過去幾年,供應(yīng)鏈安全賽道從狂熱走向理性,有人退出、有人被并購,也有人悄然轉(zhuǎn)身。懸鏡安全作為國內(nèi)軟件供應(yīng)鏈安全領(lǐng)域的代表性廠商,經(jīng)歷了這一輪周期的洗禮,依然保持著獨特的節(jié)奏與定力。
近日,安全419再次走進(jìn)懸鏡安全,與CEO子芽、CTO寧戈展開了一場深度對話。從賽道冷暖、到“新一代數(shù)字供應(yīng)鏈安全治理體系”的提出,再到AI原生安全產(chǎn)品的全面落地、最后到經(jīng)營復(fù)盤——兩位坦誠分享了懸鏡這些年如何從“每單必爭,規(guī)模化增長”走向“有質(zhì)量的增長,經(jīng)營導(dǎo)向”,又將如何在AI浪潮中重新定義全新的懸鏡安全,也許能夠給到大家一些思考。
懸鏡安全CEO兼創(chuàng)始人 子芽
從“熱鬧”到“擁擠”:供應(yīng)鏈安全賽道為何大浪淘沙?
兩三年前,供應(yīng)鏈安全賽道被資本熱捧、創(chuàng)業(yè)者蜂擁,而如今卻明顯“擁擠”,有的企業(yè)進(jìn)一步迅猛發(fā)展,有的企業(yè)經(jīng)營出現(xiàn)嚴(yán)重困難,也有部分玩家選擇被并購。也許這一方面是行業(yè)大環(huán)境的原因,也有來自AI的巨大而直接的沖擊——今年年初,Claude Code Security等代碼安全掃描與修復(fù)建議工具的涌現(xiàn),讓不少人驚呼“傳統(tǒng)開發(fā)安全產(chǎn)品要被替代了”。
懸鏡安全CEO子芽并不回避這一點:“AI正在壓縮傳統(tǒng)工具的空間,尤其是那些只做‘發(fā)現(xiàn)問題’的產(chǎn)品。但供應(yīng)鏈安全的本質(zhì)不是掃描,而是體系化治理。AI是能力放大器,不是替代者。”不僅如此,“很多企業(yè)把供應(yīng)鏈安全當(dāng)作出廠檢測,而不是內(nèi)嵌到研發(fā)流程中的持續(xù)治理能力。當(dāng)客戶發(fā)現(xiàn)‘掃完漏洞沒人修’、‘告警太多沒法管’時,熱情自然下降。”他判斷,未來真正存活下來的廠商,必須從“工具提供者”進(jìn)化為“治理體系構(gòu)建者”。
之所以有這樣的洞察,是因為子芽發(fā)現(xiàn)客戶已不再滿足于“有沒有漏洞”,而是關(guān)注“這個漏洞該不該修、什么時候修、怎么修”;開源組件、商業(yè)代碼、AI生成代碼、云原生依賴……數(shù)字供應(yīng)鏈的形態(tài)已經(jīng)遠(yuǎn)超傳統(tǒng)SCA的定義;安全不再是研發(fā)末端的“剎車”,而需要嵌入CI/CD、度量體系,甚至組織流程。因此,“把握未來市場的核心不是技術(shù)標(biāo)新立異,而是從檢測走向治理,從工具走向體系。”
這一體系的誕生,主要驅(qū)動力是:
監(jiān)管驅(qū)動:運營商、軍工、金融等領(lǐng)域強(qiáng)監(jiān)管政策落地,兩部委考核、信創(chuàng)供應(yīng)鏈審查、軟件工廠等要求,倒逼企業(yè)重視供應(yīng)鏈安全,合規(guī)剛需催生大單落地。目前懸鏡安全大單客戶持續(xù)增多,就是最直接的市場表現(xiàn)。
AI重構(gòu):AI大模型、智能體、AI Coding技術(shù)的普及,帶來全新安全風(fēng)險——AI生成代碼漏洞、模型投毒、提示詞注入、智能體越權(quán)等,傳統(tǒng)安全手段難以覆蓋,AI原生安全成為必答題。
懸鏡的體系思考并非孤鳴,而是與國家監(jiān)管導(dǎo)向、行業(yè)趨勢高度契合。2026年5月8日,由國家網(wǎng)信辦牽頭,聯(lián)合國家發(fā)展改革委、工業(yè)和信息化部發(fā)布的《智能體規(guī)范應(yīng)用與創(chuàng)新發(fā)展實施意見》,明確將內(nèi)生安全、供應(yīng)鏈安全、衍生應(yīng)用風(fēng)險列為智能體安全治理的三大核心,與懸鏡的體系邏輯完全吻合。
