RSAC 2026创新沙盒 - AI安全不是一个赛道，而是一套新控制面

摘要

如果只用一句话概括今年的RSAC 2026 Innovation Sandbox：这届创新沙盒已经非常明显地“AI化”了。

RSAC官方公布的Top 10入围公司是：Charm Security、Clearly AI、Crash Override、Fig Security、Geordie AI、Glide Identity、Humanix、Realm Labs、Token Security、ZeroPath。它们覆盖的方向看似分散：AI安全、身份、代理式AI治理、代码安全、软件供应链、人层社工防护、安全运营自动化。但如果放在一起看，会发现它们其实在指向同一个变化：网络安全的核心对象正在从“设备、流量、漏洞、告警”，转向“会行动的对象、可证明的过程、可治理的身份与可信的决策”。

这也是今年创新沙盒最值得关注的地方：AI不是其中一个赛道，而是成为了新一代安全产品的底层语境。未来安全产品的竞争，不只是看谁发现更多风险，而是看谁能把身份、意图、行为、构建证明、推理风险、人层风险这些新信号，转化成真实可执行的控制能力。

一、为什么RSAC Innovation Sandbox值得看

RSAC Innovation Sandbox不是一个普通创业比赛。它更像网络安全行业的早期方向选择器。

每年，RSAC都会从大量创业公司中筛选出10家决赛公司，让它们在大会现场进行三分钟pitch并接受评委问答。它的价值不只是“谁拿冠军”，而是帮助行业提前看到：资本、买方、创业者和安全意见领袖正在共同下注哪些问题。

从历史看，Innovation Sandbox确实有很强的风向标意义。Wiz、Imperva、SentinelOne、Axonius、HiddenLayer、Reality Defender、ProjectDiscovery等公司都曾出现在这个体系里。很多入围公司后来被并购，或者成为某个安全方向的平台级公司。

它的筛选机制也决定了它不是概念秀。参赛公司通常必须处在很早期：产品已经推出并被客户采用，但公司仍未进入成熟商业化阶段。这意味着它筛出来的不是纯想法，而是刚刚经过市场早期验证、但尚未完全被大厂产品栈吸收的新方向。

所以，Innovation Sandbox真正值得看的不是“冠军预测”，而是三个问题：

1. 哪些安全问题正在形成新预算？

2. 哪些旧赛道的边际创新正在下降？

3. 未来2到4年，哪些能力可能被并购、平台化，或者变成主流安全架构的一部分？

从这个角度看，RSAC 2026的信号非常清晰：行业正在从传统安全对象，转向新型可治理对象；从单点检测，转向上下文理解与自动化控制；从“发现坏事”，转向“建立秩序”。

二、2026 Top 10：六类新问题

今年Top 10可以大致分成六类。

这10家公司看似分散，但共同点非常明显：它们都不满足于传统的“发现一个风险、生成一个告警”。它们更关注新的控制对象：AI agent、non-human identity、认证强度、推理过程、构建事实、人类操控链、业务逻辑漏洞、SOC流程断裂。

换句话说，2026年的Top 10不是简单说明“AI安全很多”，而是在说明：AI已经从一个独立赛道，变成安全创新的通用底座。

三、本届三条主线：AI-heavy、identity-centric、automation-first

1. AI-heavy：AI同时成为攻击面、对象、工具和工作流

今年的“AI-heavy”不能简单理解为“很多公司都说自己用了AI”。真正的变化在于，AI在安全体系里同时扮演了四种角色。

第一，AI是新的攻击面。Realm Labs、Geordie AI、Token Security都在围绕AI系统本身建立治理能力，说明AI不再只是安全团队的提效工具，而是需要被保护、被监控、被治理的生产资产。

第二，AI是新的身份对象。AI agent、machine identity、non-human identity不再是边角料，而是企业里会访问系统、调用工具、触发动作的新型主体。

第三，AI是新的安全引擎。Clearly AI、ZeroPath、Charm Security、Humanix都在用AI重写安全产品的实现方式：自动安全评审、语义级代码理解、社工识别、对话分析、欺诈干预。

