過去幾年,供應鏈安全賽道從狂熱走向理性,有人退出、有人被并購,也有人悄然轉身。懸鏡安全作為國內軟件供應鏈安全領域的代表性廠商,經歷了這一輪周期的洗禮,依然保持著獨特的節奏與定力。
近日,安全419再次走進懸鏡安全,與CEO子芽、CTO寧戈展開了一場深度對話。從賽道冷暖、到“新一代數字供應鏈安全治理體系”的提出,再到AI原生安全產品的全面落地、最后到經營復盤——兩位坦誠分享了懸鏡這些年如何從“每單必爭,規模化增長”走向“有質量的增長,經營導向”,又將如何在AI浪潮中重新定義全新的懸鏡安全,也許能夠給到大家一些思考。
懸鏡安全CEO兼創始人 子芽
從“熱鬧”到“擁擠”:供應鏈安全賽道為何大浪淘沙?
兩三年前,供應鏈安全賽道被資本熱捧、創業者蜂擁,而如今卻明顯“擁擠”,有的企業進一步迅猛發展,有的企業經營出現嚴重困難,也有部分玩家選擇被并購。也許這一方面是行業大環境的原因,也有來自AI的巨大而直接的沖擊——今年年初,Claude Code Security等代碼安全掃描與修復建議工具的涌現,讓不少人驚呼“傳統開發安全產品要被替代了”。
懸鏡安全CEO子芽并不回避這一點:“AI正在壓縮傳統工具的空間,尤其是那些只做‘發現問題’的產品。但供應鏈安全的本質不是掃描,而是體系化治理。AI是能力放大器,不是替代者。”不僅如此,“很多企業把供應鏈安全當作出廠檢測,而不是內嵌到研發流程中的持續治理能力。當客戶發現‘掃完漏洞沒人修’、‘告警太多沒法管’時,熱情自然下降。”他判斷,未來真正存活下來的廠商,必須從“工具提供者”進化為“治理體系構建者”。
之所以有這樣的洞察,是因為子芽發現客戶已不再滿足于“有沒有漏洞”,而是關注“這個漏洞該不該修、什么時候修、怎么修”;開源組件、商業代碼、AI生成代碼、云原生依賴……數字供應鏈的形態已經遠超傳統SCA的定義;安全不再是研發末端的“剎車”,而需要嵌入CI/CD、度量體系,甚至組織流程。因此,“把握未來市場的核心不是技術標新立異,而是從檢測走向治理,從工具走向體系。”
這一體系的誕生,主要驅動力是:
監管驅動:運營商、軍工、金融等領域強監管政策落地,兩部委考核、信創供應鏈審查、軟件工廠等要求,倒逼企業重視供應鏈安全,合規剛需催生大單落地。目前懸鏡安全大單客戶持續增多,就是最直接的市場表現。
AI重構:AI大模型、智能體、AI Coding技術的普及,帶來全新安全風險——AI生成代碼漏洞、模型投毒、提示詞注入、智能體越權等,傳統安全手段難以覆蓋,AI原生安全成為必答題。
懸鏡的體系思考并非孤鳴,而是與國家監管導向、行業趨勢高度契合。2026年5月8日,由國家網信辦牽頭,聯合國家發展改革委、工業和信息化部發布的《智能體規范應用與創新發展實施意見》,明確將內生安全、供應鏈安全、衍生應用風險列為智能體安全治理的三大核心,與懸鏡的體系邏輯完全吻合。
戰略升級:從“軟件供應鏈”到“新一代數字供應鏈安全治理體系”
“這并不是企業單方面提出的新概念,而是隨著產業環境變化逐漸形成的安全治理共識。”懸鏡安全CEO子芽表示。從“軟件供應鏈安全”,再到“新一代數字供應鏈安全治理體系”,懸鏡安全戰略定位的升級,本質上是對企業數字化與智能化進程中安全邊界變化的持續回應。“你跟客戶講軟件供應鏈,已經漏掉了很多東西。”懸鏡安全CTO寧戈解釋道,“供應鏈數字化≠數字供應鏈安全,前者是用數字化管理實體供應鏈,但后者所涵蓋的內容正在不斷擴大:傳統軟件供應鏈只覆蓋代碼、組件、二進制,現在還包括云服務、固件、API、MCP服務,更重要的,AI生成的代碼、AI數字員工、智能體等等,已成為新的供應鏈節點。”
