大规模开源安全应用所驱动的五大安全原则

开源 AI 正在塑造网络安全创新的未来，不断打破壁垒并带来实质性成果。其影响范围涵盖了从敏捷初创公司到 Cisco 的 Foundation-Sec-8B 模型，该模型在过去 30 天内下载量超过 18,000 次，自发布以来累计下载量已超过 40,000 次。

VentureBeat 观察到这一趋势正在加速发展，尤其是在网络安全初创公司中，这些公司正以全新的强度将产品路线图转化为可产生收入的产品。基于几个月来对初创公司创始人的访谈，开源 AI 已成为他们及其团队在将概念快速转化为可交付代码过程中不可或缺的工具。

Databricks 最近宣布与 Noma Security 建立合作关系，证明了利用开源 AI 的初创公司正迅速通过实现更快的上市时间和显著的运营成熟度来颠覆传统网络安全供应商。Cisco 总裁兼首席产品官 Jeetu Patel 在 RSAC 2025 上谈及这一关键转变时表示：“AI 正在根本性地改变一切，而网络安全正处于这一切的核心。我们已不再仅面对人级规模的威胁；这些攻击正以机器级别的速度发生。”

VentureBeat 对多位网络安全行业领导者，特别是创始人的访谈表明，开源 AI 对于帮助企业更精准地关注那些尚未满足的重要需求至关重要，从而将潜在企业客户成功转化为实际客户。尽管开源 AI 以及更广泛的软件行业正推动前所未有的新创企业涌现和创新，同时也引发了安全、合规性与变现之间日益突出的矛盾。

VentureBeat 还看到，成功的网络安全初创公司在应对这些复杂问题的同时，发现了其应用、工具和平台中那些最初未曾预料到的新优势。

管理最出色的初创公司能够迅速抓住这些意外优势，并采取更为严谨且有计划的治理方式，认识到这一策略在长期内带来的益处。此外，它们还更快地采用了尽可能多的自动化措施。最令人印象深刻的是，它们视自己为未来数十年构建社区的践行者，而这一切都建立在凭借开源推动产品策略及时转型的能力之上。

解码开源矛盾 开源 AI 作为创新催化剂的能力已被证明。而未知的是，全力追求性能及平台开发和支持普及所产生的负面效应或矛盾。每个利用开源 AI 构建产品的公司面临的核心挑战在于，既要保持其开放性以激发创新，又必须掌控安全漏洞和应对合规复杂性。

Gartner 的 2024 年《开源软件炒作周期》突显了这一尖锐矛盾，其指出开源代码库中的高风险漏洞每年激增 26%，而当前这些漏洞的平均解决时间已接近三年。

在 RSAC 2025 上，Protect AI 的首席技术官 Diana Kelly 在题为 “生成式 AI 安全原则：构建内生安全的基础” 的会议中，将这一利害关系阐释得十分明确。她指出：“各组织常常在没有充分安全检查的情况下下载开源 AI 模型，这显著放大了漏洞风险。”

合规性要求正变得日益复杂且昂贵，这进一步加剧了矛盾。然而，初创公司创始人告诉VentureBeat，他们认为系统所生成的数据能够抵消高昂的合规成本。

他们迅速指出，并非打算提供治理、风险与合规 ( GRC ) 解决方案，但他们的应用和平台已经在满足企业这一领域需求，尤其是在欧洲。随着欧盟 AI 法案即将开始执行，Prompt Security 的首席执行官 Itamar Golan 在今年早些时候接受 VentureBeat 采访时强调，在战略核心中嵌入合规性的紧迫性：“例如，欧盟 AI 法案将于二月开始执行，其执行力度和罚金远超 GDPR。从我们的角度来看，我们希望帮助各组织驾驭这一框架，确保他们了解可用于安全运用 AI 的工具，并将这些工具与法案规定的风险级别对接。”

Golan 进一步解释：“当前网络安全市场中有相当大的一部分仅源自 GDPR，而我认为 AI 监管将比 GDPR 更为严格。合理预见，到 2028 年左右，一个非常大的市场将分配给 AI 合规。”

