2026 年 RSA 大会多家初创公司填补 AI 打破安全边界后的空白过去几年应用程序安全遵循相对稳定模式开发者编写代码流程构建和测试运行时捕捉漏网之鱼各阶段有对应工具、团队和风险认知。然而这一模式正瓦解。在 2026 年 RSA 大会上引人注目的初创公司应对的是更根本的转变AI 压缩软件开发生命周期模糊编写、部署和运行代码的界限很多情况下这些步骤同时进行或由相同 AI 代理驱动导致安全边界崩塌传统控制点失效。在今年大会的早期和下一代参展商中安全防护持续向左和向下转移延伸至需求、生成代码工具、代码组装交付流程以及代码执行的运行时环境。以下这些初创公司展示了控制点的转移以及旧有信任实施位置假设为何不再适用。AppSentinels保障工作流而非仅保护端点AppSentinels 源于 API 安全领域可参考 2025 年 RSA 大会报道如今扩展业务满足 AI 驱动系统安全需求。随着 AI 代理和服务通过 API 交互风险在于端点连接方式而非单个端点。该公司重点是理解并保障 API 组合使用联合创始人兼 CEO Puneet Tutliani 称问题不在于单个端点而在于工作流的拼接方式。代理自动执行跨 API 复杂操作序列可能暴露逻辑缺陷、绕过控制措施或产生意外副作用传统 API 安全工具不适合检测此类行为。AppSentinels 结合持续测试与运行时治理对工作流执行建模和监控产品套件新增对代理驱动交互的支持仍专注保护业务逻辑AI 代理成为重要参与者。但对跨多个 API、服务和代理的工作流建模困难许多组织梳理端点清单都有困难更难理解交互但实现可见性愈发紧迫。Aurva在代理驱动的世界中跟踪身份和访问权限若 AppSentinels 关注工作流衔接点Aurva 则关注实际执行工作的主体。2025 年报道中Aurva 围绕运行时数据可见性和信息流动今年关注点转向身份和访问权限特别是在 AI 代理背景下。代理需广泛权限运行会创建复杂身份和授权链难以跟踪和约束。Aurva 实时监控这些链条关联内核级活动与身份和访问数据了解代理行为。Aurva CEO Apuru Garg 表示问题不仅是可见性更要理解代理行为这与传统身份和访问管理系统不同。目前平台侧重检测和分析非强制执行虽填补空白但组织何时从观察转变为积极约束是问题。Backline弥合发现与修复之间的差距安全初创公司常瞄准新问题Backline 专注古老挑战发现漏洞后怎么办。多年来应用程序安全发现问题出色但修复效果不佳Backline 认为差距在扩大。随着 AI 加速开发漏洞增多修复能力增长慢。该公司自动化修复过程与代码仓库和 CI/CD 系统集成识别漏洞、生成修复方案并验证。联合创始人兼研发副总裁 Aviad Chen 称问题不再是哪个漏洞重要而是如何大规模修复它们。早期工具侧重分类筛选Backline 压缩检测到解决的流程为自动化过程理论上可让团队跟上 AI 驱动开发产出增长但自动生成修复方案有引入新错误风险Backline 通过验证解决问题组织需看到实际效果在漏洞超人工修复能力环境中自动化成必需品。Backslash保障 AI 开发工具链安全传统软件开发流程可控如今经过更多 AI 工具许多不受监管。Backslash 专注 AI 开发工具链提供组织内 AI 工具和代理可见性有策略控制和防护机制控制数据流动解决提示注入和数据泄露风险。核心观点是攻击面是整个工具链现场首席技术官 Gil Friedman 解释安全团队面对的是各种工具这带来两个后果对 AI 工具缺乏可见性传统控制手段难捕捉组件交互。Backslash 在端点设守护者编目组件、评估风险并执行策略。相关术语和界限在演变问题紧迫必须确保 AI 工具安全。Chainloop将治理融入软件工厂Chainloop 解决 AI 驱动开发加剧的问题开发加速时治理成瓶颈。