第四，AI是新的组织生产方式。AI coding、AI agents、自动化SOC让企业运行速度变快，也让传统人工审查和静态控制跟不上。

这意味着AI带来的变化，比“云安全兴起”或“终端检测兴起”更深。它不是多一个安全赛道，而是同时重塑了被保护对象、攻击方式、检测方法和安全团队的工作方式。

2. Identity-centric：身份从辅助变量变成一等控制变量

今年最强的隐含主题，其实是身份。

表面上只有Glide Identity和Token Security直接把identity写在名字或定位里。但如果把范围放大，会发现很多公司的核心问题都是：谁在行动？它凭什么行动？它该拥有什么权限？它是否值得信任？

Glide Identity解决用户认证可信性；Token Security解决AI agent和non-human identity治理；Geordie AI解决agent行为、姿态与风险；Humanix和Charm Security解决“看起来合法的人”是否正在被操控；Realm Labs进一步把问题推进到AI应用内部决策过程是否可信。

过去身份安全主要回答“你是谁”。现在它需要回答更多问题：

• 你是人、设备、服务账号，还是AI agent？

• 你这次行动的意图是什么？

• 你的权限是否与当前任务匹配？

• 你的行为是否偏离角色与上下文？

• 你的认证强度和设备信任是否足够？

• 如果你是AI系统，你的推理过程是否正在偏离？

这对网络安全设备尤其重要。未来网络控制不可能继续只用IP、端口、协议、应用识别做主键，而必须接入更高分辨率的identity context，包括human identity、device trust、non-human identity、agent intent、session risk、authentication strength等。

3. Automation-first：安全创新从“发现风险”转向“自动完成控制”

今年的入围公司里，几乎没有谁只是单纯“多报一个告警”。

Clearly AI自动完成threat modeling和design review；Crash Override自动生成构建证明和软件溯源；Fig Security自动发现并修复SecOps流程断裂；Token Security自动发现并治理agent identity；ZeroPath试图用单一AI-native engine替代传统AppSec多工具栈。

这说明一个现实：企业已经不想再买“又一个看板、又一类告警”。

安全团队不是不重视风险，而是已经进入告警饱和、工具饱和、集成饱和的阶段。真正有价值的产品，是能减少人工摩擦、缩短闭环、把控制真正做完的产品。

四、这说明网络安全行业正在发生什么变化

变化一：安全对象在重新定义

过去安全的核心对象是用户、终端、服务器、网络边界、漏洞、文件。现在，新对象正在出现：

• AI agent

• non-human identity

• 模型推理过程

• 构建执行过程

• 被操控的人

• 复杂业务逻辑漏洞链

• 动态变化的SOC流程

安全行业正在从“保护IT资产”，转向“保护会产生行动和决策的对象”。

这很关键。因为谁被定义为安全对象，谁就会成为预算中心、控制主键和遥测来源。

变化二：控制面在上移

传统安全产品主要围绕三层控制：网络层、终端层、告警层。

但今年的入围公司说明，新控制层正在形成：

• 身份控制：谁能做什么

• 意图控制：这次行动想完成什么

• 行为控制：动作是否偏离角色和上下文

• 证明控制：构建、部署和软件来源是否可信

• 推理控制：AI输出前的内部过程是否异常

• 人层控制：用户是否正在被操控或欺骗

这意味着安全价值正在从“观测单点事件”，转向“理解对象上下文并执行控制”。

对防火墙、网关、NDR、SASE、ZTNA这类网络侧产品来说，未来竞争不只是吞吐、识别率和部署规模，而是能否接入上层新信号，并把它们转化成实时控制动作。

变化三：安全行业从“规则时代”进入“治理时代”

这届公司有一个共同点：它们很多不是在卖“更强检测器”，而是在卖治理能力。

Token Security卖的是AI / machine identity governance；Geordie AI卖的是AI agent governance；Crash Override卖的是software provenance governance；Fig Security卖的是SecOps resilience governance；Glide Identity卖的是authentication trust governance。

规则时代的核心是找恶意；治理时代的核心是控制复杂性。

未来大赛道会更偏向统一对象视图、生命周期管理、持续验证、动态权限、自动化闭环，而不是单纯比谁告警更多、谁覆盖面更广。

变化四：买方正在从“买安全工具”转向“买可控加速能力”

