Owkin是一家法国-美国AI生物技术公司,在过去一年里疯狂部署AI Agent,用于管理超过50拍字节的生物医学数据。他们以为自己知道运行着多少个Agent。

结果,当他们引入Geordie做了一次概念验证(POC),发现了327%更多的Agent——也就是说,他们认为自己掌握情况的那张清单,遗漏了三倍以上的实际Agent数量。更糟糕的是,Geordie在其他安全工具完全没有发现的地方,发现了多个”关键风险”。

这不是边缘案例。这是2026年企业AI部署的普遍现实。

2026年5月28日,Geordie AI完成了3000万美元的A轮融资,由Balderton Capital领投,Crosspoint Capital、General Catalyst和Ten Eleven Ventures参与投资,公司融资总额达到3650万美元。这笔融资发生的时机,正好是AI Agent在企业端全面爆发的历史拐点。

Agent爆发的可见性危机

当一家公司还只是用ChatGPT写邮件、用Copilot生成代码的时候,安全团队的管理逻辑还是可以追踪的:一个用户,一个界面,一条查询,一个响应。

但当AI Agent开始在企业里真正运行的时候——调用API,访问数据库,代表员工发邮件,自主执行跨系统的多步任务——整个安全管理的底层假设就开始崩溃了。

AlphaSense,一家金融数据公司,已经让Geordie在其环境中覆盖”数万个Agent”。这不是概念验证里的数字,这是生产环境里正在运行的真实规模。当这数万个Agent每天在企业内部做出数百万次自主决策的时候,你怎么知道其中哪一个正在做它不该做的事情?

一位Geordie客户是这样描述现有安全工具的困境的:用已有的工具保护AI Agent,就像一场永无止境的”打地鼠”——系统之间断连,可见性破碎,Agent在不同环境之间穿行,没有任何工具能给出一个完整的全景视图。

这个困境在技术上可以被精确描述。一个企业在2026年通常部署的AI Agent,来自多个不同的来源:自己工程团队用Claude Code、Codex或LangGraph开发的内部Agent;采购的带Agent功能的SaaS产品(Salesforce Agentforce、ServiceNow的自治平台、Microsoft Copilot);员工在自己电脑上本地运行的各种AI助手工具。

这些Agent运行在不同的环境里,使用不同的基础模型,拥有不同的权限配置,通过MCP协议或专有API连接到不同的工具和数据源。没有任何一家供应商能看到全部。

Forge Holiday Group的首席网络安全官Jon Mattey把这个问题说得更直接:”Geordie让我在角色上真正成功,因为它帮助我践行了’让业务更快、更安全’的诺言。它让我们能够成为先行者,用对业务安全的方式去采用Agentic AI。”

问题不是企业是否会部署AI Agent,而是他们是否有能力在部署之后,仍然知道这些Agent在做什么。

传统安全工具为什么不管用

Geordie的联合创始人兼CEO Henry Comfort,在公司的官方公告里说了一句话,我认为是整个Agent安全问题的最精准诊断:

“你可以保护提示词(prompt)。你可以监控网络流量。但如果你不盯着Agent在指令和输出之间到底做了什么,你就是在盯错地方。”

这句话背后的技术逻辑值得深入展开。

传统的企业安全工具,无论是SIEM(安全信息与事件管理)、CASB(云访问安全代理),还是EDR(终端检测与响应),都是为一种根本不同的攻击模型设计的:外部威胁试图突破边界,内部用户可以被信任(大致如此)。

AI Agent打破了这个模型。Agent本身就是被信任的内部行为者——它有合法的凭证,合法的API访问权限,合法的操作目标。但它在执行任务的过程中,可能会做出没有人显式授权过的决策:调用一个它被允许调用但在这个上下文里不该调用的API;访问一个权限范围内但超出任务边界的数据集;在一个Agent-to-Agent的调用链里,被另一个恶意Agent操纵来执行间接注入攻击(prompt injection)。

这些风险不会在网络层面留下可识别的异常。防火墙看不到。DLP检测不出来。传统的SIEM规则没有这种场景的基准。

还有一个更深层的问题:当前主流的AI Agent框架(无论是Anthropic的Claude SDK、OpenAI的Assistants API,还是开源的LangGraph),在设计时都是为了最大化Agent的能力,而不是为了方便外部安全工具的审查。这些框架产生的推理过程,大部分是不透明的,甚至连开发Agent的工程师也不完全知道Agent在两次工具调用之间经历了什么内部推理过程。