戰(zhàn)略升級:從“軟件供應(yīng)鏈”到“新一代數(shù)字供應(yīng)鏈安全治理體系”
“這并不是企業(yè)單方面提出的新概念,而是隨著產(chǎn)業(yè)環(huán)境變化逐漸形成的安全治理共識。”懸鏡安全CEO子芽表示。從“軟件供應(yīng)鏈安全”,再到“新一代數(shù)字供應(yīng)鏈安全治理體系”,懸鏡安全戰(zhàn)略定位的升級,本質(zhì)上是對企業(yè)數(shù)字化與智能化進(jìn)程中安全邊界變化的持續(xù)回應(yīng)。“你跟客戶講軟件供應(yīng)鏈,已經(jīng)漏掉了很多東西。”懸鏡安全CTO寧戈解釋道,“供應(yīng)鏈數(shù)字化≠數(shù)字供應(yīng)鏈安全,前者是用數(shù)字化管理實體供應(yīng)鏈,但后者所涵蓋的內(nèi)容正在不斷擴(kuò)大:傳統(tǒng)軟件供應(yīng)鏈只覆蓋代碼、組件、二進(jìn)制,現(xiàn)在還包括云服務(wù)、固件、API、MCP服務(wù),更重要的,AI生成的代碼、AI數(shù)字員工、智能體等等,已成為新的供應(yīng)鏈節(jié)點。”
研討新一代數(shù)字供應(yīng)鏈安全治理體系
所以在懸鏡安全CEO子芽看來,新一代數(shù)字供應(yīng)鏈安全治理的本質(zhì)是“供應(yīng)鏈源頭治理,以AI治理AI,風(fēng)險情報驅(qū)動”,主要包括軟件供應(yīng)鏈安全和AI原生安全兩大治理重點。前者覆蓋代碼、開源組件、依賴庫、二進(jìn)制制品及應(yīng)用運行時安全,涉及SCA、SAST、IAST、ASPM等能力;后者則面向AI Coding、模型調(diào)用、智能體、MCP服務(wù)、插件工具鏈和外部API等新增暴露面。
AI正在進(jìn)入企業(yè)開發(fā)、交付和業(yè)務(wù)運行流程,供應(yīng)鏈安全的邊界也隨之從傳統(tǒng)軟件資產(chǎn),延伸到模型、數(shù)據(jù)、工具、服務(wù)和智能體協(xié)作形成的復(fù)雜數(shù)字鏈路。正是在這一背景下,懸鏡安全提出“新一代數(shù)字供應(yīng)鏈安全治理體系”,以回應(yīng)AI原生應(yīng)用時代的安全變化。
圍繞這一體系,懸鏡安全將治理思路概括為“源頭治理、以AI治理AI、智能情報驅(qū)動”:通過安全能力前移降低源頭風(fēng)險,通過AI能力應(yīng)對AI原生安全挑戰(zhàn),并以智能情報驅(qū)動持續(xù)預(yù)警、影響分析與快速處置。分別來談:
源頭治理:安全更加左移,無論是軟件供應(yīng)鏈還是AI原生安全,都在開發(fā)、生成階段介入。從軟件代碼開發(fā)、AI模型訓(xùn)練的源頭切入,提前發(fā)現(xiàn)并治理風(fēng)險,而非事后補(bǔ)救。寧戈指出,“供應(yīng)鏈風(fēng)險的核心在源頭,等到上線后再防護(hù),成本高、效果差,甚至無法挽回”;
以AI治理AI:AI風(fēng)險具有動態(tài)、實時、智能體協(xié)作的特性,傳統(tǒng)基于規(guī)則的安全工具難以應(yīng)對。懸鏡自研AI小模型與大模型微調(diào)能力,打造“AI紅隊、AI漏挖、AI審計”等智能體,AI紅隊、智能體檢測、動態(tài)防御背后都是專有小模型或大模型微調(diào),用AI的動態(tài)性、智能化,對抗AI的新型風(fēng)險,跟上AI的速度。
