看不見的那層防護網：Zscaler CFO Kevin Rubin 談 AI 時代的資安攻防

TL;DR

• Zscaler 做的事情用一句話講完：不讓壞人進你的網路，也不讓你的機密資料溜出去。核心武器是 Zero Trust（零信任），主打「藏起來的東西沒人駭得到」
• Zero Trust 不是行銷標籤。真正的零信任是「每次只給剛好夠用的權限，用完就斷線」，而不是建一張大網路再貼上 Zero Trust 貼紙
• AI 是這家公司最大的順風也是最大的威脅。前沿模型正在用機器的速度挖出沉睡幾十年的漏洞，IT 部門根本補不完
• 下一個戰場是「給 AI Agent 用的零信任」。今天他們保護五千萬個使用者，明天要保護的是幾十億個替公司幹活的 Agent
• 花約六.七五億美金併購 Red Canary，看中的是十年的偵測與應變經驗加上自家每天五千億筆交易的資料量
• 對 AI 投資報酬率，Rubin 講得很誠實：一部分已經回收（工程、客服），一部分是對未來下注

先認識一下這集的來賓

這集六月七日上線的 Motley Fool Money，是美國老牌投資媒體 The Motley Fool 旗下的訪談節目，主持人是他們的分析師 Jason Moser，專門找上市公司高層和產業人物聊生意的底層邏輯。這集的來賓是 Zscaler 的財務長 Kevin Rubin。

Zscaler（NASDAQ: ZS）是雲端資安的龍頭之一，市值數百億美金，全球很多大型企業的網路安全都跑在它的雲上。Kevin Rubin 是去年才上任的 CFO，接替退休的 Remo Canessa。他在財務圈打滾超過二十年，來 Zscaler 之前是 BetterUp 的 CFO，再之前是 Alteryx 的 CFO，幫 Alteryx 把財務規模做大、推向資本市場那段，很多 Motley Fool 的會員應該都不陌生。換句話說，這是一個專門把高成長科技公司財務撐到下一個階段的老手。

有意思的是，連主持人 Jason 都說 Motley Fool 自己內部每天就在用 Zscaler。這種「我們也是你的客戶」的開場，比任何業配都有說服力。

Zscaler 到底在幹嘛？兩件事而已

資安這個題目，大部分人就算是投資人也只知道「很重要」，但要你說它具體在做什麼，多半講不清楚。Rubin 把它收斂成兩件事：第一，不讓壞人進到你的公司網路、拿到機敏資訊；第二，不讓你的機密資料和公司資產跑出去。攻和守，就這兩個方向。

聽起來簡單，難的是怎麼做。這就要講到 Zero Trust（零信任）這個被講到爛掉的詞。

Zero Trust 不是貼紙，是活著的原則

Zscaler 多年前就在推 Zero Trust，那時候還沒紅。現在反過來，人人都說自己有 Zero Trust，Rubin 直接點名這個現象叫「Zero Trust washing」（零信任漂洗，蹭概念但沒真做）。

那真假的差別在哪？Rubin 給的定義很乾淨：Zero Trust 是一組原則，意思是「只給完成這件事所需的最小權限」。不管你是一個人、一個工作負載還是一台裝置，你想存取某個應用程式，系統就只給你這一個應用程式的權限，不會順便把整個網路開放給你。

他用了一個我很喜歡的比喻。一百年前的石油商人為了開到自己的油田，得自己鋪私人道路，因為當年根本沒有公共道路。但今天你不會看到有公司為了開到某個地點還自己蓋一條基礎建設的路，因為高速公路已經到處都是。網路也一樣，三、四十年前公司得自己建一張龐大複雜的企業網路，因為當年沒有穩定的網際網路。但現在這些都像開上高速公路一樣理所當然，何必還在那邊蓋自己的高速公路？

所以 Zscaler 的做法是：你要收信，就跟郵件伺服器請求權限，系統驗證你、確認你有授權、放你進去收信，收完這個連線就結束。下次再來，背景重跑一次同樣的流程。整個過程是一對一的連線，你沒辦法在網路裡橫向移動（lateral movement），因為你只連到信箱，沒理由也沒權限跑去碰 CRM 或人資系統。用完，你就「重新變成隱形的」。