研討新一代數字供應鏈安全治理體系
所以在懸鏡安全CEO子芽看來,新一代數字供應鏈安全治理的本質是“供應鏈源頭治理,以AI治理AI,風險情報驅動”,主要包括軟件供應鏈安全和AI原生安全兩大治理重點。前者覆蓋代碼、開源組件、依賴庫、二進制制品及應用運行時安全,涉及SCA、SAST、IAST、ASPM等能力;后者則面向AI Coding、模型調用、智能體、MCP服務、插件工具鏈和外部API等新增暴露面。
AI正在進入企業開發、交付和業務運行流程,供應鏈安全的邊界也隨之從傳統軟件資產,延伸到模型、數據、工具、服務和智能體協作形成的復雜數字鏈路。正是在這一背景下,懸鏡安全提出“新一代數字供應鏈安全治理體系”,以回應AI原生應用時代的安全變化。
圍繞這一體系,懸鏡安全將治理思路概括為“源頭治理、以AI治理AI、智能情報驅動”:通過安全能力前移降低源頭風險,通過AI能力應對AI原生安全挑戰,并以智能情報驅動持續預警、影響分析與快速處置。分別來談:
源頭治理:安全更加左移,無論是軟件供應鏈還是AI原生安全,都在開發、生成階段介入。從軟件代碼開發、AI模型訓練的源頭切入,提前發現并治理風險,而非事后補救。寧戈指出,“供應鏈風險的核心在源頭,等到上線后再防護,成本高、效果差,甚至無法挽回”;
以AI治理AI:AI風險具有動態、實時、智能體協作的特性,傳統基于規則的安全工具難以應對。懸鏡自研AI小模型與大模型微調能力,打造“AI紅隊、AI漏挖、AI審計”等智能體,AI紅隊、智能體檢測、動態防御背后都是專有小模型或大模型微調,用AI的動態性、智能化,對抗AI的新型風險,跟上AI的速度。
智能情報驅動:構建覆蓋“開源組件漏洞、AI模型投毒、智能體風險”的情報體系,實時跟蹤0Day/1Day漏洞、惡意組件投毒事件,結合SBOM(軟件物料清單)與AI BOM(AI物料清單),精準定位組件級、模型級風險,實現“小時級預警、快速響應”。子芽表示:“這是數字供應鏈安全治理的第一性原理。”
產品落地:“3+1”全棧體系精準匹配市場分層需求
AI在重塑網絡安全行業格局的同時,AI賦能安全其實是第一階段,而未來AI本身的安全才是行業最大的一個增量市場。在做好“安全AI”的同時積極布局“AI安全”也許才是行業中所有企業應該去思考的問題。
懸鏡安全·新一代數字供應鏈安全治理體系
基于新一代數字供應鏈安全治理體系,懸鏡安全構建了“3+1”的標準產品體系——3大AI原生安全核心工具+1個AI智能供應鏈情報底座,同時保留并升級傳統軟件供應鏈安全產品,形成“傳統能力夯實+AI能力引領”的全棧布局,精準覆蓋頭部、中小客戶的差異化需求。
