C CrowdStrike 在 AI 产业链中把端点、身份、云、日志和威胁情报数据沉淀为 Falcon 安全 AI 平台,并用 Charlotte AI 提升安全运营效率,受益于企业安全工具整合和 AI 攻防升级,但受平台事故信任修复、微软捆绑竞争和安全预算节奏约束。
谁在建仓 CRWD:全市场机构的钱怎么站队
最新一季 · 2026Q12,044 家 13F 申报机构披露持有它,占全市场约 23.4%;本季 +104 家加注。
口径=全市场 13F 季度申报聚合(8,741 家申报机构为分母)· 仅呈现机构持仓事实与季度变化,非买卖建议、不构成目标价 · 完整持有人名单 · 逐家调仓 diff · 资金视角 →
真财报 + 13F + 信号
SEC XBRL · 截至 2026-06-20- 聪明钱会看 Falcon 是否从端点入口持续扩张到 SIEM、云、身份和暴露管理,并维持高模块叠加率。
- 关键观察点是 Charlotte AI 的真实 SOC 使用深度、客户信任修复进展、微软捆绑竞争影响以及大型客户续约质量。
- 公司通常不会单独披露 Charlotte AI 的收入,外部只能通过客户案例、模块采用和管理层表述判断 AI 商业化质量。
- 安全平台采购受事故、合规、预算审查和供应商整合影响很大,短期订单波动不一定等同于长期技术位置变化。
- ✓FY2026 FY 毛利率 74.7%,毛利 US$3.6B
- ✗FY2026 FY 营业利润率 -6.1%,营业利润 -US$293.3M
- ✗FY2026 FY 净利率 -3.4%,净利润 -US$162.5M
- ✓FY2026 FY FCF US$1.3B
AI 收入结构
CrowdStrike 在AI产业链依赖谁、被谁依赖、和谁竞争?
上游 / 下游 / 竞品-
Amazon Web Services -
Microsoft Azure -
Google Cloud -
NVIDIA -
ServiceNow
-
大型企业 IT 与安全团队 -
金融机构 -
云原生企业 -
政府与公共部门 -
托管安全服务商
-
Microsoft Security -
Palo Alto Networks -
SentinelOne -
Trend Micro -
Cisco
CrowdStrike 靠哪些产品/平台支撑营收?
含收入贡献 / 量产状态Falcon Prevent / Insight XDR
端点防护与检测响应Charlotte AI
安全运营生成式 AI 助手Falcon Cloud Security
云工作负载与云安全态势管理Falcon Identity Protection
身份威胁检测与权限风险防护Falcon Next-Gen SIEM
安全数据湖与日志分析平台Falcon Complete
托管检测与响应服务| 口径 | FY2025Q1 | FY2026Q2 | FY2026Q3 | FY2027Q1 |
|---|---|---|---|---|
| 收入 | 1.103 | 1.169 | 1.234 | 1.386 |
| 毛利 | 0.814 | 0.859 | 0.926 | 1.043 |
| 营业利润 | -0.125 | -0.113 | -0.069 | -0.031 |
| 净利润 | -0.11 | -0.078 | -0.034 | 0.028 |
| FCF | 0.298 | — | — | 0.493 |
缺失期项以 — 表示,未用估算填充。
供应链上每个环节的上行/下行情景是什么?
·端点遥测数据
依赖依赖 Falcon 代理在 Windows、macOS、Linux、服务器和云工作负载上的稳定部署与高覆盖率。
安全数据湖与日志摄取
依赖依赖大规模日志、身份、云、端点和第三方安全数据的低成本摄取、索引和查询。
AI 检测与 Charlotte AI
依赖依赖威胁情报、行为模型、自然语言交互、自动化处置建议和可解释审计能力。
云与身份安全
依赖依赖对 AWS、Azure、Google Cloud、Kubernetes、SaaS 身份和权限关系的持续覆盖。
渠道与托管服务
依赖依赖 MSSP、系统集成商、云市场和事件响应伙伴把 Falcon 部署到更多企业。
安全预算与平台整合
依赖依赖企业 CIO、CISO 将碎片化安全工具合并到少数平台的采购趋势。
谁在公开披露里持有 CRWD?
