如果你和我一样,对杀毒软件的记忆停留在 Norton 那个黄色盒子、或者电脑右下角时不时弹出来的”您的病毒库已过期”,那你大概也有过这个疑问:这些东西怎么好像突然就不见了?
答案比”Windows Defender 把它干掉了”要复杂一些。杀毒软件没有消失,它经历了一场三向裂变:基础防护沉进了操作系统,消费级产品重新打包成了数字安全套装,而真正的资金和创新转移到了企业安全市场。Norton 本身活得挺好,只是它现在叫 Gen Digital,年收入超过 50 亿美元,正在从”帮你杀毒”转向”帮你管钱”。
Norton 的母公司 Symantec 在 2019 年做了一个关键决定:把企业安全业务以 107 亿美元卖给 Broadcom,自己只保留消费者业务,改名 NortonLifeLock(CNBC)。这一步把 Symantec 一劈为二,企业部分归了芯片巨头,消费者部分成了一个纯粹的”数字安全”公司。
三年后,NortonLifeLock 以约 86 亿美元合并了捷克杀毒软件公司 Avast(PRNewswire)。Avast 是全球最大的免费杀毒软件提供商,有超过 4 亿用户,在欧洲和新兴市场占主导地位。合并后的公司改名 Gen Digital,旗下同时运营 Norton、Avast、AVG、Avira 四个杀毒品牌,外加 LifeLock 身份防盗和 ReputationDefender 网络声誉管理。四个品牌里,Norton、Avast、AVG 现在共用同一个底层检测引擎。
2025 年,Gen 又做了一件看起来和杀毒毫无关系的事:以约 10 亿美元收购了消费金融科技公司 MoneyLion(Gen IR)。MoneyLion 有 1800 万用户,做信用建设、理财管理和金融产品推荐。Gen 的逻辑是:我已经在保护你的设备和身份了,现在帮你管钱是自然的延伸。
这一串操作的结果是:Gen Digital 在 2026 财年营收突破 50 亿美元,增速达到两位数(27%),付费用户 7900 万,总用户超过 5 亿(Gen FY26 Earnings)。它的业务结构大致是七成网络安全和隐私产品,三成身份保护和金融健康服务。股价在 26 美元左右,市值约 158 亿美元,市盈率不到 17 倍。它活得不错,只是不再是你记忆里那个卖杀毒光盘的公司了。
同样的故事也发生在其他消费级杀毒品牌身上。McAfee 在 2022 年被私募基金以 140 亿美元私有化,现在主打 AI 驱动的诈骗检测和深度伪造识别。Kaspersky 在 2024 年被美国政府以国家安全为由全面禁止销售和更新(BIS Final Determination),美国市场份额跌到 3%,但在欧洲和亚洲仍然强势。Trend Micro 的消费者业务持续萎缩,公司增长全靠企业安全。ESET 和 Bitdefender 是少数保持独立的消费级杀毒公司,但规模远不及 Gen。
消费级杀毒软件从”必需品”变成”可选品”,有一个清晰的时间线。
独立测试机构 AV-TEST 的历史数据很能说明问题(AV-TEST Microsoft results)。2014 年到 2015 年中,微软的 Windows Defender(当时还叫 Security Essentials)在防护测试中得分是 0 到 0.5 分(满分 6 分),基本等于没有防护。转折发生在 Windows 10 发布后。到 2016 年中,Defender 稳定拿到 AV-TEST 的认证评级。到 2026 年,Defender 在防护、性能、可用性三个维度全部拿到满分 6 分,被评为”顶级产品”,和 Norton、Bitdefender 等付费产品并列。
换句话说,十年前你不装第三方杀毒软件是在裸奔,现在 Windows 自带的防护对大多数普通用户来说已经够用了。独立测试机构 AV-Comparatives 在 2026 年 5 月的一篇文章里说得比较克制(AV-Comparatives):“对于使用习惯简单的家庭用户,Microsoft Defender 提供了开箱即用的有效防护基线。内置防护和第三方产品之间的差距,比十年前小得多。”