針對運營商、政企、能源等強監管、慢AI化的存量市場,懸鏡保留并升級核心產品,旗下源鑒SCA(開源治理)、靈脈IAST(安全測試)、靈脈PTE(滲透模擬)、夫子ASPM(體系化治理)作為傳統軟件供應鏈安全產品,解決客戶開源治理、代碼審計、漏洞防護等剛需問題;而以靈脈AI(AI Coding安全)、問境AIST(AI原生安全測試)、靈境AIDR(AI智能體安全)和云脈AI(AI安全情報)組成的全新AI原生安全產品陣容則針對金融、大制造等AI應用密集、風險敏感的增量市場,可以覆蓋客戶在AI代碼生成、模型測試、智能體運營全場景的安全需求。
面對行業中AI Coding產品及服務的快速發展,子芽表示,懸鏡安全會堅持聚焦自身擅長的安全領域,不做通用型AI編程助手,而是聚焦AI Coding、智能體應用和軟件敏捷交付過程中新增暴露面的主動風險治理,持續強化安全護欄能力。
CTO寧戈進一步指出,智能體時代下,代碼、腳本、工具調用和外部依賴關系更加復雜,風險也更容易沿著新的數字鏈路擴散。因此,持續的風險情報、資產關聯和影響分析能力,將成為企業應對AI原生供應鏈風險的重要基礎。
在懸鏡安全全新的“3+1產品體系”中,“1”所代表的情報底座,正是支撐這一能力演進的關鍵組成部分,也將成為懸鏡安全未來持續布局AI原生安全的重要抓手。
客戶層面,針對頭部與中小客戶的差異化需求,懸鏡采用分層交付模式,平衡價值與成本:頭部客戶(金融、大制造)以平臺化產品為主,少量定制開發(控制在5%-10%以內),提供全棧解決方案與專屬服務,合同金額高、粘性強;而中小客戶(政企、中小企業)則以標品工具訂閱為主,降低準入門檻,預算友好;子芽甚至在與安全419的訪談中透露,今年下半年將推出供應鏈安全情報、代碼漏挖等按效果付費服務,按實際漏洞數量、修復效果計費,進一步降低中小客戶試錯成本。
而目前來看,懸鏡安全的產品正在市場上逐漸打開局面,客戶結構從早期以金融、互聯網中小企業為主,拓展至運營商、大制造、能源、政企等強監管領域,高價值KA客戶占比持續提升。
深析“從-1到0”的來時路 讀懂安全創業的“經營本質”
訪談中一個頗具標志性的信號是:在網絡安全行業普遍面臨預算收緊、融資降溫與增長壓力的背景下,創業第11年的懸鏡安全實現了首次年度盈利。對于一家持續投入技術研發和產品創新的安全企業而言,這不僅是一項財務結果,更意味著其產品價值、客戶結構與商業化能力正在進入更加健康的正循環。
“核心不是簡單壓縮成本,而是收入質量和客戶價值在持續提升。”懸鏡安全CEO子芽表示。
前幾年,網絡安全行業在資本和市場需求的共同推動下進入快速擴張階段,不少企業都曾將市場覆蓋和客戶拓展放在更優先的位置。子芽也坦言,懸鏡安全在早期增長過程中同樣經歷過以規模拓展為核心的階段。“當時行業整體都在追求更快的市場覆蓋,但我們很快意識到,增長不能只看合同規模,更要看客戶是否真正獲得價值,以及企業自身是否具備可持續交付能力。”子芽表示。
從2022年起,懸鏡安全開始主動調整經營策略,將重點從“規模優先”轉向“高質量增長”:一方面持續優化客戶服務體驗,提升規模化交付能力;另一方面,更加重視項目質量、客戶價值和經營健康度,把可持續增長作為公司內部的重要管理目標。
這一轉變,也為懸鏡安全上一年度實現首次盈利奠定了基礎。子芽認為,盈利并不是簡單依靠壓縮成本實現的,而是源于產品價值、客戶質量和交付效率的同步改善。“好的增長,不只是拿下更多客戶,而是如何讓這些高質量客戶愿意主動選擇你、持續選擇你。”子芽說。
在分析公司增長背后的原因時,子芽將其概括為外因與內因兩方面:
