估值 01
1500 USD M [CO022, CV001] 尽调报告
Upwind Security
以运行时为先的云安全公司,需求验证强,但公开价格证据仍不完整
Upwind 具备战略相关性,商业化也真实;但当前 $1.5 billion 估值已经跑在公开记录能支撑的证据前面。建议:在私募尽调补齐 ARR、留存、利润率和股权结构缺口前,继续研究。
封面要素
公司概况
Upwind Security 是一家私营、以运行时为先的云安全公司,由 Spot.io 团队创立。平台覆盖 CNAPP、运行时检测与响应、漏洞优先级排序、API 安全、AI 安全,以及面向企业云运营方的相邻云安全工作流。公开证据支持其动能较强:2026 年 1 月以 $1.5 billion 估值完成 $250 million Series B 轮融资,累计披露融资 $430 million,员工超过 300 人,已有具名企业客户,产品范围也在扩大。仍然缺失的是支撑这套叙事的财务质量层。
- 创始人
- Amiram Shachar, Lavi Ferdman, Liran Polak, Tal Zur
- 创立地点
- San Francisco, California
- 总部
- San Francisco, California
- 产品
- Upwind 销售一个以运行时为先的云与 AI 安全平台,把态势、应用安全、运行时检测与响应、可利用性驱动的漏洞管理、API 安全和相关工作流自动化整合在同一平台上。
- 客户
- 面向运行重要云和 Kubernetes 足迹的企业云、平台工程、DevSecOps 和安全团队;公开证据包括大型企业和云原生软件公司。
- 商业模式
- 通过演示驱动、议价式订阅销售企业软件,收入随相邻模块扩张,并有部分渠道辅助分销。
- 阶段
- Series B
- 融资情况
- 2022 年种子轮,2023 年 $50M 融资,2024 年 12 月以 $900M 估值完成 $100M Series A 轮,2026 年 1 月以 $1.5B 估值完成 $250M Series B 轮;累计披露融资 $430M。
执行摘要
主要优势
- 以 runtime 为先的产品定位,并向 CNAPP、威胁检测、API、AI 和漏洞工作流扩展成更宽平台。
- 企业客户证据可见,包括具名 logo、案例研究,以及生产部署中的公开结果声明。
- 新融资和品类热度给公司争取了时间和战略可选性,而不是马上面对融资压力。
- CNAPP 品类大且仍在增长;主要云安全整合活动也显示,战略退出兴趣可信。
主要风险
- ARR、留存、毛利率和烧钱速度仍未披露,因此当前私募估值缺少公开经济支撑。
- 竞争正在向代码-云-runtime 一体化平台收敛,任何单一功能护城河的耐久性都会被削弱。
- 定价和渠道经济不透明,难判断增长质量是否真有 headline 信号那么强。
- 优先权悬挂以及老股 / 新股 mix 未知,投资人回报数学可能与 headline 估值大幅不同。
未决问题
- 当前 ARR、bookings、NRR、流失率和客户集中度仍属私密信息。
- 毛利率、烧钱速度、现金跑道和服务收入 mix 仍属私密信息。
- Series B 股权结构、清算优先权和任何老股成分仍属私密信息。
- 当前精确客户数和续约质量仍未在公开记录中核对清楚。
目录
01公司概况
1.1 身份、运行时逻辑与地域足迹
Upwind Security 把自己定位为下一代云与 AI 安全平台,核心围绕运行时上下文,而不是静态态势快照。公司官网、产品页、投资人评论和后续融资报道都延续了这一身份。核心叙事是:现代云安全团队要先弄清生产环境里什么真正在运行、暴露、可触达、彼此连接,才可能聪明地排序风险。创始故事重要,因为它解释了公司为何选择这条路线。Upwind 由 Amiram Shachar、Lavi Ferdman、Liran Polak 和 Tal Zur 于 2022 年创立;同一团队此前打造 Spot.io,并在 2020 年以大约 $450 million 价格出售给 NetApp。公司公开材料把总部锚定在 San Francisco,投资人与融资来源也显示其从一开始就在 Israel 有运营足迹,包括 Tel Aviv 的早期团队集中度以及美国运营。这种双重足迹后文很重要,因为它同时支撑工程深度和全球 GTM 覆盖;但现有公开来源对总部身份的证据,仍强于对法律实体和各办公室地图的精确披露。[CO001, CO002, CO003, CO004, CO005, CO006]
