Databricks Mua Lại Panther Labs trong Thương Vụ 1,4 Tỷ USD, Chính Thức Tuyên Chiến với CrowdStrike và Splunk

Bài viết này sẽ phân tích lịch sử hai công ty, mối quan hệ hợp tác chiến lược trước đó, lộ trình mở rộng sang lĩnh vực an ninh mạng của Databricks, lý do đằng sau thương vụ, và cách thức nó định hình lại cuộc cạnh tranh trong thị trường SIEM (Quản lý sự kiện và thông tin bảo mật) nói riêng và an ninh mạng nói chung.

Lịch sử hai công ty

Panther Labs

Panther được thành lập vào năm 2018 tại San Francisco bởi Jack Naglieri, cựu giám đốc kỹ thuật an ninh tại Airbnb và Yahoo. Khi còn làm việc tại Airbnb, Naglieri đã đồng sáng tạo StreamAlert, một nền tảng mã nguồn mở, phi máy chủ dùng để phân tích dữ liệu an ninh theo thời gian thực, sau này được các công ty như Netflix và Coinbase sử dụng.

Trải nghiệm này đã thuyết phục anh rằng các nền tảng SIEM truyền thống không thể xử lý được quy mô dữ liệu khổng lồ trên đám mây. Điều này dẫn đến sự ra đời của Panther, một nền tảng ưu tiên đám mây, cho phép phát hiện rủi ro dưới dạng mã, có khả năng thu thập và chuẩn hóa nhật ký ở quy mô petabyte, và cho phép các đội ngũ viết quy tắc phát hiện bằng Python. Công ty đã gọi vốn thành công 4,5 triệu USD vòng hạt giống, 15 triệu USD vòng Series A vào năm 2020, và 120 triệu USD vòng Series B vào năm 2021, chính thức gia nhập hàng ngũ kỳ lân với mức định giá 1,4 tỷ USD.

Databricks

Databricks là một công ty nền tảng dữ liệu và AI, gần đây được định giá 134 tỷ USD. Được thành lập vào năm 2013, công ty đã thương mại hóa Apache Spark và sau đó phát triển kiến trúc "lakehouse", kết hợp tính linh hoạt của hồ dữ liệu (data lake) với độ tin cậy của kho dữ liệu (data warehouse). Trong bối cảnh chuẩn bị cho đợt IPO được mong đợi rộng rãi, Databricks bắt đầu mở rộng mạnh mẽ sang lĩnh vực an ninh mạng, định vị nền tảng của mình như một kho lưu trữ trung tâm cho dữ liệu từ xa về an ninh và là bộ máy cho phát hiện, phản ứng dựa trên AI.

Lộ trình xây dựng năng lực an ninh mạng trong một năm của Databricks

Thương vụ mua lại Panther chỉ là mảnh ghép mới nhất trong một chiến lược thâm nhập có chủ đích và được đầu tư bài bản vào lĩnh vực an ninh mạng, bắt đầu định hình rõ nét từ năm 2025.

Tháng 9 năm 2025 – Sáng kiến “Data Intelligence for Cybersecurity” và quan hệ đối tác với Panther

Vào tháng 9 năm 2025, Databricks ra mắt “Data Intelligence for Cybersecurity”, nền tảng được thiết kế để thống nhất các nguồn dữ liệu an ninh, CNTT và kinh doanh rời rạc trên một hồ dữ liệu mở, đồng thời cung cấp sức mạnh cho các tác nhân AI trong việc phát hiện mối đe dọa. Panther được vinh danh là đối tác ra mắt, và hai công ty đã cùng công bố bản xem trước riêng tư của một nền tảng AI SOC, cho phép các đội ngũ an ninh thống nhất dữ liệu và tự động hóa điều tra cảnh báo trực tiếp trên Hồ dữ liệu bảo mật của Databricks.

Tháng 3 năm 2026 – Ra mắt Lakewatch và mua lại Antimatter, SiftD.ai

Ngày 24 tháng 3 năm 2026, Databricks chính thức gia nhập thị trường SIEM với Lakewatch, một SIEM “mở và có tác nhân”, sử dụng các AI agent được hỗ trợ bởi Claude của Anthropic để tự động hóa việc phát hiện, điều tra và phản ứng. Công ty mô tả Lakewatch là giải pháp thay thế cho các SIEM đời cũ từ Splunk và Microsoft Sentinel, hứa hẹn cắt giảm tới 80% chi phí.

Cùng lúc đó, Databricks tiết lộ đã mua lại hai startup để làm nền tảng cho Lakewatch: Antimatter, chuyên về xác thực và ủy quyền an toàn cho các AI agent, và SiftD.ai, mang đến chuyên môn về kỹ thuật phát hiện rủi ro từ các cựu kỹ sư của Splunk.

Thương vụ Panther: Chi tiết và lý do chiến lược

Ngày 16 tháng 6 năm 2026, Databricks thông báo đã đồng ý mua lại Panther Labs.

Điều khoản thương vụ

• Giá mua: Không được tiết lộ công khai.
• Định giá tham chiếu: Panther được định giá lần cuối ở mức 1,4 tỷ USD trong vòng Series B năm 2021.