完整历史 = Pro| 持有主体 | 披露市值 | 权重 | 来源 · as_of |
|---|---|---|---|
B BlackRock, Inc. | US$8.3B | 0.1% | SEC 13F · 2026-03-31 |
V VANGUARD CAPITAL MANAGEMENT LLC | US$6.2B | 0.2% | SEC 13F · 2026-03-31 |
S STATE STREET CORP | US$4.3B | 0.2% | SEC 13F · 2026-03-31 |
S SUSQUEHANNA INTERNATIONAL GROUP, LLP | US$3.5B | 0.4% | SEC 13F · 2026-03-31 |
M MORGAN STANLEY | US$2.6B | 0.2% | SEC 13F · 2026-03-31 |
V VANGUARD PORTFOLIO MANAGEMENT LLC | US$2.4B | 0.1% | SEC 13F · 2026-03-31 |
A ARK ARKF/ARKW | US$56.6M | 4.5% | ARK日频 · 2026-06-23 |
和主要同业的定位差在哪?
·| 公司 | 定位 | 关键差异 |
|---|---|---|
| 以 Falcon 为核心的端点、XDR、云、身份、威胁情报、SIEM 和安全 AI 平台。 | 优势在轻量代理、大规模遥测、威胁情报闭环和多模块平台化,AI 建立在安全数据图谱和 SOC 工作流上。 | |
| 企业基础软件生态内置安全平台。 | 最大优势是 Windows、Azure、Entra、M365 和 E5 捆绑;CrowdStrike 的差异在跨平台独立性和专业安全运营深度。 | |
| 网络安全、云安全和 Cortex 安全运营平台。 | 平台覆盖从网络到云更宽,适合已有 Palo Alto 网络安全客户;CrowdStrike 更强于端点遥测和 XDR 起点。 | |
| AI 驱动端点安全与 XDR 平台。 | 强调自动化处置和端点 AI,和 CrowdStrike 正面竞争;CrowdStrike 的优势在客户规模、威胁情报和模块化扩张。 | |
| 传统端点、服务器、云和邮件安全平台。 | 渠道和历史客户基础深,但平台叙事与现代 SOC 数据湖能力相对 CrowdStrike 不同。 | |
| 网络、安全、身份、可观测性和企业基础设施组合平台。 | 强在网络入口和企业客户关系;CrowdStrike 更专注云原生端点与威胁检测响应。 |
什么公开信号会推翻当前叙事?(反证阈值,非预测)
- ⚠公司公开披露净新增 ARR、模块采用率或大客户扩张持续明显走弱,并将原因指向 Falcon 平台竞争力或客户信任问题。
- ⚠多个大型客户公开从 Falcon 迁移到 Microsoft Defender、Palo Alto Cortex 或 SentinelOne,且迁移理由集中在成本、稳定性或集成深度。
- ⚠Charlotte AI 在公开客户案例中长期缺乏可量化 SOC 效率改善,仅作为自然语言查询或告警摘要工具存在。
- ⚠Falcon 代理再次发生广泛可见的稳定性或可用性事故,并引发客户部署暂停、合同审查或监管关注。
- ⚠Microsoft Copilot for Security、Defender、Sentinel 和 Entra 形成强绑定采购,使独立 XDR 和 SIEM 平台在企业招标中明显失分。
- ⚠公司为支撑 AI、日志摄取和数据湖查询承担的云基础设施成本显著上升,导致平台扩张与盈利能力出现公开冲突。
为什么是这门生意:产业链位置 / 护城河 / 竞争 / 误读纠偏
产业链位置
CrowdStrike (CRWD) 在 AI 产业链里不是算力、模型或能源公司,而是企业 AI 采用的“安全控制层”:它负责保护终端、云工作负载、身份、SaaS、数据、AI 应用和安全运营中心,把 AI 时代更快、更分布式的攻击面转化为可观测、可检测、可响应的安全工作流。公司在 2026 年 10-K 中把 Falcon 描述为云原生平台,利用数据和 AI 提供自动化保护,并为威胁狩猎提供情报,以阻止复杂攻击,包括 malware-free 和 fileless 攻击。2026 10-K