關鍵句在這裡：

你看不見的東西，你就駭不了。

把應用程式藏在 Zscaler 後面，駭客連門在哪都找不到。萬一某台裝置真的被攻破，爆炸半徑（blast radius）也只限於那一台，不會像傳統網路那樣一台中標、整張網淪陷。這套邏輯跟我之前在從網址看門道講的「先搞清楚你在跟誰打交道再給信任」其實是同一個底層直覺，只是 Zscaler 把它做成了一整套企業級的服務。

五十億美金的成長路線圖

Rubin 是 CFO，當然要聊數字。Zscaler 設了一個五十億美金以上 ARR（annual recurring revenue，年度經常性收入）的目標，今年的營收指引是三十七.五億美金。從這裡到五十億，靠的是幾條成長槓桿，順著講下來就是這家公司的擴張地圖：

成長槓桿	在保護什麼	白話解釋
Zero Trust for Users	人與應用程式之間的通訊	最早的起點，員工連公司系統
Zero Trust Cloud	工作負載對工作負載	一個應用程式跟另一個應用程式講話
Zero Trust Branch	分公司的裝置	銀行各地分行的門禁感測器，只連到它該連的那個應用
Data Security	來回傳輸的資料	坐在流量路徑上，檢查什麼資料能進能出
Zero Trust for Agents	AI Agent 之間的通訊	下一個大爆發，後面細講

Branch 那條值得多講一句。傳統做法是把所有分行的裝置都接成一張網狀網路（mesh network），結果就是一台門禁感測器被攻破，整張網都遭殃。Zscaler 的做法是讓每個裝置只連到它需要的那一個應用，門禁感測器就只連門禁系統，誰也不認識誰。一台中標，損害就鎖在那一台。

AI：最大的順風，也是最恐怖的對手

聊到 AI，Rubin 的態度很清楚，這對 Zscaler 是一個很大的順風，但它同時也是一把指著所有人的槍。

先說威脅這一面。前沿模型現在正在用「機器的速度」挖漏洞。Rubin 提到就在受訪那週，Palo Alto 被發現有一個沉睡了好幾年、一直沒人知道的漏洞，被其中一個模型給挖出來。這件事的可怕之處在於：企業本來手上就有一堆已知卻還沒補的漏洞排在那邊，現在模型用機器的速度持續挖出一堆過去幾十年都沒人發現的新漏洞，IT 部門連舊的都補不完，新的還源源不絕地堆上來。Rubin 說這是「壓垮性的」，企業根本不可能跟上這個修補速度。

這裡跟我之前寫過的 Mythos 是同一條線。逐字稿裡 Rubin 也提到 Mythos 跟這些前沿模型，這個強到讓資安股蒸發的模型，我在一群人猜 URL 就駭進 Anthropic 最強模型聊過它外洩的荒謬故事。當挖漏洞變成機器自動化的事，防守方的唯一活路，按 Rubin 的講法，就是把應用程式藏到服務後面，讓對方根本看不到目標。

再說機會這一面，這才是真正讓我覺得這集有料的地方。Zscaler 要把 Zero Trust 從「給人用」延伸到「給 Agent 用」。今天他們保護超過五千萬個使用者，但明天替企業幹活的可能是幾百萬、幾十億個 AI Agent。想像一下，如果有一個流氓 Agent 被駭了，而它又能在公司網路裡到處跑、碰它根本不該碰的東西，那破壞力會有多大。所以把「一對一通訊、最小權限」這套零信任原則套到 Agent 身上，是 Zscaler 接下來最在意的事。

這個方向跟我之前在AI Agent 開始自己花錢了聊的 Agent 經濟其實是一體兩面。當 Agent 開始自己交易、自己行動，誰來管它們之間的信任和權限？Zscaler 想當的就是這個「Agent 世界的交通警察」。