这个变化直接冲击了付费杀毒软件的市场底部。全球消费级杀毒软件的市场规模从 2010 年高峰期的约 80 亿美元,收缩到 2024 年的约 47 亿美元(Credence Research)。Security.org 的年度调查显示(Security.org Annual Report),使用免费杀毒软件的美国用户比例从 2022 年的 52% 上升到 2025 年的 61%,使用付费产品的从 44% 降到 36%。
但市场没有消失,它重新定义了自己。现在的消费级”杀毒软件”实际上是一个数字安全套装:除了基础的恶意软件检测,还包括 VPN、密码管理器、身份防盗监控、暗网扫描、信用监控、家长控制,甚至最高 200 万美元的身份盗窃保险。Norton 360 with LifeLock Ultimate Plus 的年费可以到 300 美元。这些附加功能是 Windows Defender 不提供的,也是付费产品存在的理由。
更宽泛地看,如果把身份保护、VPN、密码管理器这些相关品类都算进去,消费者数字安全市场的规模是 436 亿美元,而且以 9.5% 的年增速在增长(Mordor Intelligence)。杀毒软件没有死,它只是从”病毒扫描器”变成了”数字生活保险”。
你感觉不到病毒和蠕虫的存在,不是因为它们被防住了,而是因为攻击者自己放弃了这种手段。
从技术上说,现代操作系统已经系统性地关闭了病毒和蠕虫赖以传播的通道。ASLR(地址空间布局随机化)让缓冲区溢出攻击变得不可靠,DEP/NX 阻止了代码注入到数据页面,代码签名要求阻止了未签名程序的执行,沙盒机制把每个应用隔离在独立空间里,默认防火墙和自动更新大幅缩小了蠕虫传播的窗口。像 2003 年的 Slammer 蠕虫或 2008 年的 Conficker 蠕虫,在今天的基础设施里几乎找不到可行的传播路径。
从经济上说,病毒和蠕虫不赚钱。它们主要是破坏性的或者炫技性的,不能直接产生收入。而网络犯罪在过去二十年里完成了专业化转型,变成了一个追求投资回报率的生意。攻击者现在用的是能直接变现的手段。
当前威胁格局的核心变化是:攻击不再依赖恶意软件文件。CrowdStrike 的 2025 年全球威胁报告显示,79% 的安全检测事件不涉及任何恶意软件(CrowdStrike 2025 GTR),2026 年这个数字升到了 82%。攻击者获取合法凭证后,以正常用户的身份在网络里横向移动,传统基于文件签名的检测手段对此基本无效。
排名第一的攻击向量是钓鱼和社会工程学。CrowdStrike 的数据显示,语音钓鱼攻击在 2024 年下半年激增了 442%。AI 让钓鱼邮件的质量大幅提升,消除了拼写错误、语法生硬这些传统破绽,还能根据目标的 LinkedIn 资料和泄露数据库自动生成个性化话术。FBI 互联网犯罪投诉中心 2025 年报告记录了超过 100 万起投诉(FBI IC3 2025),其中约 45% 涉及网络欺诈,占报告损失(210 亿美元)的 85%。
排名第二的是勒索软件,但它也已经不是五年前那个”加密你的文件然后要钱”的简单模型了。现在的勒索软件是一个完整的产业生态:Ransomware-as-a-Service(RaaS)让没有技术能力的人也能发起企业级攻击,初始访问经纪人(IAB)专门出售已经攻破的网络入口,附属机构拿 80% 到 90% 的分成。BlackFog 的数据显示,2025 年第三季度 96% 的勒索软件攻击涉及数据外泄(BlackFog),加密本身反而成了次要手段。真正的筹码是公开泄露敏感数据带来的监管罚款和声誉损失。