Geordie的技术路径是:在应用层,专门为Agent行为建立一套安全原语,而不是试图把旧工具改造来适应新问题。

具体来说,Geordie的平台做四件事:

Agent发现(Discovery):自动扫描整个企业环境——包括云端、代码库、终端设备——发现所有正在运行的Agent,而不需要人工输入或手动维护一张静态清单。Owkin案例里327%的发现偏差,正是这个能力的直接体现。关键在于”连续更新”——Agent的部署速度远超人工维护清单的速度,只有自动化发现才能跟上节奏。

姿态管理(Posture Management):对每个Agent,Geordie都会绘制完整的配置图:它拥有哪些权限,连接了哪些工具和MCP服务器,能访问哪些知识库,系统提示词是什么,调用了哪些子工具,使用了哪个底层模型——并且实时更新,而不是每周或每月的快照。这解决了”我知道这个Agent存在,但不知道它能做什么”的问题。

行为可观测性(Behavioral Observability):持续记录Agent在运行时实际做了什么,提供可审计的行为轨迹。这是”Agent在指令和输出之间做了什么”的可见性解法。对于需要合规审计的行业(金融、医疗、法律),这个能力尤为关键——监管机构正在越来越多地要求企业能够提供AI决策的可追溯记录。

Beam运行时修复(Runtime Remediation):这是Geordie最差异化的技术模块。Beam使用”上下文工程”(context engineering),能够在不减慢业务速度的前提下,主动塑造和约束Agent的行为边界。与传统安全工具”事后检测”的逻辑不同,Beam的目标是在Agent产生危险行为之前就干预,而不是等到损害已经发生再告警。

RSAC冠军背后:安全社区在押注什么

2026年3月,在RSA大会(全球最重要的企业安全年会)的Innovation Sandbox竞赛上,Geordie拿下了年度冠军。

这个奖项的分量不只是荣誉。RSAC Innovation Sandbox的历届决赛选手,是企业安全行业最具预测性的风向标之一。

2021年的冠军Wiz,最终被Google以320亿美元收购,创下软件收购的历史纪录。决赛入选者还包括SentinelOne(现在是市值超百亿美元的公开上市公司)、Cyolo、Axonius等。历届参赛公司的平均退出估值,远高于同类未参赛的安全创业公司。

当全球顶级安全研究人员和投资人在2026年的RSAC上把冠军票投给Geordie,他们实际上是在说:AI Agent安全治理,是未来十年企业安全领域最重要的新问题。在企业还在困惑“我们的Agent到底在做什么”的时候,有一家公司已经在解决这个问题,并且得到了最权威的行业认可。

这个判断和投资人的选择相互印证。Geordie的$30M Series A,由Balderton Capital领投,同时获得了Crosspoint Capital的新投资,以及General Catalyst和Ten Eleven Ventures的跟投。

  • Balderton Capital:欧洲最顶级的科技风险基金,Darktrace的早期投资人之一,Darktrace后来被Thoma Bravo以53亿美元收购
  • Crosspoint Capital:专注企业安全领域的头部基金,在网络安全领域有深厚的产业判断积累
  • General Catalyst:Snyk的早期投资人,在开发者安全工具领域有深度的投资经验
  • Ten Eleven Ventures:全球专注于网络安全领域的专业基金之一

这不是一个泡沫期的随机押注。这是四类有深度专业背景的投资人,都在2026年5月押注同一个方向。

创始团队:为什么这三个人

企业安全领域有一个特点:创始人背景决定了产品的天花板。真正能在这个领域建立规模化业务的公司,往往需要创始人既懂技术深度,又懂大客户的采购逻辑,还能和安全社区建立信任。

Geordie的三位联合创始人,在这三个维度上都有异常强的配置。

联合创始人兼CEO Henry Comfort,之前是Darktrace美洲区COO。Darktrace是第一批真正把机器学习应用于企业网络异常检测的安全公司。”异常检测”的核心逻辑——不依赖预定义规则,而是建立基准行为模型,识别偏离基准的异常——正是Geordie用于Agent行为分析的核心方法论。Comfort在Darktrace负责美洲区业务,意味着他有大型企业安全采购的直接经验。

联合创始人兼首席AI和产品官 Hanah Darley,之前是Darktrace的安全和AI战略总监。她是那个团队里真正坐在AI技术和安全策略交叉点上的人——理解AI系统如何制造新型安全威胁,也理解如何用AI来构建安全防御。在Agent安全这个问题上,这个交叉点正是最难攻克的技术壁垒所在。