智能情報驅(qū)動:構(gòu)建覆蓋“開源組件漏洞、AI模型投毒、智能體風(fēng)險”的情報體系,實時跟蹤0Day/1Day漏洞、惡意組件投毒事件,結(jié)合SBOM(軟件物料清單)與AI BOM(AI物料清單),精準(zhǔn)定位組件級、模型級風(fēng)險,實現(xiàn)“小時級預(yù)警、快速響應(yīng)”。子芽表示:“這是數(shù)字供應(yīng)鏈安全治理的第一性原理。”
產(chǎn)品落地:“3+1”全棧體系精準(zhǔn)匹配市場分層需求
AI在重塑網(wǎng)絡(luò)安全行業(yè)格局的同時,AI賦能安全其實是第一階段,而未來AI本身的安全才是行業(yè)最大的一個增量市場。在做好“安全AI”的同時積極布局“AI安全”也許才是行業(yè)中所有企業(yè)應(yīng)該去思考的問題。
懸鏡安全·新一代數(shù)字供應(yīng)鏈安全治理體系
基于新一代數(shù)字供應(yīng)鏈安全治理體系,懸鏡安全構(gòu)建了“3+1”的標(biāo)準(zhǔn)產(chǎn)品體系——3大AI原生安全核心工具+1個AI智能供應(yīng)鏈情報底座,同時保留并升級傳統(tǒng)軟件供應(yīng)鏈安全產(chǎn)品,形成“傳統(tǒng)能力夯實+AI能力引領(lǐng)”的全棧布局,精準(zhǔn)覆蓋頭部、中小客戶的差異化需求。
針對運營商、政企、能源等強(qiáng)監(jiān)管、慢AI化的存量市場,懸鏡保留并升級核心產(chǎn)品,旗下源鑒SCA(開源治理)、靈脈IAST(安全測試)、靈脈PTE(滲透模擬)、夫子ASPM(體系化治理)作為傳統(tǒng)軟件供應(yīng)鏈安全產(chǎn)品,解決客戶開源治理、代碼審計、漏洞防護(hù)等剛需問題;而以靈脈AI(AI Coding安全)、問境AIST(AI原生安全測試)、靈境AIDR(AI智能體安全)和云脈AI(AI安全情報)組成的全新AI原生安全產(chǎn)品陣容則針對金融、大制造等AI應(yīng)用密集、風(fēng)險敏感的增量市場,可以覆蓋客戶在AI代碼生成、模型測試、智能體運營全場景的安全需求。
面對行業(yè)中AI Coding產(chǎn)品及服務(wù)的快速發(fā)展,子芽表示,懸鏡安全會堅持聚焦自身擅長的安全領(lǐng)域,不做通用型AI編程助手,而是聚焦AI Coding、智能體應(yīng)用和軟件敏捷交付過程中新增暴露面的主動風(fēng)險治理,持續(xù)強(qiáng)化安全護(hù)欄能力。
CTO寧戈進(jìn)一步指出,智能體時代下,代碼、腳本、工具調(diào)用和外部依賴關(guān)系更加復(fù)雜,風(fēng)險也更容易沿著新的數(shù)字鏈路擴(kuò)散。因此,持續(xù)的風(fēng)險情報、資產(chǎn)關(guān)聯(lián)和影響分析能力,將成為企業(yè)應(yīng)對AI原生供應(yīng)鏈風(fēng)險的重要基礎(chǔ)。
在懸鏡安全全新的“3+1產(chǎn)品體系”中,“1”所代表的情報底座,正是支撐這一能力演進(jìn)的關(guān)鍵組成部分,也將成為懸鏡安全未來持續(xù)布局AI原生安全的重要抓手。
客戶層面,針對頭部與中小客戶的差異化需求,懸鏡采用分層交付模式,平衡價值與成本:頭部客戶(金融、大制造)以平臺化產(chǎn)品為主,少量定制開發(fā)(控制在5%-10%以內(nèi)),提供全棧解決方案與專屬服務(wù),合同金額高、粘性強(qiáng);而中小客戶(政企、中小企業(yè))則以標(biāo)品工具訂閱為主,降低準(zhǔn)入門檻,預(yù)算友好;子芽甚至在與安全419的訪談中透露,今年下半年將推出供應(yīng)鏈安全情報、代碼漏挖等按效果付費服務(wù),按實際漏洞數(shù)量、修復(fù)效果計費,進(jìn)一步降低中小客戶試錯成本。