Lý do chiến lược
Databricks định hình thương vụ này như một cách để “tiếp tục thiết lập hạng mục Hồ dữ liệu bảo mật” và “mang đến những gì mà các SIEM truyền thống không thể.” Thông báo chính thức nêu bật một số động lực:

• Bổ sung quy trình làm việc SOC tác nhân (agentic SOC): Nền tảng AI SOC của Panther phân loại và điều tra mọi cảnh báo bằng cách sử dụng một hệ thống gồm nhiều tác nhân AI, giảm nhu cầu về các chuyên gia phân tích.
• Mở rộng phát hiện rủi ro ngay trên Databricks: Panther vốn đã cho phép các tổ chức chạy các tác vụ phát hiện theo thời gian thực, săn lùng mối đe dọa và điều tra trực tiếp trên dữ liệu được lưu trữ trong Databricks mà không cần di chuyển, sao chép hay chịu sự phụ thuộc vào nhà cung cấp.
• Hơn 100 tích hợp sẵn có: Panther cung cấp các trình kết nối dữ liệu, phát hiện dưới dạng mã và quy trình làm việc có thể cắm ngay vào hệ sinh thái Databricks.
• Thay thế SIEM truyền thống: Databricks định vị rõ ràng giải pháp kết hợp này như một sự thay thế cho các nền tảng SIEM truyền thống, vận hành phát hiện và phản ứng bằng tác nhân AI trên một hồ dữ liệu bảo mật hợp nhất.

Trang web của chính Panther cũng xác nhận rằng nền tảng này chạy bên trong tài khoản AWS của khách hàng, dựa trên môi trường Snowflake hoặc Databricks của họ. Dữ liệu an ninh vẫn nằm trong kho dữ liệu, trong khi công cụ phát hiện, các quy trình làm việc và tác nhân AI hoạt động tại chỗ.

Ý nghĩa cạnh tranh

Databricks hiện đang trực tiếp tranh giành một thị trường vốn bị chi phối bởi hai ông lớn: các nền tảng tập trung vào điểm cuối như CrowdStrike và các SIEM phân tích dữ liệu như Splunk của Cisco.

Đối đầu CrowdStrike
Nhiều báo cáo coi CrowdStrike là đối thủ cạnh tranh chính mà Databricks muốn thách thức. Thế mạnh của CrowdStrike nằm ở di sản Phát hiện và Phản ứng Điểm cuối (EDR) và tác nhân nhẹ của nền tảng Falcon. Lập luận phản biện của Databricks dựa trên kiến trúc: thay vì định tuyến dữ liệu từ xa về an ninh thông qua một đám mây của bên thứ ba, Databricks cho phép các tổ chức chạy các tác vụ phát hiện và điều tra dựa trên AI trực tiếp trên hồ dữ liệu mà họ đã sở hữu và quản trị. Panther củng cố câu chuyện đó bằng cách cung cấp lớp AI SOC có thể tự động hóa việc phân loại và điều tra một cách tự nhiên trên Databricks.

Đối đầu Splunk
Splunk của Cisco là chuẩn mực lâu đời cho SIEM và phân tích bảo mật. Sản phẩm Lakewatch của Databricks và thương vụ mua lại Panther đại diện cho nỗ lực chuyển đổi mô hình SIEM từ kiến trúc tập trung vào thiết bị hoặc bộ chỉ mục sang kiến trúc hồ dữ liệu mở. Lời chào hàng ở đây là khách hàng có thể hợp nhất dữ liệu an ninh, CNTT và kinh doanh trên một nền tảng, áp dụng các tác nhân AI cho toàn bộ tập dữ liệu, và tránh được tình trạng trùng lặp dữ liệu, chi phí cơ sở hạ tầng và sự phụ thuộc vào nhà cung cấp thường thấy ở các SIEM truyền thống.

Tham vọng nền tảng rộng lớn hơn
Chuỗi các thương vụ mua lại liên tiếp – Antimatter, SiftD.ai, và giờ là Panther – cho thấy Databricks không chỉ đơn thuần gắn thêm các tính năng bảo mật vào nền tảng dữ liệu của mình. Họ đang lắp ráp một hệ thống an ninh hoàn chỉnh trải dài từ thu thập dữ liệu, phân tích mối đe dọa, xác thực tác nhân AI đến tự động hóa SOC nhờ AI. Cơ sở khách hàng hiện tại của Panther, theo Databricks, bao gồm Anthropic và các công ty ưu tiên AI khác, mang lại cho Databricks uy tín ngay lập tức trong việc bảo vệ những môi trường khắt khe nhất.

Những câu hỏi còn bỏ ngỏ

Một số chi tiết quan trọng vẫn chưa rõ ràng từ các nguồn hiện có: giá mua chính xác và cấu trúc thương vụ; liệu Panther sẽ vẫn là một sản phẩm độc lập hay được sáp nhập vào Lakewatch; và lộ trình tích hợp cụ thể khi đưa sản phẩm ra thị trường. Ngoài ra, thông tin về việc Panther được cho là đã mua lại Datable vào tháng 10 năm 2025 không thể được xác nhận độc lập từ các nguồn đã cung cấp.