这届入围方向背后，其实是同一个管理命题：企业想继续加速，但不能因此失控。

企业想上AI agent，所以要买agent治理和身份控制；想缩短开发周期，所以要买自动安全评审；想让AI coding进入生产，所以要买代码语义分析和构建溯源；想让SOC跟上变化，所以要买韧性与自动化；想让身份体系扛住AI时代的社工和自动化攻击，所以要升级认证基础设施。

因此，网络安全正在从“阻止坏事发生”的支撑部门，变成“保证组织高速运行而不失控”的基础设施层。

五、十家入围公司的简要观察

1. Charm Security：把“人被操控的瞬间”变成安全控制点

Charm Security关注scam、social engineering和human-centric fraud。它的核心不是再做一个传统反钓鱼或反欺诈工具，而是用AI agents结合欺诈经验和行为心理学，在高风险互动发生时提供实时预防、干预和处置。

它看见的机会是：很多高损失事件里，攻击者并不需要突破系统边界，只需要让人做出一个表面合法、但实际危险的动作。比如转账、改绑、放行交易、关闭控制、提供验证码。

这类风险过去常常落在fraud团队、security团队和一线运营团队之间，没有统一控制面。Charm Security试图把它产品化：识别被操控的迹象，并引导人做出更安全的决策。

对网络控制的启发是：human-centric risk、deception risk、frontline interaction risk未来可能成为访问控制和交易控制的重要输入。

2. Clearly AI：把产品安全评审变成AI工作流

Clearly AI关注design review、threat modeling、risk triage。它不是传统扫描器，而是试图把长期依赖资深安全工程师的产品安全评审流程，改造成可规模化的AI安全工程工作层。

传统AppSec体系的痛点是：代码扫描已经有很多工具，但真正决定系统安全边界的设计期工作仍大量依赖人工。架构评审、威胁建模、供应商接入评估、隐私评审、AI feature安全审查，都需要上下文和经验，难以规模化。

Clearly AI押注的是：产品安全的价值重心会从“发现代码问题”重新回到“设计阶段做对关键判断”。

对网络控制的启发是：未来运行时策略会越来越依赖上游架构、数据流、权限边界和设计期风险上下文。

3. Crash Override：从软件清单走向构建事实

Crash Override关注CI/CD、build execution data、SLSA Level-2、provenance tracking和certificate management。它不是普通SBOM工具，而是在证明“真正构建并部署了什么”。

企业今天有很多局部视图：代码仓库、扫描结果、CI日志、云资产、SBOM。但这些视图往往无法拼成完整事实链：谁拥有这个服务？它从哪次构建来？构建过程是否可信？哪些代码是AI生成的？哪些变更进入了生产？

Crash Override押注的是：AI coding会让软件产出速度上升，也会让软件归属、构建路径、部署结果和风险来源更加不可见。因此，软件供应链安全会从“文档和清单证明”，升级到“执行过程和构建事实证明”。

对网络控制的启发是：build provenance、artifact lineage、ownership clarity未来可能成为运行时分段、放行和审计的重要信号。

4. Fig Security：让SOC在持续变化中仍然有效

Fig Security提出Security Operations Resilience，关注检测与响应流程在持续变化中的可靠性。

它切的不是“告警太多”这个老问题，而是另一个更隐蔽的问题：企业以为检测和响应还在工作，但实际上数据管道、字段、规则、自动化剧本和集成关系可能已经悄悄失效。

很多SOC最危险的不是误报，而是静默失效：该来的告警没来，该触发的playbook没有真正完成，该联动的动作因为字段变化或集成升级悄悄断掉。

Fig Security押注的是：现代SOC已经不是工具集合，而是复杂分布式系统。安全运营不仅需要检测威胁，也需要证明自己的检测、响应和联动仍然有效。

对网络安全产品的启发是：未来产品不仅要能检测和阻断，还要能持续验证策略、日志、联动和控制闭环没有漂移。

5. Geordie AI：为AI agents建立原生治理面

Geordie AI是今年最能代表agentic AI governance方向的公司之一，并最终获得RSAC 2026 Innovation Sandbox “Most Innovative Startup”。

