2025年SailPoint-SAIL.US-身份安全面临范式转型，迁移红利与AI增量驱动增长

投资概要：Agentic AI 有望驱动行业预算支出转向身份安全

回顾 SailPoint 的发展历史，SailPoint 2005 年聚焦于配置（provisioning）和生命周期管理（life cycle management）1，①所谓的配置指的是自动或半自动地为用户提供访问其所需系统和资源的权限的过程，例如员 工入职或切换岗位时授予/调整相应系统的权限；②生命周期管理则是根据员工入职、升职、调动、离职等动态 调整员工权限。SailPoint 早期业务更类似于 IT 工具，提升企业运营效率，随着规模扩张员工保持快速融入企业 工作流。 2017 年前后规模瓶颈驱动 SailPoint 引入 AI自动化，即从治理转向广义的身份安全领域。公司 CEO Mark McClain 提到，2017 年前后他意识到面对客户所处理的巨大规模和复杂性，如果不使用大量的智能和自动化， 仅仅依靠人工通过电子表格来管理身份无法解决这些问题。具体而言，SailPoint 所服务的客户（全球最大、最 复杂的跨国公司）面临的身份管理问题已经达到了一个临界点，即无法再依靠人工方法来解决，这种管理涉及 到员工、应用程序和权限之间的数十亿种组合，需要精确地保持这些访问权限的准确性，这是一个极其复杂的 问题。

为什么引入 AI 自动化，身份权限治理工具就能转向身份安全？行业最大的转变是“攻击行为者的攻击途 径已经变成了身份”。黑客不再是猛攻防火墙，而是窃取一个合法的“身份”潜入系统。因此过去安全防护的 策略是基于规则、特征码判断攻击行为，但 2010 年以后普遍转向基于行为的安全防护策略。而与行为密切关联 的就是权限管理。因此在新的攻防策略下，引入 AI 后，身份治理工具的能力从“被动合规”升级为“主动防御”。 AI 能够“筛选海量数据，查看模式，理解关注点”。如果从安防本质看，身份安全实际上是实现目的的手段。 SailPoint 真正保护的是数据和应用程序。需要注意的是，IGA 领域非常特殊，AI 既提高 SailPoint 帮助客户提升 安全能力，同时也增加攻击者的能力。这种对威胁的积极应对和持续创新，正是身份安全（Identity Security）而 非传统治理（Governance）的特征。 IAM 是现代企业 IT 架构的基础安防。其核心职能是通过统一的身份验证（Authentication）和授权 （Authorization）策略，来管理所有用户（员工、客户、合作伙伴）对企业所有数字资源的访问入口。其根本目 标是确保“正确的实体，在正确的时间，能访问正确的资源”，即回答“你是谁，你能进来吗？”这一基础性问 题。 IAM市场驱动力源于数字化转型和云迁移的浪潮。随着 SaaS 应用（如 O365、Salesforce）、混合云环境和 远程工作的普及，传统的企业网络边界（防火墙）已经失效。企业必须在分散的 IT 环境中，为用户提供统一、 便捷且安全的访问体验。除了适应新的 IT 架构，IAM 还能通过提供单点登录（SSO）和多因素认证（M FA）等 功能，极大提升员工的生产力（无需记忆和输入多个密码），并为企业提供抵御凭证盗窃的第一道关键防线， 从而显著降低账户被接管的风险。

IGA 是企业身份与访问管理体系的中枢。其核心职能是通过连接企业内部所有应用系统，来管理访问审批、 权限配置与回收、定期认证以及策略违规等问题，其根本目标是回答“谁能访问什么”这一基础性问题。 IGA 市场驱动力源于监管与审计的压力。联邦法律、数据隐私法规（如 GDPR、SOX、HIPAA）以及内部 审计要求，迫使企业，尤其是在金融、医疗等受到严格监管的行业，必须部署强大的 IGA 解决方案 。一位大型 保险公司的首席信息官（CIO）证实，对于受监管行业而言，安全态势至关重要，而 IGA 是其中“非常重要的 一环”。除了满足合规要求，IGA 还能通过自动化身份生命周期管理（员工入职、调岗、离职流程），降低因 “孤儿账户”带来的安全风险，并为访问请求提供一个集中化平台，从而显著提升运营效率。

