Newsletter · · Ashutosh Agarwal

Palo Alto首席执行官力挺平台化份额增长,OAuth数据泄露与FortiBleed漏洞助推安全需求

2026年6月23日当周网络安全通讯。Palo Alto的Nikesh Arora用实打实的数字讲述了平台化故事(网络安全市场份额从不到2%升至8%至9%,仍有60%的市值有待攫取),而一起OAuth令牌泄露事件和FortiBleed漏洞则为身份治理和零信任市场做足了需求催化的工作。

Palo Alto Networks (PANW)

2026年6月23日当周:Palo Alto首席执行官力挺平台化份额增长,OAuth数据泄露与FortiBleed漏洞助推安全需求


摘要

  • Palo Alto的CEO用实打实的数字讲述了平台化故事:网络安全市场份额已从"不到2%"升至"8%或9%",仍有"60%的市值有待攫取"。这是一个关于增长空间的论述,而非天花板。
  • 一枚被窃取的OAuth令牌悄无声息地通过Salesforce攻破了Tanium、Huntress、Recorded Future等公司,全程无需密码,也未触发MFA提示。非人类身份如今已成为薄弱环节,并因智能体(agent)的兴起而迅速扩大。
  • FortiBleed事件泄露了约74,000台Fortinet设备的凭证,约占互联网暴露设备总量的一半。防火墙即负债的解读对FTNT不利,却悄然利好零信任赛道。

最新动态

Arora在一档风投播客节目上给出了一个数字,令多头振奋。 在与Harry Stebbings的对谈中,Palo Alto的Nikesh Arora将整合趋势定性为持久的顺风因素:"人们意识到,他们没法自己管理40到60家网络安全公司,所以我们过去24到36个月一直在推动这一平台化趋势。"接着是关键的一句:他刚上任时,Palo Alto在网络安全总收入中的份额"不到2%",如今"正接近8%或9%","仍有60%的市值有待攫取"。这等于是管理层亲口告诉你,平台化的圈地运动还处于早期阶段,远未到晚期。来源:The Twenty Minute VC (20VC) - Nikesh Arora谈前沿模型问题,Nikesh Arora,Palo Alto Networks董事长兼CEO(运营者)。

智能体安全这一楔子如今已成为明确的产品论点。 Arora提到公司"六个月前收购了一家智能体AI网关公司",其逻辑是:随着企业全面智能体化,治理和保护智能体安全的"唯一方式"就是通过网关或防火墙"聚合智能体流量"。翻译过来就是:下一个攻击面是智能体,而拥有网络关卡的行业巨头将掌握计量权,这与Okta的非人类身份主张以及CyberArk的机器身份叙事正面碰撞。来源:The Twenty Minute VC (20VC) - Nikesh Arora,Nikesh Arora,Palo Alto Networks CEO(运营者)。

目前而言,AI是需求催化剂,而非需求杀手。 Arora表示,Palo Alto用前沿模型审查了自家代码,"六周内发现了原本需要五到六年才能发现的问题",但该模型无法安全地修复所发现的问题,若将其用于攻击性用途,"它会去修补30%本来并没有问题的地方"。他的判断是:AI"给安全从业者点了一把火",加速了支出,而非削减了支出。来源:The Twenty Minute VC (20VC) - Nikesh Arora,Nikesh Arora,Palo Alto Networks CEO(运营者)。

被窃取的令牌正成为新型数据泄露方式,且极易扩散。 市场情报平台Clue因一个被遗弃的旧凭证遭到入侵;攻击者借此窃取了将其与客户Salesforce组织关联的OAuth令牌,并在"15分钟内对包括Huntress、Recorded Future、Tanium和Gong在内的受害者发起了近千次查询",全程"无需密码,也未触发MFA提示"。正如主持人David Shipley所言:"由于智能体AI的兴起,非人类身份正在爆炸式增长……请锁定好您的非人类身份——前提是您得先知道它们都有哪些。"此前一波类似攻击曾直接命中Cloudflare、Google、Palo Alto Networks和Zscaler;本次事件的应急响应则由CrowdStrike负责。这为身份治理领域的需求论述提供了实实在在的佐证。来源:Cybersecurity Today - 被窃OAuth令牌重创安全厂商,David Shipley,主持人(评论者)。