而目前來看,懸鏡安全的產(chǎn)品正在市場上逐漸打開局面,客戶結(jié)構(gòu)從早期以金融、互聯(lián)網(wǎng)中小企業(yè)為主,拓展至運營商、大制造、能源、政企等強(qiáng)監(jiān)管領(lǐng)域,高價值KA客戶占比持續(xù)提升。
深析“從-1到0”的來時路 讀懂安全創(chuàng)業(yè)的“經(jīng)營本質(zhì)”
訪談中一個頗具標(biāo)志性的信號是:在網(wǎng)絡(luò)安全行業(yè)普遍面臨預(yù)算收緊、融資降溫與增長壓力的背景下,創(chuàng)業(yè)第11年的懸鏡安全實現(xiàn)了首次年度盈利。對于一家持續(xù)投入技術(shù)研發(fā)和產(chǎn)品創(chuàng)新的安全企業(yè)而言,這不僅是一項財務(wù)結(jié)果,更意味著其產(chǎn)品價值、客戶結(jié)構(gòu)與商業(yè)化能力正在進(jìn)入更加健康的正循環(huán)。
“核心不是簡單壓縮成本,而是收入質(zhì)量和客戶價值在持續(xù)提升。”懸鏡安全CEO子芽表示。
前幾年,網(wǎng)絡(luò)安全行業(yè)在資本和市場需求的共同推動下進(jìn)入快速擴(kuò)張階段,不少企業(yè)都曾將市場覆蓋和客戶拓展放在更優(yōu)先的位置。子芽也坦言,懸鏡安全在早期增長過程中同樣經(jīng)歷過以規(guī)模拓展為核心的階段。“當(dāng)時行業(yè)整體都在追求更快的市場覆蓋,但我們很快意識到,增長不能只看合同規(guī)模,更要看客戶是否真正獲得價值,以及企業(yè)自身是否具備可持續(xù)交付能力。”子芽表示。
從2022年起,懸鏡安全開始主動調(diào)整經(jīng)營策略,將重點從“規(guī)模優(yōu)先”轉(zhuǎn)向“高質(zhì)量增長”:一方面持續(xù)優(yōu)化客戶服務(wù)體驗,提升規(guī)模化交付能力;另一方面,更加重視項目質(zhì)量、客戶價值和經(jīng)營健康度,把可持續(xù)增長作為公司內(nèi)部的重要管理目標(biāo)。
這一轉(zhuǎn)變,也為懸鏡安全上一年度實現(xiàn)首次盈利奠定了基礎(chǔ)。子芽認(rèn)為,盈利并不是簡單依靠壓縮成本實現(xiàn)的,而是源于產(chǎn)品價值、客戶質(zhì)量和交付效率的同步改善。“好的增長,不只是拿下更多客戶,而是如何讓這些高質(zhì)量客戶愿意主動選擇你、持續(xù)選擇你。”子芽說。
在分析公司增長背后的原因時,子芽將其概括為外因與內(nèi)因兩方面:
外因在于:甲方不再盲目追逐低價,更傾向于與頭部、可持續(xù)經(jīng)營的廠商合作,而懸鏡的盈利狀態(tài)、技術(shù)沉淀與服務(wù)能力,恰好契合甲方的核心訴求。而子芽坦言“創(chuàng)業(yè)也需要運氣”,AI原生安全的爆發(fā),恰好與懸鏡在數(shù)字供應(yīng)鏈安全上的長期技術(shù)理念堅持、深厚技術(shù)創(chuàng)新積累高度契合,內(nèi)生自免疫、敏捷自適應(yīng)、共生自進(jìn)化。”
相比之下,子芽認(rèn)為能夠獲得當(dāng)前的良好局面其實更多歸結(jié)于自身的內(nèi)因——如果說創(chuàng)業(yè)從0到1靠的是技術(shù)和產(chǎn)品,那從-1到0則靠的是創(chuàng)新力和組織力。從- 1到0,遠(yuǎn)比0到1更重要!從-1到0,本質(zhì)是驗證“賽道能跑通、商業(yè)模式能賺錢、團(tuán)隊能打勝仗”。這份認(rèn)知背后,是三大經(jīng)營原則:
第一,淡化外部競爭,深耕內(nèi)部組織力:不把注意力消耗在外部競爭上,而是聚焦產(chǎn)品創(chuàng)新力、經(jīng)營效率、人才梯度建設(shè),低調(diào)打磨核心能力;