PAM 是企业安全防御体系中的核心保险库。其核心职能是专门针对企业内部拥有最高权限的“特权账户” （如系统管理员、root 账户、数据库管理员账户）进行严格的隔离、控制、监控和审计。其根本目标是回答“谁 能访问系统的‘万能钥匙’，以及他们用它做了什么？”这一高风险问题。 PAM市场的驱动力源于高级网络威胁（APT）和勒索软件攻击的急剧增加。攻击者（无论是外部黑客还是 内部威胁）深知，窃取一个特权账户是其在网络内部横向移动、窃取核心数据或部署勒索软件的最快途径。除 了抵御外部的高级威胁，PAM 还能通过实施“最小权限”和“即时（Just-in-Time）”访问原则，以及对所有特 权操作进行会话录屏和审计，显著降低内部人员误操作或恶意破坏的风险，并为安全事件溯源提供不可否认的 证据，从而满足最严格的合规要求。

需要注意的是，上述 IGA/IAM/PAM 市场并非完全独立，而是互有重合。以 IAM 市场为例，配置/合规审 计等功能就与 IGA 重合，当然产品层面功能或有差异，但是从功能深度，合规复杂度来看，IGA 一般高于 IAM，客户很有可能存在冗余购买的情况，即购买了 Okta 套件但是未深度使用类似功能，而寻求 SailPoint 的 功能，这种重合为市场未来的整合提供空间，以 2025 年为例，上述重合功能占据 IAM 市场~42%的收入规 模，且大于 IGA 整体市场规模。

市场规模测算：~40 亿 IGA 市场，Agent 可能贡献 1x 以上空间

我们基于官方统计数据，提出新的 TAM 模型。为了构建一个更严谨的模型，我们将遵循以下三个步骤： 1）确定目标市场，IGA 解决方案的核心客户是大型企业，因此我们将目标市场定义为员工人数超过 1000 人的 企业。2）计算潜在用户总数：我们将使用来自美国和欧盟官方统计机构的数据来确定在这些主要经济体中， 大型企业所雇佣的总员工人数。3）应用行业平均收入：我们将采用行业公认的每用户平均年收入来计算最终 的市场规模。 第一步，确定潜在用户总数（基于官方数据）。我们将聚焦于数据最可靠的主要市场：美国和欧洲、日 本。①美国市场：根据美国劳工统计局（BLS）截至 2025 年 3 月的最新数据，在私营行业中，员工规模超过 1000 人的机构总共雇佣了 1599 万名员工7。②欧洲市场：根据欧盟统计局（Eurostat）2023 年的数据8，在欧 盟和欧洲自由贸易联盟（EU-EFTA）地区，员工人数超过 1000 人的跨国企业集团（MNE）雇佣了约 4100 万 名员工。③日本市场：根据日本总务省统计局发布的 2021 年经济活动普查数据9，1000 名及以上员工的企业从业人员数为 1672 万人。

将这三个主要市场的数据相加，我们可以得出一个基于官方统计的、相对保守的潜在用户基数：总潜在用 户数 = 1599 万 (美国) + 4100 万 (欧盟) +1672 万 (日本)= 约 7371 万人，考虑其他地区 = 美日欧用户/85% = 1300 万人。 第二步，应用每用户平均收入（ARPU）。我们将继续使用行业分析中普遍认可的估算值，即企业级 IGA 解决方案的平均年费为每位用户 100-120 美元 。这是一个衡量产品价值和市场定价的合理基准。 第三步，重新计算总目标市场（TAM）。现在我们可以将更新后的数据代入 TAM 计算公式：总目标市场 (TAM) = 潜在用户总数 × 每用户平均收入 (ARPU)，TAM = 8672 万用户 × 100 美元/用户/年 ×20-30%折扣 = 65 亿美元，其中美欧市场 42.7 亿美元。 目前上云率普遍估计在 40-60%，上云意味着 ACV 的 uplift，许多传统供应商的方案在企业中“部署程度非 常有限”，可能只覆盖了少数关键应用。当 SailPoint 替换这些系统时，往往能在 6 到 9 个月内部署到远超原有 系统的覆盖范围。

