1. 开篇:30条信号不是新闻轰炸,是四层架构同步推进
2025年5月前两周,思科密集释放30余条信号,覆盖开源规范、收购整合、AI防御平台、网络基础设施、运营商战略等维度。看似散点发布,实则是精心编排的四层架构同步推进。
四层架构的核心逻辑:
定义层(立标准)→控制层(锁身份)→检测层(抓异常)→基础设施层(控管道)
这四层构成一个完整的Agent安全体系——思科不仅在卖产品,更在争夺Agent安全领域的话语权。为什么是现在?因为Agent安全正从PPT讨论转变为客户带着预算在问的商业现实,企业需要明确的Agent安全架构指引。
2. 定义层:开源Foundry规范,抢规则制定权
2.1 Foundry Security Spec的核心内容
思科开源Foundry Security Specification,定义了一套完整的Agent安全评估框架:
8个核心代理角色定义 | 130项功能需求 | 11项不可违背原则
这不是一个产品手册,而是一套行业标准的雏形。通过开源规范,思科试图定义什么是安全的Agent——谁在做什么、权限如何划分、哪些行为不可接受。
2.2 模型溯源宪法:从源头解决AI供应链信任
Foundry规范还包含模型溯源宪法(Model Provenance Constitution),核心解决AI供应链的可信溯源问题:
基于模型权重的可验证衍生历史 | 区分5种关联关系与8种非关联模式
思科同步开源Model Provenance Kit,提供模型血缘验证工具,生成唯一指纹并与已知模型库比对。这解决了一个根本问题:当你的AI系统调用外部模型时,如何确认这个模型没有被篡改或替换?
2.3 战略意图:做Agent安全领域的Android
思科做Foundry规范的逻辑,类似于Google做Android开源——不直接卖系统,而是成为标准本身。其他厂商可以采用Foundry规范,但规范的核心设计理念来自思科。这是一种更高维度的竞争:不在产品层面竞争,而在规则层面卡位。
对比Palo Alto: Palo Alto的Prisms和AI SASE是产品逻辑——我帮你检测Agent安全。Foundry是标准逻辑——我定义什么该检测。两者不在同一维度竞争。
2.4 风险:开源规范能否真正影响行业?
关键变量在于生态响应。开源规范的价值取决于有多少开发者、安全厂商、企业采用。如果Foundry成为主流规范,思科就占据了规则制定者的位置;如果响应寥寥,规范就只是营销素材。
3. 控制层:Astrix锁定非人身份,宪法定义模型让AI管AI
3.1 Astrix收购:填补Agent身份治理空白
2025年5月,思科宣布收购Astrix Security,核心目标是解决非人身份(Non-Human Identity)的安全管理问题。
非人身份类型:
| API密钥 | AI Agent调用外部服务的凭证 |
| 服务账户 | 系统间通信的认证身份 |
| AI Agent本身 | 正在执行任务的Agent实例 |
传统安全体系专注于人类身份治理(人员账户、权限管理),但Agent时代大量操作由非人身份执行。API密钥被窃取、服务账户权限失控、AI Agent冒用身份——这些是Agent安全最常见的攻击面。
Astrix的定位是Agent身份防火墙——谁能进来、用什么凭证、权限多大、行为是否异常。整合到思科身份智能平台和零信任方案后,思科的零信任边界从人扩展到人+机器+Agent。
3.2 宪法定义模型:AI管AI的深层逻辑
思科在Agent安全领域的另一个关键动作,是将AI安全分类体系从人工标注转向宪法定义模型(Constitution-Defined Model)。
传统AI安全分类依赖人工标注——安全专家定义规则、标注数据、训练分类器。但在Agent时代,安全策略的数量和复杂度呈指数增长,人工标注不可扩展。
宪法定义模型的逻辑:用LLM替代人工标注者,基于预定义的原则(宪法)进行一致性分类与评估。让AI来制定和执行安全策略本身,而不是仅仅用AI来检测威胁。