CTO Benji Weber,来自Snyk。Snyk的核心能力是”在开发者工作流程里嵌入安全检查”——让安全成为开发流程的一部分而不是事后的审计。这个设计哲学,正好和Geordie要做的”在Agent运行时嵌入治理逻辑”高度吻合。Weber在Snyk的工程经验,解决了”如何在不拖慢系统的前提下植入安全能力”的工程挑战。

Comfort在公告中说的一句话揭示了他们的判断时机:”我们在Claude Code、skills和hooks出现之前一年就创立了Geordie。”

这意味着他们在2025年初就看到了这个方向,在还没有任何主流AI Agent开发工具大规模普及的时候,就断定Agent治理将是下一个核心挑战。现在,一年之后,Claude Code在数万家企业中运行,Codex已经集成到企业开发流程,Salesforce Agentforce处理真实的客户服务交互。Geordie的判断被证实了。

公司目前拥有37名员工,分布在伦敦和纽约两地办公,Comfort表示未来三个月内将扩展到50人。A轮资金主要用于扩展工程和美国市场推广团队,这个优先级选择本身就说明问题:在个人生产力被大幅提升的AI时代,Geordie希望尽早建立足够大的工程团队来维护平台对不断进化的Agent框架的覆盖,同时强化在美国大客户的业务开拓。这个人员增长节奏,对于一家刚完成A轮的初创公司来说,相对谨慎,显示管理团队在备足弹药的同时仍然注重执行自律。

市场格局:独立治理层的战略逻辑

有一个关键问题值得正面回答:为什么企业不直接用Anthropic、OpenAI、AWS原生提供的Agent治理功能?

这正是Geordie核心价值主张的所在:独立性

Geordie对企业安全团队的pitch是:你需要一个独立于Agent供应商的安全视图,这个视图不来自那些提供Agent的厂商,而且能够跨越所有不同类型、不同来源的Agent统一工作。

Anthropic提供的是Claude的安全工具,但它只看得到Claude的行为。OpenAI提供的监控只覆盖OpenAI的产品。AWS的安全服务可以覆盖在Bedrock上运行的Agent,但覆盖不了在Azure上运行的Copilot,更覆盖不了员工电脑本地运行的Claude Desktop。

这个碎片化问题随着企业的Agent数量增长而指数级恶化。2026年,一家中型企业可能同时使用来自5到10个不同供应商的Agent系统。如果每个供应商都只提供针对自己产品的治理工具,安全团队就需要在五个或十个不同的控制台之间切换,拼出一张永远残缺的全景图。

这让人想到云安全领域的历史:做”云安全姿态管理”(CSPM)的公司早期也面对同样的问题——为什么不用AWS/Azure/GCP原生安全工具?Wiz的答案是:因为你需要跨多云的统一视图,而云提供商只能看到自己家的东西。

Wiz的成功证明了这个逻辑的有效性。Geordie在Agent安全领域的逻辑,和Wiz在云安全领域的逻辑,有着明显的结构相似性。

当然,这个比较也有局限性。云安全姿态管理已经有成熟的标准(CSPM、CWPP等),主要大型云提供商的API是相对稳定的,工具可以建立可靠的集成。AI Agent生态系统目前还在快速变化,协议和接口的标准化程度远低于云平台。这是Geordie需要面对的一个真实的技术和运营挑战:随着Claude Opus版本迭代、MCP协议演进、新Agent框架出现,Geordie的发现和分析能力需要持续跟进更新。

竞争压力的另一面

公平地说,Geordie并不是在这个赛道上唯一的玩家。

企业安全和AI治理的交叉领域,正在吸引大量资本和创业团队。来自传统安全厂商的竞争也在形成:Palo Alto Networks已经在AI安全方面做出布局,Crowdstrike的Falcon平台正在扩展到AI工作负载监控,甚至有一些大型的云安全创业公司(如Lacework、Orca Security)也在评估是否要切入Agent安全这个方向。

更根本的挑战来自于AI Agent平台本身。随着Anthropic、OpenAI等模型提供商加深对企业用户的理解,他们自己提供更完善的可观测性和治理工具,只是时间问题。Anthropic在Claude Code中已经开始加入更多的企业治理功能(权限控制、审计日志);AWS Bedrock也在2026年加强了对Agent行为的监控能力。

Geordie对此的回应,本质上是在押注独立第三方身份的长期价值。就像企业的IT审计,永远不能完全依赖被审计对象自己的报告一样,AI Agent的安全治理,也需要一个独立的、跨厂商的、不受利益驱动的视角。