SAIL 2023-24 年增量收入份额 40-60%，且绝对额方面在 1.4-1.6 亿美元，远高于 MSFT 和 Saviynt，反映市 场增量主要来自迁移。更关键的洞察在于，这种“替代”并非简单的 1:1 置换。SailPoint 管理层指出，传统的本地 部署解决方案（目前占据市场份额~35%，IBM、Oracle、Broadcom、SAP 等）通常只覆盖企业内部最关键的少 数应用（约 10-50 个），其主要目的是满足最基本的审计要求。相比之下，现代化的 SailPoint 实施，其目标是 覆盖企业内数以千计的全部应用，实现全面的身份治理。 这意味着，每一个“替代”交易，本质上都是一个巨大的“先占领，后扩张”（Land and Expand）的机会。初始 合同可能只是为了替换掉旧的 IBM 系统所覆盖的 50 个应用，但这为 SailPoint 建立了一个滩头阵地。在接下来 的数年里，SailPoint 可以通过扩展应用覆盖范围，将 ARR 从最初的基数上成倍放大。因此，传统厂商的衰退为 SailPoint 提供了一个极其广阔的、可供开发的存量市场，其潜力远超市场表面所见的“替代”二字。

我们需要看到，就 IGA 市场本身，SailPoint 仍然具备非常强的竞争力，22 年以来市场份额提升显著，主要 受益于本地供应商迁移。总体而言，SailPoint 管理层认为，公司在身份安全领域的壁垒在于连接的深度与广度， 这里的“连接”并非单一概念，真正的壁垒在于“连接的深度”而非仅仅是“连接的广度或速度”。具体而言， 1）可见性：仅仅知道应用存在并能看到账号，这是收购 Savvy 后帮助 SailPoint 加速可见性的部分，也是许多新 兴厂商主要宣传的“快速连接”能力；2）治理，确保可见范围的账号权限可以进行认证&管理；3）自动化生命 周期，能够进行自动化的账号开通、撤销以及实时修正。这是最深层的连接，也是技术门槛最高的部分。

连接器作为一个专门软件组件，将 IGA 平台的通用命令（例如，“分配角色”）转换为目标系统所需的特定 协议和数据格式（例如，特定的 API 调用或 LDAP 修改）。它弥合了抽象策略与技术实现之间的差距，实现自 动化、可审计和一致的治理。连接器作为身份治理的核心枢纽，通过三大关键功能确保持续的治理循环：1）聚 合（可视）： 归集跨系统数据，构建统一的权限视图与事实来源；2）配置（执行）：自动化执行账户的创建、 变更与撤销，响应身份生命周期事件；3）核实（审计）：闭环验证操作结果，确保系统状态与记录一致。

就竞争壁垒而言，很多 IGA 厂商强调配置周期短，但忽略了连接深度。对于访问工具来说，连接到应用程 序并允许用户登录是一回事，但对这些应用程序进行深度治理是另一回事，例如谁可以访问数据等等。SailPoint 的优势在于与商业应用以及许多定制应用程序之间丰富的连接经验。跟进一步地说，这类深度连接过程是非标 准化的，管理层在 FY25Q4 电话会中提到“通常情况下，这些实施方案的瓶颈在于需要进行大量的技术工作才 能与业务应用程序连接…那些声称能够快速扩展连接性的厂商，通常只提供非常浅层的连接器，它们可以连接 到资源，但无法真正实现权限级别的管理。…当我们进入这些大型、复杂的环境时，一旦客户真正了解我们提 供的产品和服务之间的差异，我们的成功率仍然非常高。”