因此,CRWD 的产业坐标更接近 chain-app / security infrastructure / AI-era cyber defense。AI 对它的传导不是“模型调用越多,业务量机械增长”,而是企业把更多代码、身份、数据、客服、开发、运维和业务流程交给 AI agent 后,安全边界从传统终端扩大到云、身份、SaaS、提示词、模型、agent 行为和数据流。CrowdStrike 官网把 Falcon 定位为统一 endpoint、identity、cloud、SaaS 和 AI protection 的 AI-native 平台,用于提供可见性、实时情报和自动化响应。Falcon platform
这个位置的关键在于“AI 双重性”:AI 一边提高攻击者自动化、社工、侦察和横向移动效率,另一边也成为企业自身需要保护的新资产。CrowdStrike 2026 Global Threat Report 称,2025 年 AI-enabled adversaries 攻击增加,malware-free 检测占比高,并且攻击者会利用合法身份、SaaS、云基础设施和 AI 工具来隐藏在正常活动中。2026 Global Threat Report 这使 CRWD 的长期价值不在单一 EDR 产品,而在跨域遥测、威胁情报、身份上下文和自动化处置能否形成统一防线。
产品与业务
CrowdStrike 的核心产品是 Falcon 平台。它以云端安全数据平台、轻量级传感器、威胁情报、AI/自动化和模块化订阅为基础,把多个安全功能放进同一控制台。10-K 披露,公司主要通过订阅销售 Falcon 平台模块,并通过专业服务帮助客户部署、响应事件和提升安全成熟度;这说明它的业务形态本质是企业安全 SaaS + 托管/专业服务,而不是一次性软件授权或硬件盒子。2026 10-K
第一层产品是 endpoint security 与 EDR/XDR。终端仍是企业安全的高频入口,因为员工电脑、服务器、虚拟机、开发设备和云工作负载都会成为攻击者立足点。CrowdStrike Endpoint Security 页面强调 AI-powered protection、detection and response,并将终端防护与 adversary intelligence 结合。Endpoint Security 终端不是旧时代产品;在 AI 时代,终端是员工使用 AI 工具、复制敏感数据、运行自动化脚本、访问 SaaS 和触发身份授权的交汇点。
第二层是 cloud security。Falcon Cloud Security 覆盖从 code 到 runtime 的云风险,组合 agentless visibility、Falcon sensor、实时检测、AI-driven insights 和自动化响应,并把云控制面、工作负载、身份、漏洞和应用依赖纳入同一分析框架。Falcon Cloud Security 对 AI 产业链而言,云安全尤其重要:模型训练、推理、数据湖、向量数据库、MLOps、AI agent 后端和企业应用越来越多运行在多云与 Kubernetes 环境里,错误配置、凭证泄露和供应链漏洞会直接变成 AI 数据与模型风险。
第三层是 identity、SIEM、LogScale/Onum、Charlotte AI、managed services 和 AI security。Falcon Identity Protection 面向混合身份环境,强调把身份、终端和数据保护关联起来,阻止横向移动。Identity Protection Falcon Next-Gen SIEM 则把安全数据、搜索、检测、调查、SOAR 和 agentic SOC 放在一起,试图替代传统 SIEM 的高成本、低效率和数据割裂。Next-Gen SIEM 这些模块共同构成从“发现攻击”到“组织安全运营”的平台化扩张路径。
上下游分析
CRWD 的上游不是传统制造供应链,而是企业安全数据、云基础设施、操作系统与生态接口。最重要的原材料是高质量遥测:终端事件、进程、文件、网络连接、身份登录、云控制面、容器、SaaS、日志、威胁情报和第三方安全信号。Falcon 的价值取决于这些数据能否被低延迟采集、标准化、关联和反馈到检测模型中。10-K 对 Falcon 的描述强调单一平台、云原生架构、AI、威胁情报和自动化保护,本质是在说明数据网络与工作流闭环是上游能力。2026 10-K
另一类上游是平台依赖:Windows、macOS、Linux、AWS、Azure、Google Cloud、Kubernetes、Okta/Microsoft Entra、ServiceNow、Jira、Slack、数据仓库和各类安全工具。CrowdStrike 必须持续适配操作系统内核、云 API、身份协议、日志格式和企业变更流程。2024 年 Windows 内容更新事故说明,端点安全公司拥有极高权限,也承担极高可靠性责任;长期产业逻辑不能只看检测率,还必须看发布治理、回滚机制、客户信任和系统韧性。
