悬镜安全：穿越周期 在AI浪潮中定义数字供应链安全新范式

过去几年，供应链安全赛道从狂热走向理性，有人退出、有人被并购，也有人悄然转身。悬镜安全作为国内软件供应链安全领域的代表性厂商，经历了这一轮周期的洗礼，依然保持着独特的节奏与定力。

近日，安全419再次走进悬镜安全，与CEO子芽、CTO宁戈展开了一场深度对话。从赛道冷暖、到“新一代数字供应链安全治理体系”的提出，再到AI原生安全产品的全面落地、最后到经营复盘——两位坦诚分享了悬镜这些年如何从“每单必争，规模化增长”走向“有质量的增长，经营导向”，又将如何在AI浪潮中重新定义全新的悬镜安全，也许能够给到大家一些思考。

悬镜安全CEO兼创始人 子芽

从“热闹”到“拥挤”：供应链安全赛道为何大浪淘沙？

两三年前，供应链安全赛道被资本热捧、创业者蜂拥，而如今却明显“拥挤”，有的企业进一步迅猛发展，有的企业经营出现严重困难，也有部分玩家选择被并购。也许这一方面是行业大环境的原因，也有来自AI的巨大而直接的冲击——今年年初，Claude Code Security等代码安全扫描与修复建议工具的涌现，让不少人惊呼“传统开发安全产品要被替代了”。

悬镜安全CEO子芽并不回避这一点：“AI正在压缩传统工具的空间，尤其是那些只做‘发现问题’的产品。但供应链安全的本质不是扫描，而是体系化治理。AI是能力放大器，不是替代者。”不仅如此，“很多企业把供应链安全当作出厂检测，而不是内嵌到研发流程中的持续治理能力。当客户发现‘扫完漏洞没人修’、‘告警太多没法管’时，热情自然下降。”他判断，未来真正存活下来的厂商，必须从“工具提供者”进化为“治理体系构建者”。

之所以有这样的洞察，是因为子芽发现客户已不再满足于“有没有漏洞”，而是关注“这个漏洞该不该修、什么时候修、怎么修”；开源组件、商业代码、AI生成代码、云原生依赖……数字供应链的形态已经远超传统SCA的定义；安全不再是研发末端的“刹车”，而需要嵌入CI/CD、度量体系，甚至组织流程。因此，“把握未来市场的核心不是技术标新立异，而是从检测走向治理，从工具走向体系。”

这一体系的诞生，主要驱动力是：

监管驱动：运营商、军工、金融等领域强监管政策落地，两部委考核、信创供应链审查、软件工厂等要求，倒逼企业重视供应链安全，合规刚需催生大单落地。目前悬镜安全大单客户持续增多，就是最直接的市场表现。

AI重构：AI大模型、智能体、AI Coding技术的普及，带来全新安全风险——AI生成代码漏洞、模型投毒、提示词注入、智能体越权等，传统安全手段难以覆盖，AI原生安全成为必答题。

悬镜的体系思考并非孤鸣，而是与国家监管导向、行业趋势高度契合。2026年5月8日，由国家网信办牵头，联合国家发展改革委、工业和信息化部发布的《智能体规范应用与创新发展实施意见》，明确将内生安全、供应链安全、衍生应用风险列为智能体安全治理的三大核心，与悬镜的体系逻辑完全吻合。

战略升级：从“软件供应链”到“新一代数字供应链安全治理体系”

“这并不是企业单方面提出的新概念，而是随着产业环境变化逐渐形成的安全治理共识。”悬镜安全CEO子芽表示。从“软件供应链安全”，再到“新一代数字供应链安全治理体系”，悬镜安全战略定位的升级，本质上是对企业数字化与智能化进程中安全边界变化的持续回应。“你跟客户讲软件供应链，已经漏掉了很多东西。”悬镜安全CTO宁戈解释道，“供应链数字化≠数字供应链安全，前者是用数字化管理实体供应链，但后者所涵盖的内容正在不断扩大：传统软件供应链只覆盖代码、组件、二进制，现在还包括云服务、固件、API、MCP服务，更重要的，AI生成的代码、AI数字员工、智能体等等，已成为新的供应链节点。”

研讨新一代数字供应链安全治理体系

所以在悬镜安全CEO子芽看来，新一代数字供应链安全治理的本质是“供应链源头治理，以AI治理AI，风险情报驱动”，主要包括软件供应链安全和AI原生安全两大治理重点。前者覆盖代码、开源组件、依赖库、二进制制品及应用运行时安全，涉及SCA、SAST、IAST、ASPM等能力；后者则面向AI Coding、模型调用、智能体、MCP服务、插件工具链和外部API等新增暴露面。

AI正在进入企业开发、交付和业务运行流程，供应链安全的边界也随之从传统软件资产，延伸到模型、数据、工具、服务和智能体协作形成的复杂数字链路。正是在这一背景下，悬镜安全提出“新一代数字供应链安全治理体系”，以回应AI原生应用时代的安全变化。