初创公司创始人的共同目标：为开源社区做出长远贡献 在过去五年中接受 VentureBeat 采访的几乎每位网络安全初创公司创始人都提到，回馈开源社区是他们创建公司时的核心理念。许多人力图将这一点打造为其业务 DNA 的核心组成部分。

最成功的网络安全初创公司认识到，持续且重大的开源贡献能够构建出可持续的竞争优势和行业领导力。Cisco 的 Foundation-Sec-8B 模型便是一个典型例子，展示了针对性、专用化的网络安全工具如何大幅提升整个社区防御能力。根据 Hugging Face 页面数据显示，Foundation-Sec-8B 模型仅在过去 30 天内就被下载了 18,278 次。Foundation-Sec-8B 是一款拥有 80 亿参数的模型，可通过微调针对特定用途（包括威胁检测和自动修复）进行优化。

Meta 的 AI Defenders Suite 与 ProjectDiscovery 的 Nuclei 进一步说明了，聚焦开源贡献能够显著提升生态系统安全性及行业间的协作水平。

Noma Security 的联合创始人兼首席执行官 Niv Braun 在最近接受 VentureBeat 采访时再次强调了持续构建社区战略的重要性，他表示：“我们正在构建的社区远比任何年度收入数字更有价值，也将更加持久。打造一个人们依赖的社区至关重要。”

从开源网络安全领导者中获得的关键启示 综合 Braun、Golan、Kelly、Patel 以及十余位网络安全创始人、CEO 和行业领袖的见解，总结出五个利用开源 AI 取得成功的关键启示，它们分别是：

1. 战略性嵌入治理 　　建立开源程序办公室 ( OSPO )，集中管理许可、合规以及漏洞问题。将治理仪表板直接嵌入产品中，为用户提供实时的合规性透明显示，作为核心差异化优势。正如 Braun 在近期接受 VentureBeat 采访时指出：“治理并非负担，而是我们关键的差异化优势，它使得无缝合规成为可能。”

2. 通过生成式 AI 大力自动化安全 　　广泛采用生成式 AI 自动化安全流程，包括漏洞检测、修复和实时威胁管理。正如 Golan 清晰阐述：“基于生成式 AI 的自动化大幅简化了操作流程，并显著提高了安全效率，远超人工手段。”

3. 战略性地贡献专用工具 　　积极将专为网络安全设计的模型和工具贡献回开源社区，以增强整体安全韧性。Jeetu Patel 在 RSAC 的主旨演讲及接受 VentureBeat 采访时简明扼要地表示：“真正的对手不是我们的竞争者，而是那些恶意攻击者。专用的开源贡献对于集体网络安全韧性至关重要。”

4. 主动管理并透明沟通总拥有成本 ( TCO ) 　　清晰阐明总拥有成本，透明说明隐藏成本和长期价值。主动管理 TCO 计算可降低客户的不确定性，提升市场信心，并直接应对 Gartner 关于供应商锁定问题的挑战。

5. 优先实行严格且主动的风险管理 　　持续部署自动化漏洞扫描与修复，维护精心策划的内部开源软件 ( OSS ) 目录，并通过自动化生成合规文档 ( SBOM/VEX ) 来简化审核流程，从而降低风险暴露并便于符合监管要求。Kelly 在 RSAC 2025 主旨演讲中强调：“严格、自动化的风险管理是有效运营开源网络安全的基础。”

结论：掌握开源以获取战略优势 对于网络安全初创公司而言，战略性地利用开源 AI 能够带来无与伦比的创新、差异化及持续增长机会。深入嵌入治理、借助生成式 AI 自动化安全、贡献专用的社区工具、主动管理总拥有成本 ( TCO ) 以及严格的风险缓解策略，这些举措共同为初创公司奠定了成为行业领导者、推动重大网络安全转型的基础。

正如 Jeetu Patel 在 RSAC 2025 上所总结：“战略性开源创新对于共同保障我们的数字未来至关重要。我们的真正敌人不是竞争对手，而是那些针对我们的对手。”

通过采纳这些战略见解，网络安全初创公司将能自信应对开源软件带来的复杂性，从而推动行业变革并实现长期竞争优势。