公司管理层在业绩会中提到“目前尚未感受到中大型客户对集成解决方案的竞争压力，他们更专注于解决 自身复杂的身份安全问题。…从市场角度来看，我认为访问控制、SSL 和 MSA 等技术将会日益商品化，它们将 成为身份管理领域中应用较为广泛但未必具有战略意义的部分，而治理、安全和权限管理等领域则可能更具战 略意义。我认为，像我们这样的公司以及我们在权限管理领域的一些同行在市场上拥有相当的优势 。” Okta/Saviyant 等同业虽然声称在连接器数量方面与 SailPoint 接近，但其主要是 SSL 等浅层连接，即看到应用里 有哪些账号（实现可见度），做一些基础操作（例如开户/销户），但在深层治理（生命周期权限管理，处理非 结构化数据等）方面，仍然显著落后 SailPoint。 与共识有所区别，AI不仅不会加速连接器同质化，反而可能成为新的差异化竞争领域。FY26Q2，SailPoint 管理层提到企业主要采用两类 AI 智能体：1）软件厂商研发：比如 Workday 或 Salesforce 系统里自带的 A I 助 手。2）企业自研的：大企业为自身业务逻辑定制化开发的 Agent。Agent 以连接器进入系统工作，这些 Agent 会 像人类员工一样工作，为了完成任务，它们会“四处寻找数据”。这意味着 Agent 存在与人一样类似的安全风 险，如果 Agent 被允许访问它本不该看到的数据，当用户向它提问时，它就会把这些敏感数据吐露出来，导致 数据泄露，因此 Agent 引入实际上带来细颗粒度的权限管理以及数据访问两种安全需求。Mark 指出，传统的身 份治理有一个历史遗留短板，即缺乏与“深度权限数据”的紧密对齐，例如过去只需要知道“张三能登录 Salesforce ” 就行，但目前必须清楚张三（或 Agent）能看到 Salesforce 里的哪一行数据、哪一个字段。如果做不到这种细粒 度的控制，就无法治理 AI Agent。 为了解决这个问题，Agent 治理需要 1）身份图谱，解决谁是谁；2）深度数据理解，解决谁能看什么具体 数据；3）安全生态，理解实时风险是什么。只有通过 AI 驱动的连接器实现这三者的融合，才能真正看清并控 制 AI Agent 的风险。SailPoint 认为这是整个行业面临的巨大挑战，同时也是他们的机会所在。

增长驱动拆分：迁移+Agent 拉动 FY27-28 增速上修至 High 20s/Low 30s

SailPoint 管理层在历次业绩电话会中提到，收入驱动因素包括①交叉销售(Cross-sell)；②追加销售(Upsell)；③套件升级(Suite upgrades)；④平台现代化（On-prem→SaaS），包括迁移。FY26Q2 业绩电话会，管理层提到四 个主要 NRR 驱动因素保持了“良好的平衡”，且迁移贡献 1/4，新兴附加模块（如非员工风险管理、机器身份 安全等）的 ARR 同比翻一番以上。 SailPoint 的增长主要来自于中高端企业市场的迁移/现代化。FY4Q25，SailPoint 管理层提到“我们在一些 传统系统中的渗透率仍然很低。这些系统的维护成本通常非常高昂。我们提供的更现代化、基于 SaaS 的解决方 案能够更好地应对他们面临的复杂问题…我们之所以能赢得新客户，是因为我们能够取代他们原有的传统解决 方案，尤其是那些部署在本地的解决方案。他们真正需要的是一种更现代化的解决方案。在取代传统解决方案 方面，我们还有很大的新客户增长空间。”结合此前 Gartner 的数据，SailPoint 的份额持续增长，而 Broadcom/Orac le 等传统 IGA 厂商的份额则持续回落，管理层的表述更直接地印证这一点。 Oracle/IBM/SAP 等产品 EOL 可能存在迁移机会。结合 Reddit 反馈15/ 16，Oracle Identity management 从 12c 升级至 14c 过程相对复杂， Oracle Identity Governance 等模块依赖与 Database/Weblogic Server/Java Development Kit 等模块的集成17，因此 OIG 的升级实际上涉及多个模块的升级与再集成，且 Oracle 支持人员响应缓慢，导致 客户迁移周期延长。此外，IBM/SAP 的身份安全相关产品也陆续于 2026 年 12 月18/2027 年19后停止支持，这类 持续在本地维护的客户基础存在迁移空间。结合 SailPoint 管理层在业绩电话会和 Navigate 大会中暗示采取更多 积极措施推动客户从本地迁移上云，我们认为后续 SailPoint 推出财务激励措施的机会较大，并且有望加速市场 份额整合（尤其是大型企业市场加速上云）。

大中型企业市场仍然存在巨大的迁移空间。管理层在业绩电话会中提到，公司专注于目标客户名单。名单 上大约有 15,000 个客户。这些都是规模较大的客户，通常拥有 5,000 个或更多客户身份信息，年收入达数十亿 美元。他们的业务环境也更加复杂。因此，这正是 SailPoint 的优势所在。目前，公司在该目标客户名单细分领 域的渗透率仅为 14%左右，还有很大提升空间。SailPoint 正在拓展规模越来越大的客户群。公司现在以 Saa S 为 主导，重点推广 SaaS 套件。 在手客户的迁移也处于早期阶段。到目前为止，SailPoint 只迁移了其“维护期 ARR 基础的大约 10%”。 这意味着还有 90% 的庞大本地部署客户群（主要是 IdentityIQ 客户）等待迁移到 SaaS。当这些客户从旧的“维 护”合同迁移到 SaaS 时，SailPoint“通常会看到 2 到 3 倍的 ARR 价值提升”。目前迁移已经贡献了公司 115% 的净收入留存率（NRR）中的“大约 3%到 4%”。FY26Q1，CEO 提到 NRR（115%）有四个驱动因素，而这 15%的净增长中，“大约四分之一”来自迁移，符合此前季度 3-4%的表述。

