Databricks 收购 Panther Labs：以14亿美元网络安全布局，剑指 CrowdStrike 与 Splunk

本文将深入探讨两家公司的发展历程、此前的技术整合细节、Databricks 近一年来的安全布局，以及这笔交易背后的战略逻辑和它对整个安全信息与事件管理（SIEM）及更广泛的网络安全市场格局的重塑。

公司历史回顾

Panther Labs

Panther 于 2018 年在旧金山成立，其创始人是曾先后在 Airbnb 和 Yahoo 担任安全工程经理的 Jack Naglieri。 在 Airbnb 任职期间，Naglieri 共同创建了开源项目 StreamAlert，这是一个用于实时安全数据分析的无服务器框架，后来被 Netflix、Coinbase 等公司广泛采用。

这段经历让他深刻认识到，传统的 SIEM 平台无法应对云规模级的数据挑战。因此，他选择创办 Panther，将其打造为一个云原生、Detection-as-Code（检测即代码）的平台。该平台能够以 PB 级别摄取和标准化日志，并允许安全团队直接使用 Python 编写检测规则。 公司先后完成了 450 万美元种子轮、2020 年 1500 万美元 A 轮，以及 2021 年 1.2 亿美元 B 轮融资，估值达到 14 亿美元。

Databricks

Databricks 是一家数据和 AI 平台公司，最新估值高达 1340 亿美元。 它成立于 2013 年，率先将 Apache Spark 商业化，并随后开创了湖仓一体（Lakehouse）架构，融合了数据湖的灵活性与数据仓库的可靠性。在备受期待的 IPO 前夕，Databricks 开始大举向网络安全领域扩张，其战略定位是将自身平台打造为安全遥测数据的中央存储库，以及 AI 驱动检测与响应的核心引擎。

Databricks 长达一年的网络安全布局

收购 Panther 并非孤立的举动，而是 Databricks 自 2025 年起一项目标明确、资金充裕的安全市场渗透计划的开花结果。

2025 年 9 月——“Data Intelligence for Cybersecurity”发布及与 Panther 达成合作

2025 年 9 月，Databricks 发布了“面向网络安全的 Data Intelligence”平台。该平台旨在将企业碎片化的安全、IT 和业务数据统一到一个开放的湖仓上，并通过 AI 代理来驱动威胁检测。 Panther 被宣布为该计划的启动合作伙伴，两家公司联手推出了一个 AI 安全运营中心（SOC）平台的私有预览版，使安全团队能够在 Databricks 的 Security Lakehouse 上，直接统一数据并自动化告警调查。

2026 年 3 月——发布 Lakewatch 并收购 Antimatter 与 SiftD.ai

2026 年 3 月 24 日，Databricks 携 Lakewatch 产品正式进入 SIEM 市场。这是一款“开放、代理式 SIEM”，利用由 Anthropic 的 Claude 模型驱动的 AI 代理，实现检测、调查和响应的自动化。 公司将 Lakewatch 定位为 Splunk 和 Microsoft Sentinel 等传统 SIEM 的替代方案，并承诺最多可降低 80% 的成本。

同一时间，Databricks 披露了为夯实 Lakewatch 而进行的两笔收购：一家是 Antimatter，专注于为 AI 代理提供安全的认证与授权；另一家是 SiftD.ai，它带来了来自 Splunk 前工程师的检测工程专业知识。

Panther 收购案：交易细节与战略逻辑

2026 年 6 月 16 日，Databricks 宣布已同意收购 Panther Labs。

交易条款

• 收购价格：未对外公开披露。
• 参考估值：Panther 在 2021 年 B 轮融资时估值曾达 14 亿美元。

战略层面
Databricks 将这笔交易定义为“进一步确立 Security Lakehouse 这一品类”并“交付传统 SIEM 无法做到之事”的关键一步。 官方声明中强调了以下核心动机：

• 引入代理式 SOC 工作流：Panther 的 AI SOC 平台能够使用多个 AI 代理对每一条告警进行分类和调查，大幅减少对人工分析师的依赖。
• 扩展 Databricks 原生的检测能力：Panther 已允许企业在 Databricks 中存储的数据上直接运行实时检测、威胁狩猎和调查，无需移动或复制数据，也无需担忧厂商锁定。
• 超过 100 个开箱即用的集成：Panther 提供的数据连接器、Detection-as-Code 和工作流，可以立即插入 Databricks 的生态系统中。
• 替代传统 SIEM：Databricks 明确将双方融合后的方案定位为传统 SIEM 平台的替代品，在一个统一的安全湖仓之上，落地代理式的检测与响应。

Panther 的官网证实，其平台运行在客户自己的 AWS 账户中，可对接客户的 Snowflake 或 Databricks 环境。安全数据保留在数据仓库内，而检测引擎、工作流和 AI 代理都在数据所在之处就地运行。

竞争格局的影响

Databricks 正在直接挑战一个由两大老牌势力主导的市场：以 CrowdStrike 为代表的端点中心化平台，以及以 Cisco 旗下 Splunk 为代表的数据分析型 SIEM。

对阵 CrowdStrike
多份报道将 CrowdStrike 列为 Databricks 的主要挑战对象。 CrowdStrike 的核心优势在于其强大的端点检测与响应（EDR）传统以及其 Falcon 平台的轻量级代理。而 Databricks 的反击点在于架构：企业不再需要将安全遥测数据路由到第三方云，而是可以在自己已拥有和治理的数据湖上直接运行检测和 AI 驱动的调查。Panther 的加入强化了这一叙事，通过提供 AI SOC 层，实现了在 Databricks 上的原生分类调查自动化。

对阵 Splunk
Cisco 旗下的 Splunk 是 SIEM 和安全分析领域的传统标杆。Databricks 的 Lakewatch 产品以及此番收购 Panther，代表了其将 SIEM 模式从以设备或索引器为核心的架构，转向开放湖仓架构的一次尝试。其核心主张是：客户可以在一个平台上统一安全、IT 和业务数据，将 AI 代理应用于整个数据集，并避免传统 SIEM 带来的数据复制、基础设施开销和厂商锁定等问题。

更广阔的平台战略
Antimatter、SiftD.ai 和如今 Panther 的连续收购，清晰表明 Databricks 并非简单地将安全功能附加到其数据平台之上，而是在构建一个完整的安全技术栈。这个栈覆盖了数据摄取、威胁分析、代理认证以及 AI 驱动的 SOC 自动化。 据 Databricks 称，Panther 的现有客户包括 Anthropic 等 AI 原生公司，这为其在防御最严苛、最前沿环境方面带来了即时的公信力。

尚待解答的问题

根据现有资料，仍有几项关键信息尚不明确：确切的收购价格和交易结构；Panther 是将作为独立产品运营，还是会被整合进 Lakewatch；以及具体的产品上市整合时间表。此外，关于有报道称 Panther 于 2025 年 10 月收购了 Datable 的消息，目前无法从现有资料中得到独立证实。