下游是大型企业、中型企业、政府、金融、医疗、制造、科技、零售、教育、MSSP/MSP、系统集成商和云市场。公司 10-K 披露其通过直销以及 resellers、distributors、MSSPs、MSPs 和 GSIs 等渠道服务客户。2026 10-K 在 AI 产业链中,下游需求来自两条线:一条是传统数字化资产继续扩张,攻击面变大;另一条是 AI agent、开发助手、自动化客服和生成式 AI 应用进入生产系统后,企业需要新的可见性、治理和防护。
生态侧,CrowdStrike 也在把安全平台变成合作入口。公司与 AWS、NVIDIA 扩大全球 Cybersecurity Startup Accelerator,面向 AI-driven cloud security 和 agentic AI innovation 提供生态支持。AWS/NVIDIA accelerator 这类合作不等于商业结果已经确定,但说明 AI 安全正在从单点工具变成云、GPU、创业公司、渠道和安全平台共同争夺的生态层。
同业竞争格局
CRWD 的竞争不是单一 EDR 厂商对比。终端与 XDR 层面,它面对 Microsoft Defender、SentinelOne、Palo Alto Networks Cortex、Trend Micro、Sophos、Trellix、Broadcom/Symantec 等;云安全层面,对手包括 Palo Alto Prisma Cloud、Wiz、Check Point、Zscaler、Lacework/FortiCNAPP 等;SIEM/SOC 层面,对手包括 Microsoft Sentinel、Splunk/Cisco、Google Chronicle、Elastic、Datadog Security、Securonix、Exabeam 等;身份安全还会碰到 CyberArk、Okta、Microsoft、SailPoint 等生态。
竞争变量可以拆成四组。第一是检测与响应质量:能否在低误报下识别 malware-free、identity-based、cloud-native、supply-chain 和 AI-assisted 攻击。第二是平台广度:客户是否愿意把 endpoint、cloud、identity、SIEM、日志、数据保护和 AI security 合并到一个供应商。第三是数据经济性:SIEM 和日志产品的核心痛点是摄取成本、存储成本、搜索延迟和数据重复。第四是可靠性与信任:安全软件位于系统核心,一次错误更新可能造成大范围业务中断,客户会把产品质量和运营治理纳入采购标准。
CrowdStrike 的相对位置是“EDR 起家、平台扩张、AI-native 安全运营”。它比传统 SIEM 厂商更贴近终端和威胁情报,比单点 EDR 更强调云、身份、日志和 agentic SOC,比纯云安全公司更有端点安装基础。Falcon Next-Gen SIEM 已开始支持第三方 EDR,先从 Microsoft Defender 开始,目标是让客户在不替换现有 endpoint agent 的情况下,把异构数据纳入 Falcon 安全运营中心。Third-party EDR for SIEM 这反映其竞争策略从“替换单点工具”扩展到“成为安全数据和响应控制面”。
护城河
CRWD 的第一层护城河是遥测数据与威胁情报闭环。安全模型的质量依赖真实世界攻击数据、误报反馈、响应结果和专家标注;Falcon 覆盖的终端、身份、云和日志信号越多,越容易训练和验证跨域检测。CrowdStrike 2026 Global Threat Report 称其威胁研究来自 Counter Adversary Operations,跟踪大量 adversaries,并用这些情报支持主动威胁狩猎。2026 Global Threat Report 这种前线情报与产品遥测结合,是普通规则库难以复制的资产。
第二层是平台整合与模块扩张。客户部署安全工具后,真正昂贵的是集成、规则维护、告警分流、人员培训和事件响应流程。Falcon 如果能用同一数据层承接 endpoint、cloud、identity、SIEM、SOAR、threat hunting、managed detection 和 AI security,就能降低客户切换意愿。官网把 Falcon 描述为统一 AI-ready data、mission-ready agents 和 expert operations,用于自动化工作流和提高分析师效率。Falcon platform 这类护城河不是某个功能按钮,而是“数据 + 控制台 + 工作流 + 人员习惯”的复合粘性。