我们展示了两种计算思路：1）自上而下，参考 Gartner/IDC 等第三方报告预估的行业增速，IGA 市场 2024 年仍有 11.1%的增速，在不考虑 AI 额外贡献的情况下，25-27 年我们预计维持 9-10%的同比增长。在市场增量 中，23-24 年 SailPoint 的份额分别为 60%/40%，若 SailPoint 维持这一比例（40-50%），SailPoint ARR 的增速 FY26-28 有望实现 31%/26%/25%；2）自下而上，考虑过去每年自然迁移增量，未来受益于 AI 带动迁移速度有 所提升，ARR 增速 FY26-28 有望实现 27%/22%/23%。 我们认为绝对增速的预测精准度并非最关键的，目前的彭博一致预期更贴近自下而上的测算结果，而两种 测算的差异在于，自下而上的测算基本是过去趋势的线性推测+少许边际变化，自上而下的测算考虑了行业增长 的周期，IGA 本身处于本地迁移上云的节点（3-4 年本地产品到期后有一轮小迁移周期），另外如果考虑 AI/M L 部署带动的增量，本轮迁移周期的幅度甚至可能高于第三方机构的预测。我们认为这一点是数据反映的潜在预期差。

交叉销售方面，管理层数次提到目前增长最快的是 Non-employee risk management，这款产品针对的是所有 访问系统但未佩戴员工证件的人员，典型案例就是 Snowflake（24 年出现数据泄露事件），这是来自 2023 年 1 月收购的产品 SecZetta23（ZoomInfo 预计 2024 年 ARR 达 1660 万美元）；其次是 2024/10 月发布 MIS 产品，目 前已经有数十家客户采购，贡献 Low millions ARR。FY26Q1，管理层提到 Non-Employee Risk Management / MIS /数据访问安全模块 ARR 均同比增长超过 1x。 关于 Agent/Machine 的机会，FY4Q25 管理层提到“其实在很多情况下，机器已经存在了。虽然不断有新的 事物出现，但环境中已经存在大量的机器身份。客户面临的挑战有时在于如何识别所有这些身份。因此，我们 的产品服务实际上专注于首先发现并识别所有这些身份，以便对其进行分类、分配给所有者，然后按照典型的 身份治理和安全流程进行管理。” Navigate 2025 大会，现有的机器身份安全(MIS)的价格约为典型人类身份成本的 33%。全新基础 AIS SKU 的价格约为典型人类身份成本的 40%。基础 AIS SKU 和高级 AIS SKU 的合并定价与典型人类身份成本相似 (~100%)。将在未来几个季度发布的高级版 AIS (Advanced AIS)。根据 SailPoint 的研究，80%的公司已经在使用 AI 代理，但其中只有 40%的公司有相应的治理措施。差异化优势在于，SailPoint 不仅能做访问层管理，更能深 入到数据授权层，实现“用户-代理-数据”的完整映射。同时，其现有超过 1.25 亿用户的数据库和管理超过 50亿个授权的规模，使其能有效区分人类与机器/代理身份。 为什么 IGA 比 IAM/PAM 更受益于 AI Agent？经典的 IAM（身份识别、SSO、MFA）是为“人”设计的， 人会登录、输入密码、点“同意”。AI Agent 通常不登录，而通过密钥或 token 直接认证，所以传统 IAM 的 SSO/MFA 等工具不适用。但 AI Agent 又比普通机器身份复杂得多，它像机器一样大规模自动运行，同时又像 人一样可以自主决策、自我演化、甚至生成子 Agent，因此企业需要管理 AI Agent 的身份/位置/最小必要权限/ 动态调整特权，这实际上更多涉及 IGA 的领域。