围绕这一体系，悬镜安全将治理思路概括为“源头治理、以AI治理AI、智能情报驱动”：通过安全能力前移降低源头风险，通过AI能力应对AI原生安全挑战，并以智能情报驱动持续预警、影响分析与快速处置。分别来谈：

源头治理：安全更加左移，无论是软件供应链还是AI原生安全，都在开发、生成阶段介入。从软件代码开发、AI模型训练的源头切入，提前发现并治理风险，而非事后补救。宁戈指出，“供应链风险的核心在源头，等到上线后再防护，成本高、效果差，甚至无法挽回”；

以AI治理AI：AI风险具有动态、实时、智能体协作的特性，传统基于规则的安全工具难以应对。悬镜自研AI小模型与大模型微调能力，打造“AI红队、AI漏挖、AI审计”等智能体，AI红队、智能体检测、动态防御背后都是专有小模型或大模型微调，用AI的动态性、智能化，对抗AI的新型风险，跟上AI的速度。

智能情报驱动：构建覆盖“开源组件漏洞、AI模型投毒、智能体风险”的情报体系，实时跟踪0Day/1Day漏洞、恶意组件投毒事件，结合SBOM（软件物料清单）与AI BOM（AI物料清单），精准定位组件级、模型级风险，实现“小时级预警、快速响应”。子芽表示：“这是数字供应链安全治理的第一性原理。”

产品落地：“3+1”全栈体系精准匹配市场分层需求

AI在重塑网络安全行业格局的同时，AI赋能安全其实是第一阶段，而未来AI本身的安全才是行业最大的一个增量市场。在做好“安全AI”的同时积极布局“AI安全”也许才是行业中所有企业应该去思考的问题。

悬镜安全·新一代数字供应链安全治理体系

基于新一代数字供应链安全治理体系，悬镜安全构建了“3+1”的标准产品体系——3大AI原生安全核心工具+1个AI智能供应链情报底座，同时保留并升级传统软件供应链安全产品，形成“传统能力夯实+AI能力引领”的全栈布局，精准覆盖头部、中小客户的差异化需求。

针对运营商、政企、能源等强监管、慢AI化的存量市场，悬镜保留并升级核心产品，旗下源鉴SCA（开源治理）、灵脉IAST（安全测试）、灵脉PTE（渗透模拟）、夫子ASPM（体系化治理）作为传统软件供应链安全产品，解决客户开源治理、代码审计、漏洞防护等刚需问题；而以灵脉AI（AI Coding安全）、问境AIST（AI原生安全测试）、灵境AIDR（AI智能体安全）和云脉AI（AI安全情报）组成的全新AI原生安全产品阵容则针对金融、大制造等AI应用密集、风险敏感的增量市场，可以覆盖客户在AI代码生成、模型测试、智能体运营全场景的安全需求。

面对行业中AI Coding产品及服务的快速发展，子芽表示，悬镜安全会坚持聚焦自身擅长的安全领域，不做通用型AI编程助手，而是聚焦AI Coding、智能体应用和软件敏捷交付过程中新增暴露面的主动风险治理，持续强化安全护栏能力。

CTO宁戈进一步指出，智能体时代下，代码、脚本、工具调用和外部依赖关系更加复杂，风险也更容易沿着新的数字链路扩散。因此，持续的风险情报、资产关联和影响分析能力，将成为企业应对AI原生供应链风险的重要基础。

在悬镜安全全新的“3+1产品体系”中，“1”所代表的情报底座，正是支撑这一能力演进的关键组成部分，也将成为悬镜安全未来持续布局AI原生安全的重要抓手。

客户层面，针对头部与中小客户的差异化需求，悬镜采用分层交付模式，平衡价值与成本：头部客户（金融、大制造）以平台化产品为主，少量定制开发（控制在5%-10%以内），提供全栈解决方案与专属服务，合同金额高、粘性强；而中小客户（政企、中小企业）则以标品工具订阅为主，降低准入门槛，预算友好；子芽甚至在与安全419的访谈中透露，今年下半年将推出供应链安全情报、代码漏挖等按效果付费服务，按实际漏洞数量、修复效果计费，进一步降低中小客户试错成本。

而目前来看，悬镜安全的产品正在市场上逐渐打开局面，客户结构从早期以金融、互联网中小企业为主，拓展至运营商、大制造、能源、政企等强监管领域，高价值KA客户占比持续提升。

深析“从-1到0”的来时路 读懂安全创业的“经营本质”

访谈中一个颇具标志性的信号是：在网络安全行业普遍面临预算收紧、融资降温与增长压力的背景下，创业第11年的悬镜安全实现了首次年度盈利。对于一家持续投入技术研发和产品创新的安全企业而言，这不仅是一项财务结果，更意味着其产品价值、客户结构与商业化能力正在进入更加健康的正循环。