它充当软件供应链控制平面捕获流程工件创建可验证中央记录系统应用策略防护机制强制执行要求。其动机是 AI 加速开发内循环外循环未跟上。联合创始人兼 CEO Daniel Liszka 表示组织生成和交付代码快但集成、合规和安全慢。Chainloop 自动化外循环通过定义防护机制与流程事件关联实现实时反馈循环包括针对 AI 代理。这是 RSA 大会有影响力的转变治理被重新定义为基础设施虽有复杂性但对应对软件供应链风险的团队可能必要。FireTail全面了解组织内的 AI 使用情况FireTail 是端到端 AI 安全平台回答谁使用 AI 及如何使用的问题。随着 AI 工具普及组织对使用工具、共享数据和引入风险缺乏了解。FireTail 提供可见性监控员工和应用程序级使用情况汇总活动到统一日志流检测问题。创始人 Jeremy Snyder 称每个客户的第一个用例都是了解谁在使用哪些 AI 服务。组织可据此定义和执行策略这是不同类型控制点建立组织基本可见性和治理可见性是控制先决条件随着 AI 应用范围扩大这种可见性可能是必要第一步。Raven在代码运行时强化信任在软件生命周期末端Raven 关注代码运行时情况。去年是专注优先级排序和检测的运行时平台今年转向运行时预防。静态分析发现大量漏洞但很多未在生产环境触发AI 缩短发现和利用漏洞时间传统扫描模式失去意义。Raven 关注运行时行为通过观察代码执行识别并阻止攻击活动联合创始人兼 CEO Roi Abitboul 表示我们不再依赖 CVE而是关注应用程序实际在做什么。公司采用内核级方法观察应用程序行为将性能影响降至最低识别异常行为并实时阻止执行。与许多 AI 叙事不同Raven 认为 AI 在实时预防方面慢仅用于分析和优先级排序任务将运行时作为最终控制点在 AI 加速开发和攻击生成环境下运行时强制执行成主要防御措施。Seezo在代码生成前保障构建安全信息安全领域显著转变发生在开发生命周期开始阶段。过去应用程序安全供应商关注代码编写后扫描Seezo 认为在 AI 驱动世界里太晚。该公司专注在代码编写前生成安全需求塑造开发者和 AI 代理构建系统方式。联合创始人兼 CEO Sandesh Mysore Anand 称生成代码的成本已降至零而审查代码的成本仍然很高。这种不平衡推动变革Seezo 将安全融入需求层让生成代码在进入流程前改进。但这种方法依赖组织采用严格需求流程许多团队抵制随着 AI 提高产出严格性可能不再是可选项。TestifySec将合规转变为持续控制TestifySec 承诺将开发流程转变为实时审计反馈解决合规作为控制环节的瓶颈问题。传统环境中证明软件合规过程缓慢、手动且与代码构建脱节开发加速时问题凸显。为应对挑战TestifySec 将合规融入流程采用基于证据的模型不再依赖文档和手动审计将代码、测试结果和工件映射到安全控制措施并持续评估。联合创始人兼 CEO Cole Kennedy 表示组织现在可以快速编写软件但由于无法进行衡量我们无法更快地交付。TestifySec 弥合衡量差距开发者在代码合并前可获合规反馈合规从事后验证转变为 CI/CD 持续信号。但组织对自动化合规取代人工验证谨慎随着开发加速不采用可能积压软件无法交付。多管齐下2026 年 RSA 大会表明行业不再争论 AI 是否改变软件开发而是探讨开发、部署和执行界限消失时安全的位置。这里介绍的供应商重新定义生命周期内的控制点从需求、工具链到流程、运行时和工作流。部分方法可能更持久并非每个新层面都会形成类别也并非每个主张都能经受现实考验。但方向明确随着 AI 压缩软件开发生命周期、加速开发和攻击活动安全不能依赖孤立检查点信任必须持续强化且在更多地方进行。对于组织挑战不仅是采用新工具还在于决定控制点位置答案因人而异但安全不再是一个阶段而是系统本身的一部分。
2026 年 RSA 大会:多家初创公司填补 AI 打破安全边界后的空白