结合自下而上的产品拆分贡献，例如 NERM（主要是 SecZetta）2024 年 ARR 1660 万美元，而同比翻倍预 示着 25 年底（近似对应 FY26 末，于 2026/1/30 结束）3320 万美元以上的 ARR，而 Machine Identity/DAS 维持 100%+增速，这里暂时忽略了 Agentic Identity Security 产品，因此 27-28 年仍然低估 ARR 增速潜力。如果 AI S 产品 FY27 参考 Machine Identity Security 产品的路径达到 Low Million ARR（例如 200-300 万美元），F Y28 达 到 High Millions ARR（例如 700-800 万美元），FY27-28 整体 ARR 增速可以达到 26%/25%。考虑我们从行业增 速/Win Rate 测算时，增量迁移可能带来 4/2pct 增量，此处 AI 驱动的身份安全新产品也可能贡献 4/1pct，也就是 Bull Case FY27-28 增速可能达 30%/26%。

产业链思考：IGA 受益顺序略微滞后 PAM，FY27 可能看到 AI 产品贡献加速

结合前述的业绩轨迹和估值分析，市场当前对 SailPoint 的定价隐含对其“老化”的担忧，认为其在云原生 和 AI 时代面临 CyberArk (PAM 切入)和 ConductorOne(新兴 IGA)的夹击。然而，我们的研究表明，SailPoint 拥 有一个复杂性护城河，并正在通过 SaaS 迁移和机器身份（NHI）构建第二增长曲线。短期看，SaaS 迁移红利 是确定性极高的现金牛。存量客户从本地 IdentityIQ 迁移至 SaaS 带来 2-3x 的 ACV（年合同价值）提升，这 一逻辑将在未来几年持续释放业绩。长期看，SailPoint 的 NERM/MIS/AIS 等产品也有望在 FY27-28 年后贡献 实质性增量，并解决用户体验、部署难度等问题，从而强化扩展性，否则将面临被 CyberArk 边缘化的风险。 如果我们超越个股的视角，从产业链角度思考，DevOps/身份安全/数据灾备等厂商回答的问题是类似的，即 企业部署 AI 后如何应对潜在的风险，例如 Agent 可能未经允许删除生产代码库，或者错误执行代码导致用户数 据泄露，新增权限（Agent 的执行/决策）导致额外的风险敞口。每个环节的厂商都有动机说服客户在原有环节 采购增量 AI Agent 相关产品，例如 GitLab 提出客户在采用 Agent 编写代码/CI/CD 等环节就需要动态管理权限，而 CyberArk 提出企业内 Agent 每次调用数据都涉及额外的安全扫描，SailPoint 提出 Agent 的权限涉及部分临时 凭证，需要动态审计和调整。但是企业实际支出不可能无限制扩张，最终还需要落实到产业链的价值分布变化。

我们必须正视 GitLab 等 DevOps 平台试图在该领域分一杯羹的野心。GitLab 确实可以在 CI/CD 流水线源 头控制 Agent 的权限，但我们认为这将导致 SailPoint 价值的“左移”而非被替代：1）统一策略大脑（Policy Brain）：企业 CIO/CISO 很难接受在 GitLab 定义一套权限规则，在 AWS 定义一套，在 Snowflake 又定义一 套。SailPoint 的机会在于成为跨平台的“策略大脑”，将治理策略通过 API 注入到 GitLab 的流水线中。2）非人 身份（NHI）的爆发点：SailPoint 的机器身份安全（MIS/AIS）和非人身份（NERM）模块，目前在收入占比 中尚小，但战略意义极大。一旦 Agent 大规模部署，传统的工单式授权将彻底失效，SailPoint 的 Atlas 平台提 供的即时（JIT）权限编排能力将成为刚需。 SailPoint 的长期优势在于身份图谱、角色/entitlement 建模、访问评审和审计，天然适合回答“谁是谁、 理论上应该拥有什么权限”，并逐步把“数据访问安全”和 AI Agent 身份纳入进来。结合企业产品发布结 构，其策略是依托身份图谱切入 Data / Access 模块，往深度数据理解走，再叠加实时风险和 AIS 去补轻量化的 PAM 需求。而 CyberArk 起点是 PAM，强项是特权账号、凭据金库、会话监控、JIT 高危访问以及对关键系统 （操作系统、数据库、网络设备、云控制台）的深度控制，天然更适合回答“谁在什么上下文下做了什么高危 动作”。CyberArk 的路径则是由散点整合成面，目前在 “实时风险与高危行为控制”最强，其次通过 Secrets Management、应用身份等扩展一些数据理解和可见度，但在“全量身份图谱 + 数据行列级视角”比 SailPoint弱。

