Palo Alto Networks 已完成對 Koi 的收購;Koi 是一家以色列網路安全新創公司,此案交易金額約為 US$400 million。此次收購擴展了 Palo Alto Networks 在人工智慧 (AI) 與軟體供應鏈安全方面的能力,Koi 的技術將被整合進該公司的 Prisma AIRS 與 Cortex XDR 產品線。這也是 Palo Alto Networks 自 2014 年以來第 12 次收購以色列網路安全公司,凸顯該公司在安全領域持續聚焦以色列創新。
Koi 的總共募資金額為 US$48 million,其中包含一筆 US$38 million 的 A 輪融資;該輪次於去年 9 月完成,並在 Palo Alto Networks 收購 Koi 之前進行。該新創公司打造工具,用於監控第三方軟體相依性,並保護企業端點,避免遭受源自供應鏈的安全風險。透過收購 Koi,Palo Alto Networks 獲得能夠填補傳統端點安全作法日益擴大的落差的技術——亦即對「不可執行」軟體元件的疏忽;這類元件可能帶來重大的組織風險。
Koi 的創辦人透過一項概念驗證(PoC)研究來驗證市場需求:研究使用了一個名為「Darcula Official」的假 Visual Studio Code (VS Code) 擴充功能。擴充功能發布到 VS Code Marketplace 之後的一週內,該擴充功能已觸及超過 300 家組織,並登上該 Marketplace 的首頁。該測試顯示,許多企業安全產品主要著重於可執行檔案與作業系統層級的威脅,卻常常忽略來自不可執行軟體的風險,例如開發者套件與整合開發環境 (IDE) 的擴充功能。
Koi 的涵蓋範圍不僅限於傳統的 IDE 擴充功能,也包括容器、Model Context Protocol (MCP) 伺服器(用於將 AI 模型連接到外部工具與資料),以及 AI 模型本身。這些不可執行的元件在現代軟體環境中數量遠超過可執行檔案,且往往未被妥善管理,也難以讓企業資安團隊辨識並監控。這起假擴充功能的案例研究顯示:這種盲點代表了跨產業的實質安全性弱點,包括《財富》500 強公司與關鍵基礎設施營運商。
Palo Alto Networks 已將 Koi 的收購定位在一個全新的安全類別,稱為「Agentic Endpoint Security」(AES)。此類別著重於應對由 AI 代理(agents)與可能會操作敏感資料與關鍵系統的自主軟體工具所帶來的新興風險。Palo Alto Networks 將此風險描述為「終極內鬼威脅」(ultimate insider threat)——在此情境中,AI 代理可能因設計或被入侵而取得存取權,並存取與操控高價值的組織資產。
AES 的安全模型將焦點從「在個別裝置上於軟體執行期間偵測惡意行為」轉移出去。相反地,它強調對供應端點的軟體供應鏈進行治理,包括第三方相依性、AI 代理與外掛程式。此種上游(upstream)做法的目標,是在源頭就避免被入侵或惡意的元件抵達端點,而不是僅依賴部署後的偵測與回應。
Koi 的技術將被整合進 Palo Alto Networks 的 Prisma AIRS 與 Cortex XDR 產品套件;這兩套產品都聚焦於偵測與回應能力。特別值得注意的是,Palo Alto Networks 已表示會將 Koi 保持為獨立產品,讓其能夠與既有的端點偵測與回應 (EDR) 工具並行運作,包括非 Palo Alto 的解決方案。此做法使企業能在不需要全面替換其既有 EDR 基礎設施的情況下,採用 Koi 的供應鏈安全能力,即便其安全工具環境是多元且異質的。
Q:什麼是 Agentic Endpoint Security?為什麼 Palo Alto Networks 認為它很重要?
Agentic Endpoint Security (AES) 是一個安全類別,專注於保護可能存取敏感資料與關鍵系統的 AI 代理與自主工具。Palo Alto Networks 將此類代理造成的風險描述為「終極內鬼威脅」(ultimate insider threat),因為遭到入侵或惡意的代理可能以合法的系統存取權運作。AES 透過將安全治理擴展至軟體供應鏈來解決此問題,包括 AI 模型與外掛程式,而不是僅在執行期間針對端點偵測。
Q:Koi 的軟體供應鏈安全性,如何不同於傳統端點偵測與回應 (EDR) 工具?
傳統的 EDR 工具聚焦於在軟體執行期間偵測並回應裝置上的惡意行為,主要監控可執行檔案與作業系統層級的活動。Koi 的作法則是上移(upstream)來治理不可執行的軟體元件——例如 IDE 擴充功能、容器與 AI 模型——在它們抵達端點之前先進行管控。Koi 的假 VS Code 擴充功能測試證明:這些不可執行元件能在未被偵測的情況下觸及數百家組織,這正是傳統 EDR 工具未能涵蓋的落差。
Q:收購後,Koi 會保持獨立運作嗎?還是會被完全整合進 Palo Alto Networks 既有產品中?
Palo Alto Networks 已表示:即使其技術會被整合進 Prisma AIRS 與 Cortex XDR,Koi 仍會在收購後維持為獨立產品。這使得 Koi 能夠與非 Palo Alto 的 EDR 與資安工具並行運作,讓具備混合安全環境的企業能採用 Koi 的供應鏈安全能力,而不必替換其現有的基礎設施。