发布时间:2026/5/20 23:06:07
2026 年 RSA 大会多家初创公司填补 AI 打破安全边界后的空白过去几年应用程序安全遵循相对稳定模式开发者编写代码流程构建和测试运行时捕捉漏网之鱼各阶段有对应工具、团队和风险认知。然而这一模式正瓦解。在 2026 年 RSA 大会上引人注目的初创公司应对的是更根本的转变AI 压缩软件开发生命周期模糊编写、部署和运行代码的界限很多情况下这些步骤同时进行或由相同 AI 代理驱动导致安全边界崩塌传统控制点失效。在今年大会的早期和下一代参展商中安全防护持续向左和向下转移延伸至需求、生成代码工具、代码组装交付流程以及代码执行的运行时环境。以下这些初创公司展示了控制点的转移以及旧有信任实施位置假设为何不再适用。AppSentinels保障工作流而非仅保护端点AppSentinels 源于 API 安全领域可参考 2025 年 RSA 大会报道如今扩展业务满足 AI 驱动系统安全需求。随着 AI 代理和服务通过 API 交互风险在于端点连接方式而非单个端点。该公司重点是理解并保障 API 组合使用联合创始人兼 CEO Puneet Tutliani 称问题不在于单个端点而在于工作流的拼接方式。代理自动执行跨 API 复杂操作序列可能暴露逻辑缺陷、绕过控制措施或产生意外副作用传统 API 安全工具不适合检测此类行为。AppSentinels 结合持续测试与运行时治理对工作流执行建模和监控产品套件新增对代理驱动交互的支持仍专注保护业务逻辑AI 代理成为重要参与者。但对跨多个 API、服务和代理的工作流建模困难许多组织梳理端点清单都有困难更难理解交互但实现可见性愈发紧迫。Aurva在代理驱动的世界中跟踪身份和访问权限若 AppSentinels 关注工作流衔接点Aurva 则关注实际执行工作的主体。2025 年报道中Aurva 围绕运行时数据可见性和信息流动今年关注点转向身份和访问权限特别是在 AI 代理背景下。代理需广泛权限运行会创建复杂身份和授权链难以跟踪和约束。Aurva 实时监控这些链条关联内核级活动与身份和访问数据了解代理行为。Aurva CEO Apuru Garg 表示问题不仅是可见性更要理解代理行为这与传统身份和访问管理系统不同。目前平台侧重检测和分析非强制执行虽填补空白但组织何时从观察转变为积极约束是问题。Backline弥合发现与修复之间的差距安全初创公司常瞄准新问题Backline 专注古老挑战发现漏洞后怎么办。多年来应用程序安全发现问题出色但修复效果不佳Backline 认为差距在扩大。随着 AI 加速开发漏洞增多修复能力增长慢。该公司自动化修复过程与代码仓库和 CI/CD 系统集成识别漏洞、生成修复方案并验证。联合创始人兼研发副总裁 Aviad Chen 称问题不再是哪个漏洞重要而是如何大规模修复它们。早期工具侧重分类筛选Backline 压缩检测到解决的流程为自动化过程理论上可让团队跟上 AI 驱动开发产出增长但自动生成修复方案有引入新错误风险Backline 通过验证解决问题组织需看到实际效果在漏洞超人工修复能力环境中自动化成必需品。Backslash保障 AI 开发工具链安全传统软件开发流程可控如今经过更多 AI 工具许多不受监管。Backslash 专注 AI 开发工具链提供组织内 AI 工具和代理可见性有策略控制和防护机制控制数据流动解决提示注入和数据泄露风险。核心观点是攻击面是整个工具链现场首席技术官 Gil Friedman 解释安全团队面对的是各种工具这带来两个后果对 AI 工具缺乏可见性传统控制手段难捕捉组件交互。Backslash 在端点设守护者编目组件、评估风险并执行策略。相关术语和界限在演变问题紧迫必须确保 AI 工具安全。Chainloop将治理融入软件工厂Chainloop 解决 AI 驱动开发加剧的问题开发加速时治理成瓶颈。