“核心不是简单压缩成本，而是收入质量和客户价值在持续提升。”悬镜安全CEO子芽表示。

前几年，网络安全行业在资本和市场需求的共同推动下进入快速扩张阶段，不少企业都曾将市场覆盖和客户拓展放在更优先的位置。子芽也坦言，悬镜安全在早期增长过程中同样经历过以规模拓展为核心的阶段。“当时行业整体都在追求更快的市场覆盖，但我们很快意识到，增长不能只看合同规模，更要看客户是否真正获得价值，以及企业自身是否具备可持续交付能力。”子芽表示。

从2022年起，悬镜安全开始主动调整经营策略，将重点从“规模优先”转向“高质量增长”：一方面持续优化客户服务体验，提升规模化交付能力；另一方面，更加重视项目质量、客户价值和经营健康度，把可持续增长作为公司内部的重要管理目标。

这一转变，也为悬镜安全上一年度实现首次盈利奠定了基础。子芽认为，盈利并不是简单依靠压缩成本实现的，而是源于产品价值、客户质量和交付效率的同步改善。“好的增长，不只是拿下更多客户，而是如何让这些高质量客户愿意主动选择你、持续选择你。”子芽说。

在分析公司增长背后的原因时，子芽将其概括为外因与内因两方面：

外因在于：甲方不再盲目追逐低价，更倾向于与头部、可持续经营的厂商合作，而悬镜的盈利状态、技术沉淀与服务能力，恰好契合甲方的核心诉求。而子芽坦言“创业也需要运气”，AI原生安全的爆发，恰好与悬镜在数字供应链安全上的长期技术理念坚持、深厚技术创新积累高度契合，内生自免疫、敏捷自适应、共生自进化。”

相比之下，子芽认为能够获得当前的良好局面其实更多归结于自身的内因——如果说创业从0到1靠的是技术和产品，那从-1到0则靠的是创新力和组织力。从- 1到0，远比0到1更重要！从-1到0，本质是验证“赛道能跑通、商业模式能赚钱、团队能打胜仗”。这份认知背后，是三大经营原则：

第一，淡化外部竞争，深耕内部组织力：不把注意力消耗在外部竞争上，而是聚焦产品创新力、经营效率、人才梯度建设，低调打磨核心能力；

第二，坚守经营效率与未来现金流稳健优先：2022年之后，悬镜安全没有再开启新的融资窗口，而是依靠自身经营造血持续投入研发、产品和客户服务。这让公司避免陷入“为了融资而扩张、为了规模而牺牲利润”的路径依赖，也让增长变得更有质量；

第三，对长期主义的笃定，拒绝短期投机：不盲目跟风热门概念，深耕数字供应链安全赛道11年，坚信“慢就是快”，技术与产品的沉淀终将穿越周期。

面对未来，子芽的规划清晰且克制——依然坚持“坚守长期主义，做有质量的增长”，在经营目标上，悬镜更加重视客户满意度、项目毛利额、毛利率和项目交付周期，推动增长从规模导向转向价值导向。在客户策略上悬镜更加重视关键客户的持续运营，通过更深度的场景理解和更专业的技术服务能力，提升客户合作质量与长期黏性；在组织建设上低调提升组织力、人才梯队、产品创新效率。子芽笑言，自己创业早些年很少奔赴业务现场和用户交流的，现在一半精力看产品、一半看业务，每个月都会找KA用户交流产品技术细节。“要感知用户真实需求，这对产品进化很有帮助。”

结语

从软件供应链安全领域的领航者，到新一代数字供应链安全治理体系的开拓者；从11年技术深耕实现首次年度盈利，到“3+1”AI原生安全治理体系规模化落地，悬镜安全的成长路径，折射出是新时代中国赛道头部技术企业“深耕技术、敬畏经营、顺应趋势”的缩影。以硬核技术创新夯实根基，以高质量经营效益穿越周期，在AI原生应用时代创造性拓展安全治理的新边界。

这份成绩单的背后，是公司从“规模增长”走向“高质量增长”的战略转身，是对数字供应链安全赛道的坚定深耕，更是在AI重塑产业格局时的前瞻布局。而站在2026年这个行业巨变的当下，我们发现“低调”了3年的悬镜安全正在以一种“更强的管理运营能力、更体系化的产品服务、更成熟的商业化布局”的全新姿态面对市场的严苛考验。

悬镜安全的11年，是一段从技术驱动、资本驱动，到经营驱动、价值驱动和创新驱动的完整旅程。首次盈利不是一个终点，而是一个新的起点。在AI重构整个网络安全产业的关键时刻，悬镜没有盲目跟风“AI赋能安全”，而是冷静地体系化推出了AI原生安全产品线，并重新定义了“数字供应链安全”的边界。正如子芽所说：

“创业不要被外部竞争过度打扰，更要聚焦自身的综合组织力和持续创新力。尽早找到自己很不一样的东西，并持之以恒迭代下去。”

这条路，悬镜正在越走越稳。安全419也将持续关注悬镜安全及其“新一代数字供应链安全治理体系”的后续落地与市场反馈。