这不是在用AI做检测,而是在用AI做策略制定——自动化层级的本质差异。
对比Palo Alto: Palo Alto用AI做威胁检测和响应(我发现了什么威胁)。思科用AI做安全策略制定本身(什么样的行为算威胁)——自动化层级更高。
3.3 战略赌注:AI安全的未来是AI管AI
思科的判断是:Agent安全的未来,规则和策略的规模将远超人工管理能力,必须依赖AI自动化。这意味着谁掌握了AI管AI的核心技术,谁就掌握了Agent安全的主导权。Foundry规范是定义什么,宪法定义模型是谁来执行——两者结合构成完整的Agent安全策略框架。
4. 检测层:AI Defense + ADK集成 + 红队实验室,卡开发者入口
4.1 AI Defense集成Google ADK:卡住Agent开发者入口
思科AI Defense平台宣布集成Google Agent Development Kit(ADK),为ADK开发的Agent提供端到端运行时保护。
这一集成的战略意图极其明确:卡住Agent开发者入口。Google ADK是开发者构建AI Agent的主流工具链之一。通过插件和回调机制嵌入ADK生命周期,思科的防护能力成为用ADK开发Agent的默认选项。
这不是销售产品,而是绑定生态——开发者在思科平台写Agent、用思科防护、在思科平台部署,形成完整闭环。
4.2 VLM双重失效模式研究:证明现有防御不够用
思科安全研究团队发布VLM(视觉语言模型)双重失效模式研究,揭示微小像素扰动即可绕过VLM安全对齐:
| 失效模式 | 机制描述 |
| 可读性恢复 | 对抗扰动使VLM将恶意内容误读为正常内容 |
| 拒绝抑制 | 对抗扰动使VLM无法正确触发安全拒绝机制 |
这项研究的营销价值大于学术价值——它向企业证明:现有AI防御系统不够用,需要更高级的运行时保护。这正是AI Defense平台存在的意义。
4.3 DevNet红队实验室:安全测试左移到开发阶段
AI Defense Explorer Edition提供红队实验室能力,支持自然语言设定攻击目标,模拟多轮自适应攻击。实操实验室则提供真实环境的安全测试。
DevNet红队实验室的战略意图:将安全测试左移到开发阶段。开发者在写Agent时就在思科平台进行安全测试,发现问题立即修复,而不是上线后被动防御。
结合ADK集成,思科的锁定逻辑完整:开发者用ADK写Agent → 在DevNet测试安全风险 → 用AI Defense保护运行时 → 部署在思科基础设施上。
对比CrowdStrike: CrowdStrike的Charlotte AI在端点层检测Agent行为(主机层)。思科AI Defense在网络入口检测Agent流量(网络层)——位置不同,思科更靠前,可以在流量进入主机之前拦截。
5. 基础设施层:网络是Agent流量的必经管道
5.1 为什么网络层是Agent安全的最强卡位
Agent的所有操作都依赖网络:
| API调用 | Agent调用外部服务 |
| 工具执行 | Agent触发本地/远程操作 |
| 数据传输 | Agent获取输入、返回结果 |
| 状态同步 | 多Agent协作的通信 |
无论Agent运行在什么平台、使用什么模型、调用什么工具,流量必经网络层。这意味着:网络层是Agent安全控制的最天然锚点。
其他厂商可以检测Agent行为,但思科可以在网络层直接阻断Agent流量。这是不可替代的架构优势。
5.2 AI网络流量报告:量化Agent对网络的影响
思科首次量化Agent AI对WAN的影响,预测2035年AI推理流量将占WAN总流量的25%。
这份报告的真正目的:告诉企业你的网络准备好了吗?Agent时代网络流量结构将根本性改变,传统的网络规划和安全架构需要同步升级。这是卖升级的最佳叙事。
5.3 Nexus Dashboard 4.2:AI时代的数据中心网络控制面
Nexus Dashboard 4.2是思科数据中心网络的核心更新:
| Slurm AI/HPC作业监控 | LLDP+NVIDIA网卡自适应路由 |