它充当软件供应链控制平面捕获流程工件创建可验证中央记录系统应用策略防护机制强制执行要求。其动机是 AI 加速开发内循环外循环未跟上。联合创始人兼 CEO Daniel Liszka 表示组织生成和交付代码快但集成、合规和安全慢。Chainloop 自动化外循环通过定义防护机制与流程事件关联实现实时反馈循环包括针对 AI 代理。这是 RSA 大会有影响力的转变治理被重新定义为基础设施虽有复杂性但对应对软件供应链风险的团队可能必要。FireTail全面了解组织内的 AI 使用情况FireTail 是端到端 AI 安全平台回答谁使用 AI 及如何使用的问题。随着 AI 工具普及组织对使用工具、共享数据和引入风险缺乏了解。FireTail 提供可见性监控员工和应用程序级使用情况汇总活动到统一日志流检测问题。创始人 Jeremy Snyder 称每个客户的第一个用例都是了解谁在使用哪些 AI 服务。组织可据此定义和执行策略这是不同类型控制点建立组织基本可见性和治理可见性是控制先决条件随着 AI 应用范围扩大这种可见性可能是必要第一步。Raven在代码运行时强化信任在软件生命周期末端Raven 关注代码运行时情况。去年是专注优先级排序和检测的运行时平台今年转向运行时预防。静态分析发现大量漏洞但很多未在生产环境触发AI 缩短发现和利用漏洞时间传统扫描模式失去意义。Raven 关注运行时行为通过观察代码执行识别并阻止攻击活动联合创始人兼 CEO Roi Abitboul 表示我们不再依赖 CVE而是关注应用程序实际在做什么。公司采用内核级方法观察应用程序行为将性能影响降至最低识别异常行为并实时阻止执行。与许多 AI 叙事不同Raven 认为 AI 在实时预防方面慢仅用于分析和优先级排序任务将运行时作为最终控制点在 AI 加速开发和攻击生成环境下运行时强制执行成主要防御措施。Seezo在代码生成前保障构建安全信息安全领域显著转变发生在开发生命周期开始阶段。过去应用程序安全供应商关注代码编写后扫描Seezo 认为在 AI 驱动世界里太晚。该公司专注在代码编写前生成安全需求塑造开发者和 AI 代理构建系统方式。联合创始人兼 CEO Sandesh Mysore Anand 称生成代码的成本已降至零而审查代码的成本仍然很高。这种不平衡推动变革Seezo 将安全融入需求层让生成代码在进入流程前改进。但这种方法依赖组织采用严格需求流程许多团队抵制随着 AI 提高产出严格性可能不再是可选项。TestifySec将合规转变为持续控制TestifySec 承诺将开发流程转变为实时审计反馈解决合规作为控制环节的瓶颈问题。传统环境中证明软件合规过程缓慢、手动且与代码构建脱节开发加速时问题凸显。为应对挑战TestifySec 将合规融入流程采用基于证据的模型不再依赖文档和手动审计将代码、测试结果和工件映射到安全控制措施并持续评估。联合创始人兼 CEO Cole Kennedy 表示组织现在可以快速编写软件但由于无法进行衡量我们无法更快地交付。TestifySec 弥合衡量差距开发者在代码合并前可获合规反馈合规从事后验证转变为 CI/CD 持续信号。但组织对自动化合规取代人工验证谨慎随着开发加速不采用可能积压软件无法交付。多管齐下2026 年 RSA 大会表明行业不再争论 AI 是否改变软件开发而是探讨开发、部署和执行界限消失时安全的位置。这里介绍的供应商重新定义生命周期内的控制点从需求、工具链到流程、运行时和工作流。部分方法可能更持久并非每个新层面都会形成类别也并非每个主张都能经受现实考验。但方向明确随着 AI 压缩软件开发生命周期、加速开发和攻击活动安全不能依赖孤立检查点信任必须持续强化且在更多地方进行。对于组织挑战不仅是采用新工具还在于决定控制点位置答案因人而异但安全不再是一个阶段而是系统本身的一部分。
)
)