它的核心判断是：AI agent不是传统软件，也不是传统服务账号，而是一类会访问数据、调用工具、触发动作、根据上下文变化行为的新型数字主体。

传统EDR、IAM、PAM、CASB、AppSec工具都只能覆盖agent风险的一部分。企业真正需要的是agent-native context：有哪些agent、谁拥有它们、它们在哪里运行、能访问什么、行为如何变化、风险如何形成。

Geordie AI押注的是：AI安全的重点会从模型保护，进一步扩展到agent运行时治理。

对网络控制的启发是：未来网络侧如果不能理解AI agent的身份、行为、工具调用和风险上下文，就会逐步失去对下一代企业行动主体的控制力。

6. Glide Identity：重构AI时代的认证根信任

Glide Identity关注next-generation authentication。它的目标不是做一个更顺滑的登录体验，而是重构认证基础设施：用密码学、电信网络情报和设备级信任，减少对密码和短信验证码的依赖。

它看到的问题是：AI时代会放大钓鱼、冒充、账户接管和恢复链路绕过。传统认证体系最脆弱的地方，不只是密码本身，也包括注册、恢复、改绑、设备迁移等完整信任链。

Glide Identity押注的是：身份认证会从“记住秘密”，转向“证明连续信任”。系统不应只问用户知道什么，而应结合设备绑定、SIM锚定、运营商网络信号和密码学凭证，判断这个主体是否仍然可信。

对网络控制的启发是：authentication strength、device trust、recovery risk和agent-ready identity都应该成为访问控制上下文的一部分。

7. Humanix：把人层攻击纳入Detection & Response

Humanix关注Human Threat Detection and Response。它的核心观点很直接：安全团队已经像保护endpoint和network一样保护系统，但攻击者越来越多地攻击人。

它不是传统安全意识培训，也不是单纯反钓鱼工具，而是试图实时检测隐藏在voice、video、chat和engagement systems里的操控、欺骗、冒充和施压。

很多现代攻击的关键不是恶意payload，而是恶意意图被伪装成合理请求。系统日志里看到的可能是正常账号、正常流程、正常动作，但人在交互中已经被操控。

Humanix押注的是：人不应再被当作最后一道被动防线，而应被当作需要被技术保护的攻击面。

对网络控制的启发是：human-layer threat signal未来可能影响准入、分段、交易放行、会话风险和二次验证策略。

8. Realm Labs：把AI推理过程变成控制对象

Realm Labs关注AI inference阶段的可信性。它的方向非常前沿：不只是看输入和输出，而是尝试看见AI应用推理过程中的异常、偏离和失范行为。

今天很多AI安全控制仍然是黑盒式的：看prompt是否恶意，看output是否违规，看API调用是否越权。但如果真正危险发生在模型内部推理过程中，例如规避约束、形成错误行动逻辑、隐性欺骗或策略性偏航，那么只看输入输出可能太晚。

Realm Labs押注的是：AI安全会从边界防御，进一步走向内部状态监督。推理层可能成为AI runtime security里一条独立控制线。

对网络控制的启发是：未来只看AI应用流量和输入输出，可能无法充分理解AI系统真实风险；inference risk有可能成为新的运行时安全信号。

9. Token Security：AI agent身份治理的控制平面

Token Security从non-human identity安全延伸到AI agent identity security。它关注发现、管理和治理AI agents、MCP servers及其他机器身份。

它看到的问题是：AI agents正在大量使用token、secret、service identity和外部工具，但企业很少真正知道这些agent是谁、归谁负责、能访问什么、权限是否过大、生命周期是否受控。

传统IAM、PAM、IGA主要围绕人类账号和相对静态的服务账号设计。AI agent则更动态：它可能根据任务调用工具，根据上下文访问资源，也可能在多agent体系中传递权限和行动结果。

Token Security押注的是：身份安全的主语正在从“人”扩展到“机器与代理”，访问控制也会从静态角色走向意图驱动。

对网络控制的启发是：未来网络侧不能只看连接，而要理解真正的行动主体：它是哪个agent、属于谁、为了什么任务访问资源、是否符合最小权限和当前上下文。

10. ZeroPath：用AI原生语义理解重构AppSec

ZeroPath关注AI-native code security。它试图用单一AI-native engine替代传统SAST、SCA、Secrets和IaC工具栈，并重点识别传统工具容易漏掉的business logic flaws和chained vulnerabilities。