第三层是品牌信任与事件响应能力。网络安全采购高度依赖信任,尤其是金融、政府、医疗和关键基础设施客户。CrowdStrike 既提供产品,也提供 incident response、threat hunting 和专业服务;这些服务帮助其进入高价值客户现场,形成对攻击者、环境复杂度和客户痛点的直接理解。安全公司的护城河往往来自危机中的表现,而不是营销页上的功能清单。
第四层是 AI 安全延展。CrowdStrike 2025 年宣布收购 Pangea,目标是把 AI prompt-layer protection、AI Detection and Response、AI agent 与 workforce AI usage 的治理纳入 Falcon。Pangea acquisition 这里的长期逻辑是:当企业 AI 从聊天框进入代码、数据、SaaS 和自动化流程,安全平台需要同时保护模型运行环境、身份权限、数据外流、提示词注入、agent 行为和合规审计。CRWD 的优势在于已有 endpoint、cloud、identity 和 SOC 控制面;挑战在于 AI security 市场仍早期,标准、预算和胜出架构尚未完全稳定。
误读纠偏
误读一:CRWD 只是 EDR 公司。纠偏:EDR 是起点,但 Falcon 已扩展到 endpoint、cloud、identity、Next-Gen SIEM、日志、managed services、数据保护和 AI security。长期研究应看平台化渗透和安全运营控制面,而不是只看一个终端模块。
误读二:AI 会自动替代网络安全软件。纠偏:AI 会提高部分检测、调查和响应效率,但它也扩大攻击面、压缩响应时间,并让 prompt injection、AI agent 权限、模型供应链和 shadow AI 成为新问题。AI 更像安全平台的加速器和新战场,不是简单替代品。
误读三:网络安全需求只由“黑客更多”驱动。纠偏:真正的结构性驱动是企业架构变化:多云、远程办公、SaaS、身份即边界、API、开发者供应链、AI agent 和数据流自动化。攻击者只是沿着这些新边界寻找最弱处。
误读四:平台整合一定无风险。纠偏:整合能降低工具碎片化,但安全平台权限高、覆盖广,也意味着质量事故、配置错误、误报漏报和供应商集中风险更高。CrowdStrike 的长期护城河必须同时包含检测能力、产品可靠性、发布治理和客户信任。
误读五:CRWD 是纯 AI 概念股。纠偏:它使用 AI,也服务 AI 时代的企业安全,但核心仍是网络安全平台公司。产业逻辑应放在“AI 让攻击和防守都加速,企业需要统一安全数据与响应系统”,而不是把它等同于模型、GPU 或通用 AI 应用公司。
仅保留不随行情过期的产业逻辑章;时效性内容(最新财务/估值/事件)以上方财报与前瞻块为准(实时)。深度叙事刷新中。
墙后是 CRWD 背后的完整思想 + 逐机构证据
上方免费给了判断 + 转向雷达 + 审判室 scoreboard + 各 1 条样本;墙后 = 完整前瞻逻辑 + 逐机构 13F 证据轨 + 产业深析 6 章。往下选一档解锁:







































































- 先评估覆盖 · 再单独立项:你点名一个对象——一个人(投资人 / 机构 / 分析师 / 高管)或一家公司 / 标的——我们先评估其公开数据覆盖与可采源,确认能追踪后单独立项、架设专属投研席位;踪迹不足会直说做不了,不硬凑。
- 按对象适用性启用机构级方法:13F 持仓 · Form4 内部人 · 13D-G 举牌 · 公开发声 · 跨源交叉验证 · 命中率台账——适用于 SEC 可覆盖对象;不适用的项以替代证据或缺口说明如实交付,与追踪 43 位聪明钱同一条投研流水线。
- 持续盯守 · 证据可回溯:人工 / 半自动每周投研简报 + 重大信号经人工确认后工作日提醒 + 证据链归档(本地 JSON / Markdown / SEC 链接),可回溯复盘「当时凭什么这么判」。
- 只对你一人开放:追踪口径、提醒规则、交付形式按你的决策需求定制;不进公共库、不共享。
本页整合公开披露/SEC 真财报 + 独立深度研究与我们的跨源交叉验证;仅供研究学习,不构成投资建议、无估值/目标价;个人观点与战绩自报未经审计;提及不等于持仓;站内内容为中文转化式整理,继续深问请用 AI 对话或站内观点流。