FortiBleed是防火墙厂商的噩梦。 在研究人员发现约74,000台Fortinet设备的凭证遭泄露后,CISA发布了紧急警告,这"大约占所有互联网暴露的Fortinet设备总量的一半"。Kevin Beaumont证实了数据的真实性("这些数据是真的"),SOC Radar则表示,已有超过30,000条经验证可用的凭证被实际测试过目标系统,并像"初始访问经纪人"的库存清单一样按行业和营收分类整理。这进一步强化了反对边界设备、支持零信任架构的结构性论点。来源:Cybersecurity Today - FortiBleed紧急事件:74,000个Fortinet登录信息遭泄露,Jim Love,主持人(评论者),Silent Push的Mike Sweeney(运营者)参与。

多空辩论

多头论点:AI扩大了安全领域的潜在市场空间(更多攻击面、更多智能体、更多需要检测的数据),并巩固了平台型龙头的地位,因为自动化只有在数据集中整合到一定规模后才能真正见效。PANW、CRWD、ZS的客户预算只会做大,不会缩小。

空头论点:AI原生新贵和超大规模云厂商提供的免费/捆绑工具,正在压垮按席位计费的经济模型。既然智能体驱动的安全运营中心(SOC)叠加微软E5套件就能完成80%的工作,为何还要为每个终端支付X美元?预算整合首先削减的是老旧技术栈,而非新兴方案。

"仅初创公司领域就有超过54家(AI SOC初创公司),这还不包括所有已转型AI SOC的传统平台厂商。" —— Aqsa Taylor,ExaForce首席安全布道师,出自Cloud Security Podcast - AI SOC的四大支柱(运营者)。

本周我的判断:偏多头。 现有证据——Arora的表态与OAuth/身份泄露事件——指向同一个方向:威胁面扩张的速度快于预算收缩的速度,而网络与身份这两个关卡都利好掌握数据的行业龙头。没错,如今每家厂商都打出了"AI SOC"的旗号;但这54家乃至更多的初创公司也不可能全部存活,如此激烈的拥挤格局通常会以整合收尾,而整合的结果往往利好平台型公司。空头论点并未失效——Arora自己也承认了这一点("总会有人造出更好的捕鼠器")——只是它的引爆时间比股价所暗示的要更长。

值得关注的个股

PANW,多头:CEO将8%至9%的份额定性为早期阶段,平台化与智能体网关的可选性构成加分项。空头:一个模型能在六周内找出自家代码中的漏洞,恰恰说明护城河需要持续重新开挖。观察点:下一季度财报中关于模块附加率的表述,能否印证"仍有60%市值待夺"的说法。

CRWD,多头:在Clue/Salesforce泄露事件中被指定为应急响应方,成为真实危机中的首选品牌。空头:运营层面并未就Falcon Flex或新增ARR释放新信息。观察点:身份相关安全事件能否拉动Falcon身份保护业务的附加率。

ZS,多头:FortiBleed事件成了零信任核心主张的绝佳广告牌。空头:本周运营层面未就新增ARR发表最新评论。观察点:下一次更新中联邦业务及AI-SOC/Avalor业务的进展。

OKTA,多头:非人类身份攻击面本周成为主流话题,与Okta的扩张叙事高度契合。空头:运营层面并未就Auth0交叉销售发声;需求目前体现在数据泄露事件中,而非公司评论中。观察点:下次财报中对智能体/非人类身份潜在市场的表述。

FTNT,多头:庞大的已打补丁装机基数意味着续约议价能力。空头:FortiBleed事件是对硬件设备模式征收的一记声誉税。观察点:凭证重置周期究竟会成为换代催化剂,还是流失触发点。

关联影响

SentinelOne (S),本周无新的运营层面信号。

Fortinet (FTNT),负面:据CISA消息,约74,000台设备的凭证遭泄露(约占互联网暴露设备总量的一半),硬件设备信任问题持续压顶。

Cloudflare (NET),被列为此前OAuth攻击活动的受害者之一;提醒即便是安全相关厂商也可能成为攻击目标。

CyberArk (CYBR),本周未被直接提及,但OAuth/非人类身份这一主题恰恰是其核心阵地,属正面关联影响。

超大规模云厂商 (MSFT/GOOGL/AMZN),捆绑压力仍停留在理论层面;"微软E5能完成80%工作"的说法本周获得了讨论热度,但尚无新证据显示实质性的客户替代已经发生。

与上周相比的变化

这是本系列的首期,暂无上周数据可供对比。基准已设定:运营层面的表态(借由Arora)对整合趋势持自信的乐观态度;实际发生的威胁事件(OAuth令牌窃取、FortiBleed)正为需求端做足了铺垫工作;AI-SOC赛道拥挤,尚未经历洗牌。我们将持续跟踪运营层表态、新产品发布及市场情绪的变化。