这是一个有战略逻辑的赌注,但它能否在竞争加剧的环境里保持壁垒,还需要时间证明。

第三层洞察:当Agent成为企业的神经系统

大多数人看Geordie,会把它定位为一家”AI安全公司”。这个定位是正确的,但可能低估了这个市场的真实体量。

考虑一个思想实验:如果AI Agent成为企业执行业务流程的主要机制——不只是辅助工具,而是真正自主地执行财务分析、合同审查、供应链管理、客户服务、软件开发——那么”知道这些Agent在做什么”就不再只是安全部门的事,而是企业运营控制能力的核心。

这是Agent治理的真正战略意义所在:它是企业在AI时代保持运营可控性的基础设施

CISO需要它,因为要对Agent行为负安全责任。 CTO需要它,因为要在快速部署AI Agent的同时维护业务可预测性。 CFO需要它,因为未受管控的Agent可能产生难以预料的成本(一个Agent在无人监督的情况下触发大量API调用,可能在几小时内产生数万美元的意外费用)。 合规团队需要它,因为GDPR、SOC2、HIPAA等监管框架开始明确要求对自动化决策的可追溯性。 审计委员会需要它,因为”我们不完全知道我们的AI Agent在做什么”这个答案,在2026年已经开始成为企业治理的实质性缺陷。

这意味着Geordie的潜在客户价值,随着企业AI使用深度的增加,会非线性地增长。每一个新部署的Agent,都为Geordie的产品增加了边际价值。

Geordie在其官网上引用了A+E Global Media(美国头部媒体集团)网络安全主管Michael Cena的评语:”我们在整个业务中部署AI Agent已经有一段时间了,治理的问题一直在反复出现:到底有哪些东西在运行?它们能做什么?如果出了问题会怎样?Geordie帮助我们解决这些问题。它给了我们真正的安心,而且他们每周都在改进产品。Geordie应该在每家公司关注Agent发现和治理的候选名单上。”

这段评价的核心不是”安全工具很好用”,而是”AI Agent部署的治理空白真实存在,且具有紧迫性”。

事实上,企业引入AI Agent后面临的治理问题,往往比安全团队预料的更早、更普遍。Gartner在2026年初的报告预测,到2026年底将有40%的企业应用集成任务特定AI Agent——这意味着Agent不再是少数企业的前沿尝鲜,而是正在成为标准企业软件基础设施的一部分。当Agent变得像SaaS一样普遍,围绕Agent的治理需求也会变得像网络安全合规一样普遍。

这也解释了为什么Geordie CEO Henry Comfort将他们的目标设定为“未来十年企业安全的定义性挑战”之一的解决方案。这不是夜郎吸引新闻的夸大词,而是在描述一个市场从“早期采用者”走向“主流必选”的规律性转变。

监管压力:从选配到必选

有一个关键的市场驱动力,不应该被低估:监管趋势正在把AI Agent治理从”选配”变成”必选”

2026年,围绕AI系统的监管框架正在快速成形。欧盟AI法案(EU AI Act)对高风险AI系统提出了强制的可追溯性和透明度要求,明确规定企业必须能够解释自动化系统的决策逻辑。在美国,联邦贸易委员会(FTC)和证券交易委员会(SEC)都在加强对AI驱动业务决策的审查。NIST在2026年发布的AI风险管理框架更新版,明确把”可治理性”(Governability)列为AI系统的核心属性之一。

这些监管框架对企业意味着什么?简单说:如果你的AI Agent在帮你做决策,无论是辅助性的还是自主性的,你必须能够解释它做了什么、为什么这么做、在哪些情况下它是错的。”我们的Agent是黑盒”这个答案,在监管机构那里越来越难以接受。

对金融机构来说,这个压力最为直接。美联储和OCC(美国货币监理署)已经明确表示,银行使用AI Agent进行信贷决策、风险管理和交易执行时,必须能够提供和人工决策同等级别的审计轨迹。欧洲银行业管理局(EBA)也在2026年初发布指引,要求金融机构对AI Agent的行为进行持续监控和记录。一旦涉及贷款拒绝或账户冻结等决策,企业需要能够重现Agent的决策过程。

医疗行业同样面临压力。HIPAA对包含患者数据的自动化系统有严格要求,当AI Agent开始直接访问和处理电子病历时,Owkin面对的那种”不知道自己有多少Agent在跑、这些Agent能访问什么数据”的问题,就直接变成了监管合规漏洞。