跟 Anthropic、OpenAI 站同一邊

Zscaler 加入了 Anthropic 的 Project Glasswing，也是 OpenAI 的 Daybreak 早期夥伴。Rubin 講得很坦白，這些合作能挖出多少機會他們自己也還在摸索，因為這些模型一開始根本不是為了挖漏洞設計的，結果它們就是用超乎所有人預期的速度和規模在做這件事。

對 Zscaler 來說，當早期夥伴的價值在於：先拿這些模型在內部用，搞懂它會怎麼影響自己，再把這些學到的東西套用到客戶身上。這是一個很務實的算盤，不是為了沾光，是真的要拿來練兵。

為什麼花六.七五億買 Red Canary

Zscaler 不是一家很愛併購的公司，所以這筆併購值得看。Rubin 給的理由是：Zscaler 每天透過 Zero Trust Exchange 處理超過五千億筆交易，他形容這個量級比 Google 一天的搜尋量還高出好幾個數量級。坐在這麼大的流量路徑上，他們手上握有極為豐富、高純度的資安資料。

問題是光有資料不夠，你得有人會解讀。Red Canary 有十年以上的偵測與應變（detection and response）經驗，還做出了幾十個 Agent 來把這套經驗規模化。把 Red Canary 的經驗配上 Zscaler 的資料量，就能給客戶很獨特的洞察。根據公開資料，這筆交易約六.七五億美金，在二〇二五年八月一號完成，Red Canary 的客戶調查威脅速度快十倍、準確率九成九點六。Zscaler 要把這個能力整進一個全新的 integrated SecOps（整合式資安維運）方案。

AI 的投報率，他講了實話

最後聊到一個現在很熱的話題：AI 的投資報酬率到底有沒有？token 用量正在把預算吃光，大家開始重新問，到底是員工貴還是 AI 貴？以前的論述是 AI 會讓一切變便宜，現在反而開始覺得員工好像也沒那麼糟。

Rubin 的回答很誠實，他說兩者都有。產業還在很早期，但在工程、產品開發、客服這些領域，他們已經看到實打實的生產力提升。Zscaler 內部對 AI 的態度不是「人或 AI」，而是「人加 AI」，怎麼把 Agent 配上現有的員工，做出最好的產出。他們也很在意 token 用量跟結果之間的平衡，哪個 case 該用貴模型、哪個用便宜的，得想清楚。這點跟我自己實測便宜模型省的錢全被浪費的時間吃掉的心得呼應，便宜不一定划算，得看任務。

那句被剪到開頭當引言的話我覺得最到位：agentic 帶來的衝擊，會跟過去任何一波科技浪潮（行動、網際網路）一樣大，這就是企業接下來競爭的下一個前線，沒有回頭路。

身為 CFO，Rubin 還補了一個我覺得很關鍵的點：資安預算是經濟下行時最後才會砍的東西，因為它是 mission critical。而且 Zscaler 對大企業是個很強的成本優勢，把一堆 firewall、VPN、SD-WAN、MPLS 設備全換成一個服務，總持有成本（TCO）反而更低。Zscaler 自己整家公司也跑在 Zscaler 上，所以它的資安成本天生就比用傳統方案的對手低。這是一個漂亮的自我證明。

數字也站在他這邊：年 ARR 超過一百萬美金的大客戶，一年成長一成八，來到七百四十八家。客戶用腳投票。

我自己的看法是，Zscaler 這套「藏起來就駭不到」的邏輯，在 AI 把挖漏洞自動化的時代會越來越值錢，因為防守方再怎麼補都補不完，那就乾脆讓對方找不到目標。但 Agent 時代的零信任還在很早期，幾十億個 Agent 的權限管理會是全新的工程難題，誰先做出能用的東西，誰就吃下這塊。這場仗才剛開打。

想看更多這類產業觀察跟踩坑筆記，歡迎訂閱 wilsonhuang.xyz，我會持續更新。

Sources：Kevin Rubin Joins Zscaler as CFO、Zscaler Completes Acquisition of Red Canary