传统AppSec的问题不是没有工具，而是工具太碎、噪声太大、上下文不足。大量扫描器能发现模式化问题，却很难理解业务逻辑、权限边界、链式漏洞和真实可利用风险。

ZeroPath押注的是：AppSec的核心矛盾会从“有没有扫描”，转向“扫描是否理解业务语义”。未来企业想要的不是更多findings，而是更高置信度、更少噪声、更接近真实风险的判断层。

对网络控制的启发是：代码语义、业务逻辑风险、API真实脆弱面，未来都可能映射到运行时访问控制、微分段和应用层策略中。

六、对网络安全厂商，尤其是防火墙厂商的启发

从网络控制和防火墙视角看，这届RSAC Innovation Sandbox最重要的启发不是“要不要做AI”，而是：未来网络设备还能不能继续作为关键控制点。

网络设备仍然是少数能真正执行阻断、分段、限权、审计的硬控制节点。但如果它只能理解IP、端口、协议、应用和传统用户身份，就会越来越难覆盖AI时代的新风险。

真正的机会在于，把上层新信号转化为网络侧可执行的实时控制能力。

这些新信号包括：

• Agent Identity：这个连接是否来自AI agent？它是谁创建的？归谁负责？

• Non-human Identity：背后使用的是服务账号、机器身份还是MCP server？

• Human Risk：用户是否正在被操控、欺骗或冒充？

• Authentication Strength：这次认证强度是否足以支持当前操作？

• Device Trust：设备、SIM、网络、凭证是否构成连续可信关系？

• Build Provenance：服务和artifact来源是否可信？

• Code Risk：当前应用是否存在高风险业务逻辑或链式漏洞？

• Inference Risk：AI系统推理过程是否出现异常风险？

• SecOps Resilience：检测、响应、联动链路是否仍然有效？

如果这些信号能够进入网络控制平面，防火墙就不再只是“看包”的设备，而会成为新控制体系里的硬执行节点。

这意味着防火墙未来有三类机会。

第一，把网络控制做成新执行面。上层治理产品会发现风险、判断身份、生成上下文，但最终仍需要某个地方执行阻断、限权、分段和审计。网络侧可以成为这些控制的落地点。

第二，把防火墙从“看包”升级成“看对象”。未来对象不仅是用户和主机，还包括AI agent、non-human identity、API/service identity、risky workflow、model-connected traffic。

第三，把防火墙从“设备”升级成“策略操作系统的一部分”。今年入围公司多数不在卷吞吐，而在卷治理、上下文、自动化和可信执行。这说明未来价值可能更多在控制平面，而不只是数据平面。

七、值得重点关注的公司梯队

从防火墙和网络控制视角，可以把这10家公司分成三个关注梯队。

第一梯队：Token Security、Geordie AI、Glide Identity、Realm Labs。

它们最直接关系到未来网络控制面是否要理解AI agent、non-human identity、认证强度、设备信任和推理风险。它们定义的是新控制对象本身。

第二梯队：Humanix、Charm Security。

它们代表人层风险的产品化。未来human-layer risk很可能影响网络准入、会话风险、二次验证、交易放行和访问策略。

第三梯队：Clearly AI、Crash Override、ZeroPath、Fig Security。

它们更偏上游治理、开发安全、供应链和运营韧性，但这些上游信号同样可能传导到网络侧：设计期风险、代码风险、构建可信、SOC联动可靠性，都可能成为运行时策略的一部分。

结语：从看流量，到看对象、看意图、看信任

RSAC 2026 Innovation Sandbox最值得记住的，不是某一家公司的产品能力，而是它们共同揭示的结构变化：下一代安全价值中心，正在从静态边界检测迁移到围绕AI、身份、意图、行为、真实性与运行时证据的新控制层。

对网络安全行业来说，AI不是一个单独的新赛道，而是一股同时改写对象、身份、流程、运营和控制方式的底层变量。

对防火墙和网络控制产品来说，挑战也很明确：未来只看流量是不够的。必须看对象、看意图、看信任、看证明、看推理、看人层风险。

谁能把这些新信号变成可执行的网络控制，谁就有机会从传统流量设备，升级为下一代安全控制体系的关键执行节点。