23个人,两年时间,拿下127家世界500强客户。
3月9日,OpenAI把这支团队收入囊中。交易金额未披露,但Promptfoo的A轮估值已达8550万美元——对于一家安全测试工具公司来说,这个数字本身就是一个信号。
一个更大的问题浮出水面:当AI从聊天框走进企业核心系统,谁来给它上保险?
一、23人团队,如何拿下半个财富500强?
故事要从2024年说起。
那年,前Discord LLM工程负责人Ian Webster和Michael D'Angelo做了一个判断:企业不是不想用AI,是不敢用。不是模型不够聪明,是没人知道它什么时候会"暴走"。
他们造了一把"矛"来检验"盾"——一套开源的AI红队测试工具。用AI攻击AI,在产品上线前把漏洞找出来。
50多种攻击手段,招招致命:提示词注入、隐私泄露、越狱攻击、幻觉输出、SQL注入、工具调用劫持。还有更高阶的玩法——"渐进升级攻击"像温水煮青蛙一样逐步突破AI的防线,"对抗性人设"让测试AI扮演最刁钻的用户。
关键是,它不挑模型。GPT、Claude、Gemini、Llama,来者不拒。
讽刺的是,Anthropic和Google的内部团队也在用它。
两年下来的成绩单:
- 35万开发者,13万月活
- 248位开源贡献者
- 127家财富500强企业客户
- 天使投资人阵容包括Shopify CEO Tobi Lutke、Discord CTO
一个安全测试工具能长这么快,只说明一件事:市场饥渴到了什么程度。
二、一个字:Agent
为什么是现在?为什么非买不可?
2026年,AI行业最大的转向是从"聊天机器人"到"AI员工"。OpenAI的Frontier、Anthropic的Claude Cowork、Google的Gemini Agent——所有头部玩家都在赌同一个方向。
但Agent跟聊天机器人有一个致命区别。
聊天机器人只是回答问题,错了不过是闹个笑话。Agent不一样。它登录你的系统,操作你的数据库,代你发邮件,替你执行交易。出错的代价不是尴尬,是真金白银,是法律责任。
88%的企业在过去一年报告了AI Agent安全事件。超过一半的AI Agent在没有任何安全监控的情况下裸奔。只有34%的企业配备了AI专属安全措施。
Sam Altman自己也没法回避这个现实:"如果我们想大规模部署这些模型,安全问题将变得非常严峻。"
Promptfoo创始人看到的更具体:"对抗性安全测试,就是企业部署AI的最大拦路虎。"
收购完成后,Promptfoo将直接嵌入Frontier平台,变成三层防线:
- 上线前——自动化红队测试,让Agent先扛住"攻击"再见客户
- 开发中——工作流安全评估,逐环节扫描Agent执行链路
- 上线后——运行时风险监控,实时追踪异常行为
Frontier还会叠加合规报告和溯源功能——企业需要向监管证明"我们测过了"。OpenAI B2B应用CTO Srinivas Narayanan的原话:"Promptfoo带来了在企业规模上评估、保护和测试AI系统的深厚工程专长。"
Uber、State Farm、Intuit已经是Frontier客户。埃森哲、BCG、麦肯锡签了多年合约。Promptfoo补上的,是让这些客户敢把Agent放进核心业务的最后一块拼图。
三、四步棋,一盘局
单看这笔收购,是"加固安全"。连起来看,是一整套棋局。
2024年6月,收购协作工具Multi团队——拿人。2025年9月,11亿美元收购Statsig——拿应用开发能力,创始人直接当上应用CTO。2025年12月,不到4亿美元收购Neptune——拿模型治理。2026年3月,收购Promptfoo——拿安全测试。
协作、开发、治理、安全。四步走完,一个企业AI平台的闭环成型了。
纯靠API收费撑不起千亿估值。OpenAI要的是把企业整条AI工作流锁在自己的平台上——从评估到开发到部署到运维,全链路覆盖。迁移成本拉满,才是真正的护城河。
说白了,OpenAI想做AI时代的AWS。
四、开源中立性:最大的悬念
掌声之外,有一个刺耳的问题。
Promptfoo之所以能拿下35万开发者,靠的是一个字:中立。它测GPT,也测Claude,也测Gemini,也测Llama。谁家模型有漏洞,它就戳谁。
现在,这把"矛"被GPT的东家买走了。
你用Promptfoo测出Claude比GPT更安全,OpenAI还会让这个结果公开吗?你基于Llama开发的产品,Promptfoo还会一视同仁地提供支持吗?
OpenAI承诺:开源版本继续维护,许可证不变,多模型支持不变。创始人也表态:"我们会继续打造面向所有AI模型的一流红队工具。"
话说得漂亮。但收购后的开源承诺,科技圈见过太多"后来"了。
对独立AI安全厂商来说,反而是个好消息——"多模型中立性"突然变成了最值钱的差异化卖点。而这恰恰是OpenAI收Promptfoo之后,最难自证的东西。
五、一年六起收购,巨头疯抢AI安全
OpenAI不是唯一动手的。
过去一年的AI安全并购,密集到让人喘不过气:
- Palo Alto Networks吃下Protect AI
- Check Point砸3亿美元买Lakera
- F5收购CalypsoAI
- SentinelOne拿下Prompt Security
- Cato Networks并购Aim
- Tenable收购Apex
六起收购,六家传统安全巨头入局,全部发生在12个月内。
CB Insights把AI Agent安全列入Mosaic评分前10%的部署市场,62%的赛道公司成立不到四年。美国劳工统计局预测,到2028年对抗性AI测试岗位需求激增35%。
OWASP的LLM风险榜单每年都在变长:提示词注入、工具调用劫持、MCP注册表暴露、多Agent消息篡改、持久化记忆投毒……AI每多一项新能力,攻击面就多一层。
每一个部署AI Agent的企业,都是AI安全工具的客户。OpenAI的算盘是:与其让别人赚这笔钱,不如自己建进平台里。
六、下半场的入场券
剥开"加强安全"的表面叙事,这笔收购真正揭示的是一场身份转变——前沿实验室正在变成平台公司。
模型能力的竞争在趋于同质化。各家大模型在主流基准上的差距越来越小,你很难靠"我的模型比你聪明3%"来赢得企业订单。
真正的壁垒在上移:谁的开发工具链最完整,谁的安全保障最可靠,谁的企业集成体验最顺滑。Promptfoo就是这个版图里"安全合规层"的关键一块。
短期,这笔收购帮Frontier平台补齐最后的信任短板。中期,如果OpenAI在安全测试上形成平台级优势,Anthropic和Google势必也要出手——要么自建,要么收购。
AI Agent的竞赛已经进入下半场。上半场比谁更聪明,下半场比谁更可靠。
安全不是成本。是入场券。