攻击速度也在急剧压缩。CrowdStrike 的 2026 年报告显示,攻击者从初始入侵到横向移动的平均时间(breakout time)从 2023 年的 62 分钟降到 2025 年的 29 分钟,最快记录是 27 秒。人类速度的响应在这种时间尺度下已经没有意义,这也是为什么 AI 驱动的自动化防御正在成为企业安全的标配。
供应链攻击是影响范围最大的攻击类型。一个供应商被攻破,可以波及数百甚至数千个下游组织。2020 年的 SolarWinds 事件是分水岭,攻击者在 Orion 软件的构建系统中植入后门,约 18000 个组织收到了被污染的更新(Aqua Security)。2025 年的 Salesloft/Drift 事件中,攻击者通过 OAuth 令牌同时进入了 BeyondTrust、Cloudflare、CyberArk、Palo Alto Networks、Qualys、Rubrik、Tenable、Zscaler 等安全公司的客户环境(Hornetsecurity)。同年 F5 Networks 被中国关联的攻击者潜伏超过 12 个月,窃取了 BIG-IP 源代码和零日漏洞报告。
关于 AI 在攻击中的角色,需要做一个重要的区分。AI 目前是现有攻击手段的放大器,而不是一个全新的攻击类别。Verizon 的 2025 年数据泄露调查报告明确指出(Verizon DBIR 2025),攻击者”仍然没有真正使用生成式 AI”,即使用了,“似乎也没有产生多大区别”。唯一的例外是提示注入攻击,这是 AI 时代真正新出现的攻击面。Palo Alto Networks Unit 42 在 2025 年 12 月记录了首个真实世界中的恶意间接提示注入案例(Unit 42),用于绕过 AI 广告审查系统。随着企业部署越来越多的 AI Agent,这个攻击面会持续扩大。
如果你觉得安全行业在萎缩,那是因为消费级杀毒软件是你唯一能看到的部分。你看不到的部分是一个 2340 亿美元的市场,而且以每年 11% 的速度在增长(Persistence Market Research)。
企业安全市场的结构大致是:网络安全占 22%,端点安全约 15%,云安全是增长最快的板块,身份安全约 12%,SIEM/SOAR 约 8%,邮件安全和数据安全各占 5% 到 6%。大型企业贡献了约 68% 的支出,金融服务业单独占了 24%。
最大的玩家不是任何一家纯安全公司,而是微软。微软在 2023 年 1 月披露其安全业务年收入达到 200 亿美元(Dom Kirby analysis),此后没有再公布更新数字,但分析师估计目前已经达到 300 到 370 亿美元。微软的安全产品线覆盖了七个主要板块中的五个:端点(Defender)、邮件(Defender for Office 365)、云(Defender for Cloud)、身份(Entra ID)、SIEM(Sentinel)、数据合规(Purview)。它每天处理 650 亿条安全信号,这个数据体量是任何纯安全厂商无法复制的。
纯安全厂商的格局是:Palo Alto Networks 年收入约 92 亿美元,是最大的独立安全公司,覆盖网络、云和 SOC 三个板块。Fortinet 约 60 亿美元,主攻网络防火墙和 SASE。CrowdStrike 年化收入约 44 亿美元,是端点安全和 XDR 的标杆,尽管 2024 年 7 月的一次传感器更新故障导致全球约 850 万台 Windows 设备崩溃(CrowdStrike Q1 FY26 Earnings),但收入仍然保持了 20% 的同比增长,客户也没有大规模流失。Gen Digital 约 50 亿美元,但它是纯消费者业务,不参与企业市场竞争。
Google 在 2025 年以 320 亿美元收购了云安全公司 Wiz,这是 Google 历史上最大的收购。Wiz 是多云安全平台(CNAPP)的领导者,能同时覆盖 AWS、Azure、GCP 等不同云环境的安全态势。这笔交易在 2026 年 2 月获得了欧盟委员会的无条件批准(EU Commission)。加上 2022 年以 54 亿美元收购的威胁情报公司 Mandiant,Google 正在构建一个完整的安全产品矩阵。
