企业核心业务系统，必须依赖底层的数据权限、身份验证、消息路由和客户互动接口，而这些正是网络安全公司长期深耕的领域。

Salesforce首席运营官Patrick Stokes在财报会中描述，当人类与Agent协同工作时，传统复杂界面将被取代，但安全性并未因此简化。相反，Agent的每一次调用、每一次数据访问都需要严格的权限验证和审计追踪。Anthropic与Salesforce的合作案例也印证了这一点：Claude成为受监管行业首选模型的前提，是确保敏感数据在Salesforce可信的环境中保持安全。安全不再是“薄薄一层UI包装”的工具，而是Agentic底座中不可替代的组件。

AI让系统更复杂：网络安全需求不降反升

Datadog财报显示，AI带来的GPU集群、推理流量和Agent工作流让系统变得更复杂，反而催生了更大的监控、排查和治理需求。年化经常性收入超过10万美元的大客户从3770家增长至4550家。这揭示了一个反直觉的事实：AI没有消灭“仪表盘”，反而让安全、可观测性等治理工具变得更重要。

同样，Atlassian的RPO（剩余履约义务）高速增长说明企业并未减少对协作系统的依赖。AI可以生成代码，但企业依然需要项目优先级、责任分配和安全合规记录。网络安全公司正从“防御者”角色演变为“企业执行层”的守护者。它们掌握的数据——客户数据、业务数据、流程数据——短期内无法被AI复制，且切换成本极高。正如a16z分析，企业级SaaS的护城河来自切换成本、网络效应和专有数据，网络安全公司同时具备这三重壁垒。