| eBPF零停机漏洞防护Live Protect | 集成AI工作负载优化 |
Slurm是HPC/AI训练作业调度的行业标准,集成Slurm监控意味着思科在AI训练基础设施中占据一席之地。eBPF零停机漏洞防护Live Protect则提供热修复能力——在不停机的情况下修补网络设备漏洞。
5.4 与红帽深度集成:卡住企业AI平台的网络控制面
思科与红帽的深度集成覆盖四个维度:
AI POD | 统一边缘 | 网络即代码 | 安全AI工厂
关键集成点:Ansible(网络自动化)、Splunk(安全分析)、Isovalent eBPF(云原生网络)嵌入Red Hat OpenShift。这是卡住企业AI平台网络控制面的战略动作——用OpenShift的企业,其网络和安全架构将天然依赖思科。
5.5 与AMD联合以太网基准:抢NVIDIA InfiniBand替代位
思科与AMD联合发布以太网AI训练基准,使用思科Nexus 9000交换机+Pensando Pollara 400 NIC,在128 GPU集群上实现确定性性能。
核心信息:Ethernet可以替代InfiniBand用于AI训练
NVIDIA的InfiniBand是AI训练网络的当前标准,但价格高昂且供应受限。如果以太网能达到同等性能,企业有了替代选择。思科Nexus 9000系列是数据中心交换机的旗舰产品,这场基准测试的本质是:为思科以太网设备在AI训练场景背书。
5.6 液冷交换机:从卖交换机到卖AI机房整体方案
思科发布液冷版N9000/N8000系列交换机:
直接芯片液冷 | 带宽密度翻倍 | 能耗降低70%
AI数据中心是高密度计算场景,传统风冷已接近物理极限。液冷交换机意味着思科不只卖网络设备,而是提供适配AI时代的完整机房基础设施方案。这是从卖盒子到卖系统的战略升级。
5.7 Agentic Workflows:网络自动化的AI编排
Agentic Workflows为Ansible/Terraform/Python提供AI驱动的智能编排层:
| 从 | 到 |
| 任务执行 | 结果驱动 |
| 脚本自动化 | AI决策编排 |
传统网络自动化是如果X则执行Y的脚本逻辑。Agentic Workflows是告诉我目标,AI规划路径并执行——从命令执行转向结果驱动。这本质上是将网络自动化带入Agent时代。
5.8 对比Fortinet:优化设备 vs 构建系统
| 维度 | Fortinet | 思科 |
| 网络设备优化 | AI防火墙+NPU加速 | Agent流量管道+安全联动 |
| 技术路线 | 现有设备升级到AI时代 | 构建AI原生网络架构 |
| 核心价值 | 设备性能提升 | 系统级安全+网络控制 |
Fortinet在优化现有设备,思科在构建AI时代的网络基础设施体系。两者路线不同,不在同一个竞争维度。
6. 差异化定位总结
| 维度 | Palo Alto | Fortinet | CrowdStrike | 思科 |
| 核心位置 | 应用层+云 | 安全设备 | 端点 | 网络管道 |
| Agent安全切法 | 运行时检测+AI SASE | AI防火墙+NPU加速 | 主机层Agent行为分析 | 标准制定+管道控制 |
| 护城河 | Prisms+Portkey AI安全平台 | FortiOS统一OS+装机量 | Falcon平台+终端覆盖率 | 网络不可绕过 |
| 短板 | 不控制网络层 | 不控制云和应用层 | 不控制网络和云层 | 安全产品历史集成度差 |
思科的独特优势:只有思科同时控制网络管道和安全定义层。别人能检测Agent异常,但只有思科能在网络层直接阻断Agent流量。
7. 薄弱点分析
7.1 历史遗留问题:多产品线整合困难
思科过去通过大量收购构建安全产品线(Sourcefire、Splunk、Duo等),但各产品线整合进度参差不齐。如果Agent安全需要四层联动,这个历史问题将成为关键瓶颈。