企业安全市场增长的核心驱动力不是”攻击变多了”这个笼统的说法,而是几个具体的机制在同时发力。第一,监管合规把安全支出从”可选的”变成了”必须的”。欧盟的 NIS2 指令覆盖了 18 个关键行业的 16 万个实体,DORA 法案要求所有欧盟金融机构进行 ICT 风险管理,SEC 的网络安全披露规则让董事会成员对安全事件承担个人责任。第二,网络保险市场从 2024 年的约 150 亿美元预计增长到 2027 年的 290 亿美元(Security.org),保险公司越来越强制要求客户部署特定安全产品(MFA、EDR、备份测试)作为承保条件,这等于创造了一个事实上的监管层。第三,AI 的采用创造了新的攻击面,68% 的 CFO 预计 IT 支出会增加,58% 预计安全支出会增加(Grant Thornton)。
平台化是这个市场正在发生的另一个重要趋势。企业平均使用 76 个安全工具(Decryption Digest),这些工具各自产生独立的告警流,让安全运营中心的分析师不堪重负。越来越多的企业正在向一两个平台厂商集中,同时保留两三个关键领域的独立工具。典型的组合是:微软负责端点和身份,Wiz 负责云安全,Zscaler 负责网络安全。CrowdStrike 的 2024 年宕机事件反而强化了”不能把所有鸡蛋放在一个篮子里”的论点,很多企业因此刻意保持至少两个端点安全厂商。
回到开头那个问题:杀毒软件去哪了?
它分成了三层。最底下那层,基础的文件扫描和恶意软件检测,沉进了操作系统,变成了你不需要单独购买的东西。中间那层,消费级安全产品,从”杀毒软件”重新打包成了”数字安全套装”,把 VPN、密码管理、身份监控、信用保护捆在一起卖,因为单卖病毒扫描已经卖不动了。最上面那层,真正的资金、人才和创新,全部转移到了企业安全市场,那里有 2340 亿美元的规模、11% 的年增速,以及从端点、云、身份到 AI 安全的完整技术栈。
Norton 的故事是这个转型的缩影。它从 Symantec 的消费者部门,变成 NortonLifeLock,合并 Avast 后变成 Gen Digital,收购 MoneyLion 后开始做金融科技。它的年收入从 2019 年的约 25 亿美元增长到 2026 年的 50 亿美元,股价三年涨了 47%。它没有消失,它只是不再像你记忆里那个卖黄色盒子的公司了。
安全威胁也没有消失,只是形态变了。病毒和蠕虫被操作系统层面的技术改进和经济激励的转移共同淘汰了。取代它们的是不需要恶意软件文件的凭证攻击、工业化运营的勒索软件即服务、以及通过合法软件更新渠道传播的供应链后门。攻击者不再是写病毒的少年黑客,而是有附属机构分成计划、有初始访问经纪人市场、有自动化谈判工具的专业犯罪企业。
安全行业整体在经历一个悖论式的增长:你作为普通消费者感受到的安全产品越来越少,但整个行业的花费和规模在持续膨胀。它只是搬到了你看不见的地方,企业数据中心、云控制台、安全运营中心的大屏后面。那里正在发生的事,比黄色盒子里的光盘要复杂得多,也大得多。
本文基于 2026 年 6 月的公开数据调研。关键来源包括:Gen Digital 投资者关系页面和 FY26 财报、AV-TEST 和 AV-Comparatives 独立测试数据、CrowdStrike 2025 和 2026 年全球威胁报告、Verizon 2025 年数据泄露调查报告、FBI IC3 2025 年报告、Persistence Market Research 网络安全市场报告、Security.org 年度消费者调查、以及 Palo Alto Networks Unit 42、BlackFog、Panorays 等机构的威胁情报分析。