第二,堅守經(jīng)營效率與未來現(xiàn)金流穩(wěn)健優(yōu)先:2022年之后,懸鏡安全沒有再開啟新的融資窗口,而是依靠自身經(jīng)營造血持續(xù)投入研發(fā)、產(chǎn)品和客戶服務(wù)。這讓公司避免陷入“為了融資而擴(kuò)張、為了規(guī)模而犧牲利潤”的路徑依賴,也讓增長變得更有質(zhì)量;
第三,對長期主義的篤定,拒絕短期投機(jī):不盲目跟風(fēng)熱門概念,深耕數(shù)字供應(yīng)鏈安全賽道11年,堅信“慢就是快”,技術(shù)與產(chǎn)品的沉淀終將穿越周期。
面對未來,子芽的規(guī)劃清晰且克制——依然堅持“堅守長期主義,做有質(zhì)量的增長 ”,在經(jīng)營目標(biāo)上,懸鏡更加重視客戶滿意度、項目毛利額、毛利率和項目交付周期,推動增長從規(guī)模導(dǎo)向轉(zhuǎn)向價值導(dǎo)向。在客戶策略上懸鏡更加重視關(guān)鍵客戶的持續(xù)運營,通過更深度的場景理解和更專業(yè)的技術(shù)服務(wù)能力,提升客戶合作質(zhì)量與長期黏性;在組織建設(shè)上低調(diào)提升組織力、人才梯隊、產(chǎn)品創(chuàng)新效率。子芽笑言,自己創(chuàng)業(yè)早些年很少奔赴業(yè)務(wù)現(xiàn)場和用戶交流的,現(xiàn)在一半精力看產(chǎn)品、一半看業(yè)務(wù),每個月都會找KA用戶交流產(chǎn)品技術(shù)細(xì)節(jié)。“要感知用戶真實需求,這對產(chǎn)品進(jìn)化很有幫助。”
結(jié)語
從軟件供應(yīng)鏈安全領(lǐng)域的領(lǐng)航者,到新一代數(shù)字供應(yīng)鏈安全治理體系的開拓者;從11年技術(shù)深耕實現(xiàn)首次年度盈利,到“3+1”AI原生安全治理體系規(guī)模化落地,懸鏡安全的成長路徑,折射出是新時代中國賽道頭部技術(shù)企業(yè)“深耕技術(shù)、敬畏經(jīng)營、順應(yīng)趨勢”的縮影。以硬核技術(shù)創(chuàng)新夯實根基,以高質(zhì)量經(jīng)營效益穿越周期,在AI原生應(yīng)用時代創(chuàng)造性拓展安全治理的新邊界。
這份成績單的背后,是公司從“規(guī)模增長”走向“高質(zhì)量增長”的戰(zhàn)略轉(zhuǎn)身,是對數(shù)字供應(yīng)鏈安全賽道的堅定深耕,更是在AI重塑產(chǎn)業(yè)格局時的前瞻布局。而站在2026年這個行業(yè)巨變的當(dāng)下,我們發(fā)現(xiàn)“低調(diào)”了3年的懸鏡安全正在以一種“更強(qiáng)的管理運營能力、更體系化的產(chǎn)品服務(wù)、更成熟的商業(yè)化布局”的全新姿態(tài)面對市場的嚴(yán)苛考驗。
懸鏡安全的11年,是一段從技術(shù)驅(qū)動、資本驅(qū)動,到經(jīng)營驅(qū)動、價值驅(qū)動和創(chuàng)新驅(qū)動的完整旅程。首次盈利不是一個終點,而是一個新的起點。在AI重構(gòu)整個網(wǎng)絡(luò)安全產(chǎn)業(yè)的關(guān)鍵時刻,懸鏡沒有盲目跟風(fēng)“AI賦能安全”,而是冷靜地體系化推出了AI原生安全產(chǎn)品線,并重新定義了“數(shù)字供應(yīng)鏈安全”的邊界。正如子芽所說:
“創(chuàng)業(yè)不要被外部競爭過度打擾,更要聚焦自身的綜合組織力和持續(xù)創(chuàng)新力。盡早找到自己很不一樣的東西,并持之以恒迭代下去。”
這條路,懸鏡正在越走越穩(wěn)。安全419也將持續(xù)關(guān)注懸鏡安全及其“新一代數(shù)字供應(yīng)鏈安全治理體系”的后續(xù)落地與市場反饋。