外因在于:甲方不再盲目追逐低價,更傾向于與頭部、可持續經營的廠商合作,而懸鏡的盈利狀態、技術沉淀與服務能力,恰好契合甲方的核心訴求。而子芽坦言“創業也需要運氣”,AI原生安全的爆發,恰好與懸鏡在數字供應鏈安全上的長期技術理念堅持、深厚技術創新積累高度契合,內生自免疫、敏捷自適應、共生自進化。”
相比之下,子芽認為能夠獲得當前的良好局面其實更多歸結于自身的內因——如果說創業從0到1靠的是技術和產品,那從-1到0則靠的是創新力和組織力。從- 1到0,遠比0到1更重要!從-1到0,本質是驗證“賽道能跑通、商業模式能賺錢、團隊能打勝仗”。這份認知背后,是三大經營原則:
第一,淡化外部競爭,深耕內部組織力:不把注意力消耗在外部競爭上,而是聚焦產品創新力、經營效率、人才梯度建設,低調打磨核心能力;
第二,堅守經營效率與未來現金流穩健優先:2022年之后,懸鏡安全沒有再開啟新的融資窗口,而是依靠自身經營造血持續投入研發、產品和客戶服務。這讓公司避免陷入“為了融資而擴張、為了規模而犧牲利潤”的路徑依賴,也讓增長變得更有質量;
第三,對長期主義的篤定,拒絕短期投機:不盲目跟風熱門概念,深耕數字供應鏈安全賽道11年,堅信“慢就是快”,技術與產品的沉淀終將穿越周期。
面對未來,子芽的規劃清晰且克制——依然堅持“堅守長期主義,做有質量的增長 ”,在經營目標上,懸鏡更加重視客戶滿意度、項目毛利額、毛利率和項目交付周期,推動增長從規模導向轉向價值導向。在客戶策略上懸鏡更加重視關鍵客戶的持續運營,通過更深度的場景理解和更專業的技術服務能力,提升客戶合作質量與長期黏性;在組織建設上低調提升組織力、人才梯隊、產品創新效率。子芽笑言,自己創業早些年很少奔赴業務現場和用戶交流的,現在一半精力看產品、一半看業務,每個月都會找KA用戶交流產品技術細節。“要感知用戶真實需求,這對產品進化很有幫助。”
結語
從軟件供應鏈安全領域的領航者,到新一代數字供應鏈安全治理體系的開拓者;從11年技術深耕實現首次年度盈利,到“3+1”AI原生安全治理體系規模化落地,懸鏡安全的成長路徑,折射出是新時代中國賽道頭部技術企業“深耕技術、敬畏經營、順應趨勢”的縮影。以硬核技術創新夯實根基,以高質量經營效益穿越周期,在AI原生應用時代創造性拓展安全治理的新邊界。
這份成績單的背后,是公司從“規模增長”走向“高質量增長”的戰略轉身,是對數字供應鏈安全賽道的堅定深耕,更是在AI重塑產業格局時的前瞻布局。而站在2026年這個行業巨變的當下,我們發現“低調”了3年的懸鏡安全正在以一種“更強的管理運營能力、更體系化的產品服務、更成熟的商業化布局”的全新姿態面對市場的嚴苛考驗。
懸鏡安全的11年,是一段從技術驅動、資本驅動,到經營驅動、價值驅動和創新驅動的完整旅程。首次盈利不是一個終點,而是一個新的起點。在AI重構整個網絡安全產業的關鍵時刻,懸鏡沒有盲目跟風“AI賦能安全”,而是冷靜地體系化推出了AI原生安全產品線,并重新定義了“數字供應鏈安全”的邊界。正如子芽所說:
“創業不要被外部競爭過度打擾,更要聚焦自身的綜合組織力和持續創新力。盡早找到自己很不一樣的東西,并持之以恒迭代下去。”
這條路,懸鏡正在越走越穩。安全419也將持續關注懸鏡安全及其“新一代數字供應鏈安全治理體系”的后續落地與市場反饋。