从企业的视角看，对于大型/高安全行业而言，短期最现实的路径仍然是“SailPoint 做 Agent + 数据 + 全 量身份治理” + “CyberArk 做特权和关键路径控制”，在项目和组织层面搭好协作机制，并非一套产品应对 所有问题；中型客户 / 新建设施：如果预算和团队只够深耕一套平台，以“合规 + 大量系统 + 数据视角”为 主的话，SailPoint 更适合当中枢。以“少数关键系统 + 高危运维 + 漏洞利用面”为主的话，CyberArk 的 ROI 更直接。若有明显的监管/合规催化，SailPoint 预计受益敞口更大。 结合 FY26Q1-Q3 NRR 中 Emerging Product 的贡献（Low Single Digit），需要注意 NRR 是连续四个季度加 权平均，也就意味着是一个高度滞后的数据。如果基于我们前述对于 Emerging Product 的预估，FY26Q3 当期按 照披露 NRR 来讲，Emerging Product 大约贡献 NRR 1.35%的拉动，而如果剔除加权平均，实际当期 NRR 可达 1.97%，非常接近 2%，若假设 Emerging Product Q4 继续维持同比翻倍以上的增长，当前 NRR 可上修 2.7-3.0%， 加权后上修 1.8-1.9%。而 FY27 若 Core IGA 维持 24%同比增速（FY26 我们预计 ARR Exit Rate 在 27-29% yoy）， Emerging Product 维持 80-100%增速假设下，当期 NRR 可能从 114%提升至 116%，真正兑现第二增长曲线。

市场正在定价 DevOps 遭受冲击，PAM受益，IGA 中性。与 SailPoint 相比，CyberArk 的 AI 相关产品 ARR 规模更大，Venafi 2024 年的 ARR 预估在 1.66 亿美元，远大于我们预估 SailPoint 的 0.43 亿（至 FY26）。而 GitLab 则更间接一些，AI 驱动的代码生成和开发活动显著提升了平台的使用量，带动了 CI 流水线、部署、发 布等核心指标同比增长 35%-45%，付费大客户的部署和流水线使用量每席位年增 20%-40%，没有直接付费贡献。

我们认为除了 SailPoint NRR 采用加权导致影响滞后体现，叠加合规审计需求相比于 API 调用直接产生收 费等，也有客户结构的原因，例如 CYBR 更高的非美地区敞口，Venafi 2024Q4 在 EMEA 地区签下历史上最大 的订单。但结合前述分析，SailPoint 在 FY27 有望看到 Emerging Product 更显著的贡献，定价上修。短期估值波 动主要受到 1）大股东 Thomas Bravo（持股 86.2%，而目前公司流动股占比 12.3%）减持风险；2）大客户签单 季度间波动，导致增速可见度稍弱。 我们看到 FY26Q3 业绩后公司股价小幅下跌，但总体反应平淡，波动相较于前几个季度明显收窄，本季度 业绩中 SaaS ARR 增速超预期，但 SaaS 收入增速与 ARR 差距扩大，引发市场担忧。业绩会中，CFO 提到 Net New ARR 同比增速 49%，远高于 Net New ARR 的 25%，对应传统 Term License 收入同比增速仅有 13%，反映 公司 SaaS 收入占比可能快速提升，并且可能受 AI 产品驱动（只在 Identity Security Cloud 中提供）。

如果按照 Q4 指引+2%通常超预期幅度，26Q4 SaaS NNARR 增速可达 45%+，隐含了很强的签单趋势，这一 增速超越以往的季节性，多出 2500~3000 万美元，相比于 FY26Q3 多出 1000-1500 万美元进一步提升。考虑到 SaaS ARR = t-1 期 SaaS ARR + t 期 Net New SaaS ARR，且 FYQ4 一般 NNARR 占据全年的 1/3（集中签约）， 因此连续季度 NNARR 高增速将带动 ARR 本身增速提升。当期 Q3 NNARR 增速突增是一个积极信号，但考虑到过往季度也出现过订单提前签约/延迟签约等情况，尚无法直接对应 ARR 加速。但电话会中 CFO 明确提到 Q4 NNARR 增速预计仍然强劲，这超越了过往的季节性，实质上指引连续两个季度 NNARR 维持高速增长。

（本文仅供参考，不代表我们的任何投资建议。如需使用相关信息，请参阅报告原文。）