7.2 层间协同黑盒
四层架构理论上完整,但层间协同是黑盒。Foundry规范能否真正驱动AI Defense策略?Astrix身份管理能否无缝嵌入Nexus Dashboard?这些问题目前没有公开答案。
7.3 防御方向的验证标准
如果四层真正打通——发现Agent异常→自动触发身份验证→网络层直接阻断——思科的Agent安全地位将如同其在网络领域的地位一样不可替代。但如果各层仍是各自讲Agent故事,联动案例缺失,这个护城河就是理论上的。
8. 预判
8.1 短期(6个月)
Foundry规范:吸引安全社区关注,生态响应待观察
Astrix整合:需要时间完成身份管理产品整合
AI Defense+ADK:成为ADK开发者默认安全选择之一
8.2 中期(1年)
关键分叉:
| 若四层联动打通 | 思科在Agent安全领域地位如同网络领域——管道控制者 |
| 若仍是各自讲Agent故事 | Palo Alto在AI安全平台赛道形成超越 |
8.3 关键变量
四层联动是真实可用,还是PPT故事?这是判断思科Agent安全战略成败的核心指标。
关键数据标注
✅已验证:Foundry规范8角色/130需求/11原则 | Astrix收购 | AI Defense+Google ADK集成 | 液冷交换机带宽密度翻倍/能耗降70% | SD-WAN AI分类 | AMD联合以太网基准128 GPU | 2035年AI推理流量占25%
⚠️高置信度:VLM双重失效模式研究 | MSSP 70%运营效率提升 | Cisco IQ
⚠️厂商宣称:宪法定义模型替代人工标注 | Nexus Dashboard eBPF零停机防护Live Protect
战略重要性
思科的30+条信号构成的不是产品矩阵,而是战略架构。
- Foundry开源规范试图在Agent安全领域复制Android的成功路径——不卖产品卖标准。
- Astrix收购填补非人身份治理空白,将零信任边界从人扩展到机器。
- AI Defense+ADK集成卡住开发者入口,形成生态锁定。
- 最关键的是基础设施层:网络是Agent流量的唯一管道,思科的位置不可绕过。
竞争对手(Palo Alto、Fortinet、CrowdStrike)各自占据一层的部分功能,但只有思科同时拥有定义层和控制层,以及不可替代的基础设施层。
这是Agent安全竞争格局中的结构性优势。
决策选择
对于安全决策者,思科的四层架构代表Agent安全的新范式——不是单点产品采购,而是需要考虑与思科网络基础设施的深度集成策略。
- Foundry规范的生态响应是第一个观察指标;
- Astrix与现有身份平台的整合进度是第二个;
- AI Defense与Nexus Dashboard的联动案例是第三个。
对于网络安全团队,这意味着安全策略的锚点正在从应用层向网络层迁移——传统的应用层WAF、云安全、端点检测仍然是必要的,但Agent时代的第一道防线可能在网络层。
对于技术架构师,思科的Foundry规范值得关注——它可能是未来Agent安全互操作标准的前身,提早参与可能获得标准制定的话语权。
预测验证
思科在Agent安全领域的地位将在12-18个月内见分晓。如果四层架构真正打通,思科将成为Agent安全领域的网络管道霸主,类似其在传统网络领域的地位——任何Agent流量都必须经过思科的安全控制点。Palo Alto将继续在AI安全平台赛道深耕,差异化在于用户体验和集成便利性;Fortinet将继续优化安全设备性能;CrowdStrike将继续强化端点层覆盖。但思科有机会成为Agent安全的基础设施层——不是可选项,而是必经之路。
关键风险在于:思科历史上面临多产品线整合困难,四层联动的技术复杂度更高,执行失败的可能性存在。另一个风险是Foundry规范如果生态响应不足,将沦为自娱自乐的营销素材。短期看好AI Defense+ADK集成的开发者锁定效果;中期看好基础设施层的网络管道价值;长期取决于Foundry生态的成长性。
💬 评论 (0)