这个趋势为Geordie创造了一个独特的销售支点:帮助企业通过监管审查,而不仅仅是”提高安全性”。”安全工具”的购买决策往往停留在安全团队,预算规模有限。但”合规工具”的购买决策会上升到法务、首席合规官甚至董事会层面,并且有明确的监管要求作为采购动机,而不是纯粹的成本中心判断。这意味着Geordie的潜在客户规模和付费意愿,可能比纯粹的安全工具大得多。

这也从另一个角度解释了为什么RSAC冠军这个荣誉对Geordie特别有意义:RSAC的核心受众本来就包括大量来自金融、医疗、政府等强监管行业的安全决策者。能在这个平台上赢得最高认可,意味着Geordie已经通过了最挑剔的一批企业安全评审者的考验——而这些人,正是Geordie最核心的目标客户。

对企业决策者的实际意义

如果你是企业的CTO或CISO,2026年你面对的现实问题大概是这样的:

你的工程团队在快速部署各种AI Agent,每个月上线的新Agent都比上个月更多。你的业务团队在采购各种带Agent功能的SaaS产品。你有一张Agent清单,但你知道这张清单不完整。你有安全工具,但没有哪个工具是专门为Agent设计的。

Owkin的案例应该让每一个处于这个位置的人感到不安:如果你现在去做一个真实的Agent发现,你可能会发现你多出了三倍以上的Agent,其中有些已经在访问你不希望它访问的数据,执行你没有明确授权过的操作。

这不是危言耸听,这是Geordie在30个真实企业客户环境里已经被反复验证的模式。在那些已经部署了Geordie的客户中,发现”比预期多得多的Agent”几乎是常态,而不是例外。

从投资人的角度看,Balderton Capital的选择本身就是一个信号:这家基金在欧洲的科技生态里的历史记录,是在市场真正爆发之前3到5年就做出判断。他们在2026年5月领投Geordie,意味着他们相信真正的Agent安全市场现在才刚刚开始形成。

RSAC Innovation Sandbox的冠军奖项,不是一个”未来很厉害”的信号,而是企业安全社区在说:这个问题现在就很紧迫,这个公司现在就有值得关注的解法

2026年的AI Agent,就是2021年的云基础设施——规模已经无法被忽视,但治理工具还没有跟上。谁能在这个窗口期建立起跨厂商、跨平台的治理层标准,谁就可能拿到下一个Wiz级别的市场机会。

对于已经在生产环境部署AI Agent的企业,有几个值得立刻做的检查:

第一个问题:你最后一次更新你们的AI Agent清单是什么时候?如果答案是”上个季度”或者”上半年”,那这张清单几乎肯定已经过时了。

第二个问题:你知道每个Agent能访问哪些数据和工具吗?不是”理论上应该能访问什么”,而是”它实际上有权访问什么,以及它实际上正在访问什么”。

第三个问题:如果一个Agent明天做出了一个错误的决策,造成了实质性的业务损失,你能在24小时内重现它的完整决策过程并提供给法务团队吗?

这三个问题的答案,基本上决定了一家企业在Agent安全治理上的实际暴露程度。Geordie的30个客户案例显示,对这三个问题都能回答”是”的企业,目前还是少数。

从$36.5M到下一轮,Geordie的路有多远,很大程度上取决于企业Agent部署的速度——而这件事,看起来只会加速,不会减慢。

参考资料

  1. Exclusive: Geordie AI, cybersecurity startup for AI agents, raises $30 million Series A round — Fortune, 2026-05-28 https://fortune.com/2026/05/28/geordie-security-governance-ai-agents/

  2. Geordie AI Raises $30M Series A as Enterprises Race to Govern Autonomous AI Agents — Geordie AI官方公告, 2026-05-28 https://www.geordie.ai/resources/geordie-ai-raises-30m-series-a-as-enterprises-race-to-govern-autonomous-ai-agents/

  3. AI Governance Platform — Geordie AI官网 https://www.geordie.ai/

  4. 2026 RSAC Innovation Sandbox Contest: Geordie — RSA Conference, 2026-03 https://youtu.be/qk5t38arYGI

  5. Thoma Bravo closes $5.3 billion Darktrace acquisition — Fortune, 2024-10-01 https://fortune.com/europe/2024/10/01/thoma-bravo-closes-5-3-billion-darktrace-acquisition-weeks-after-founding-investor-mike-lynchs-death/