打开网易新闻 查看精彩图片

2025年,全球企业平均每天要处理1.2万条安全告警。但真正被调查的不到4%,能赶在攻击发生前解决的,更少。

这不是能力问题,是信息过载。安全团队像急诊室医生,同时面对几百个"可能病危"的病人,系统却只给症状描述,不给诊断优先级。

4月9日,一家叫Mallory的初创公司正式上线。创始人Jonathan Cran——前Google和Mandiant高管——带着一支老兵团队,想把这个局面翻过来。

从"知道有漏洞"到"知道该修哪个"

从"知道有漏洞"到"知道该修哪个"

Mallory的定位很直白:AI原生威胁情报平台。但别被这个词唬住,它的核心逻辑用一句话就能说清——把全球威胁数据和你的实际攻击面做交叉比对,然后告诉你:现在该干什么。

传统威胁情报的交付物是什么?RSS订阅、PDF报告、仪表盘上的红色小圆点。安全分析师读完一篇APT分析报告,还得手动去查自家资产有没有暴露面、相关控制措施生效了没。

Mallory的做法是直连企业现有工具链。新漏洞曝光时,它不弹窗通知,而是自动追踪:谁在利用、攻击路径是什么、你的环境里有没有对应暴露点、现有控制能不能拦住。最后输出的是"证据级案件"——带优先级、带上下文、带修复建议。

Texas Mutual Insurance的CISO John Sapp打了个比方:"新闻爆出某个漏洞时,我需要在几分钟内确认我们是否受影响。Mallory给的是AI速度的调查上下文。"

这里的"AI速度"不是修辞。Cran的原话是:"攻击者已经AI化了,移动更快、能力更强。防御者也得跟上。"

为什么是现在?因为攻击面变了

为什么是现在?因为攻击面变了

威胁情报这个行业有个老毛病:生产端爆炸,消费端瘫痪。

开源情报、暗网监控、漏洞数据库、恶意样本库……数据源在过去十年翻了几十倍。但企业SOC(安全运营中心)的组织架构,还是围绕"处理告警洪水"设计的。结果?分析师被困在工单队列里, proactive(主动防御)沦为PPT词汇。

更隐蔽的问题是语境断裂。一份关于Log4j漏洞的情报,对云原生公司和工控企业完全是两个故事。但传统平台不做这种区分,统一推送,统一焦虑。

Mallory想修补的正是这个断裂。它的技术架构强调"agentic speed"——代理级速度,指的是用AI代理(AI Agent)完成从数据摄取到风险评估的全流程,而不是让人类分析师在中间环节做搬运工。

平台支持Claude Code、MCP(模型上下文协议)、API和自有UI四种交互方式。这个设计有讲究:安全团队的技术债各不相同,有人想直接调API写自动化脚本,有人习惯在聊天窗口里追问"这个漏洞和我们的AWS环境有什么关系"。

Decibel Partners的合伙人Dan Nguyen-Huu投了这轮种子融资。他的判断是:"威胁情报是为'人类速度处理信息'的时代设计的。现在对手用了代理,我们面临的不再是数据情报问题,而是语境和推理问题。"

种子轮背后的一张关系网

种子轮背后的一张关系网

Mallory此轮由Decibel Partners领投,Live Oak Venture Partners跟投。更值得关注的是个人投资方名单:Google、Robinhood、Cisco、Fastly、GreyNoise的安全负责人都在列。

这种"行业老兵集体押注"的结构,在网络安全种子轮里不算常见。通常解释有两种:要么是创始人信用透支,要么是赛道时机真的到了。

Cran的背景支持后一种解读。他在Mandiant时期经历了从独立公司到被Google收购的全过程,亲历了威胁情报从"高端服务"到"基础设施"的转型。现在他赌的是第二波:从"基础设施"到"自动化决策"。

产品形态上,Mallory选择了SaaS交付,30天免费试用,强调"即时可用"。这和Palantir那种需要数月部署的政企路线形成对比,更接近Datadog或CrowdStrike的PLG(产品驱动增长)逻辑。

但威胁情报的PLG有个天然障碍:数据敏感性。企业不太愿意把完整的资产清单和漏洞数据交给第三方SaaS。Mallory的解决方案是"连接而非托管"——平台读取现有工具的数据,不做集中存储。这个架构选择会牺牲一部分分析深度,但换来了合规层面的可接受性。

一个待验证的假设

一个待验证的假设

Mallory的叙事里有个核心假设:安全团队要的不是更多情报,而是"可行动的答案"。

这个假设在CISO层面容易获得共鸣——谁不想少看点仪表盘呢?但在执行层可能遇到摩擦。情报分析师的职业身份建立在"解读复杂性"上,自动化平台越强大,人类角色的价值定位越模糊。

历史上类似的张力出现过多次。SIEM(安全信息和事件管理)平台曾承诺"关联分析替代人工研判",结果催生了更庞大的分析师团队来维护SIEM规则。SOAR(安全编排自动化响应)承诺"自动响应",实际落地多是半自动剧本加人工审批。

Mallory的差异化赌注在于"证据级案件"这个交付物。它不是告诉你"可能有风险",而是给出"攻击者X正在利用漏洞Y,你的Z资产暴露,建议采取A措施"的完整链条。理论上,这压缩了从情报到行动的决策周期。

但压缩到什么程度,取决于"证据"的准确率。误报率每降一个百分点,平台的实用价值就指数级上升;反之,如果"AI生成的案件"经常需要人工复核,它又会退化成另一种形式的告警洪水。

Jonathan Cran在发布当天说了一句话,可以当作这个阶段的注脚:"安全团队不需要更多告警。他们需要答案。"

现在的问题是,Mallory给出的答案,有多少能被直接执行——又有多少,最终会变成分析师桌上另一份需要解读的材料?