| 指标 | 数值 / 状态 | 日期 / 锚点 | 置信度 | 缺口 / 注意事项 |
|---|---|---|---|---|
| 成立 | 2022 | 历史 | 中 | 来源对年份说法一致,但当前公开材料更强调团队履历,而不是公司注册细节。 |
| 总部 | San Francisco, California | 2026-05-21 | 中 | 公开来源把总部锚定在 San Francisco;运营足迹也覆盖 Israel 和其他地区。 |
| 创始团队 | Amiram Shachar、Lavi Ferdman、Liran Polak、Tal Zur(创始人) | 2022 | 中 | 四位创始人在融资和投资人报道中都有充分支撑。 |
| 核心论点 | 运行时优先的云安全 | 2026-05-21 | 中 | 该定位由公司定义,并被投资人和新闻报道广泛复述。 |
| 最近一轮 | $250M Series B | 2026-01-26 | 中 | 金额和阶段已公开;详细条款未公开。 |
| 估值 | $1.5B | 2026-01-26 | 中 | 公开来源支持标题估值,但不支持其背后的收入基数。 |
| 累计融资 | $430M | 2026-01-26 | 中 | 当前公开融资总额取决于留存的 30 + 50 + 100 + 250 序列。 |
| 员工 | >300 | 2026-01-26 | 中 | 目前没有公开的经审计员工数。 |
| 客户 | 数百万工作负载;具名客户 logo 已公开 | 2026-01-26 | 中 | 公司披露了许多 logo 和增长率,但没有披露精确的当前客户数。 |
| 公开财务披露 | 有限 | 2026-05-21 | 高 | 未留存经审计的 ARR、收入、毛利率、NRR 或定价表。 |
这张快照混合了公司声明、投资人评论和独立新闻。类似 null 的缺口被表述为披露限制,而不是零值。
[CO001, CO002, CO005, CO007, CO018, CO019]创始人履历、runtime-first 产品设计、企业客户与快速融资节奏如何共同支撑当前公司故事。
[CO003, CO004, CO005, CO006, CO022, CO023]1.2 领导层、董事会与治理可见度
领导层可见度相对较强,治理透明度只算部分充分。Upwind 官方材料明确列出 Amiram Shachar 为联合创始人兼 CEO,Tal Zur 为 CTO,Lavi Ferdman 负责增长。公开领导层名单也显示,其高管梯队比早期创业公司通常呈现的更完整,包括 Tomer Hadassi、Rinki Sethi、Nadav Naor、Dan Yahav、Max Stevens,以及多位产品和人力负责人。这种厚度重要,因为它说明公司在按规模化配置组织,而不是只靠创始人销售故事运转。公开董事会披露更薄。About 页面展示了 Gili Raanan(Cyberstarts)、Saam Motamedi(Greylock)和 Gideon Hayden(Leaders Fund)等关键投资人声音,足以证明投资人质量和董事会层面的参与。不过,保留来源没有给出独立董事、委员会或正式治理控制的完整图景;当一家私营公司估值达到 $1.5 billion 后,这个缺口更重要。因此治理图景是混合的:创始人-市场匹配和投资人一致性很强,但正式监督结构的公开可见度仍有限。[CO010, CO011, CO012, CO013, CO014, CO015]
| 人物 | 当前公开角色 | 背景 / 职能覆盖 | 关键人物依赖 |
|---|---|---|---|
| Amiram Shachar | 联合创始人兼 CEO | Spot.io 联合创始人;主要公开产品和融资发言人。 | 高——创始人、品类叙事和资本市场依赖都集中在此。 |
| Tal Zur | 联合创始人兼 CTO | 技术联合创始人,支撑产品和工程可信度。 | 中到高——对架构很核心,但公开露面少于 CEO。 |
| Lavi Ferdman | 联合创始人,增长 | 商业联合创始人,与市场进入扩张相关。 | 中——对增长执行重要,但没有 Shachar 那么核心。 |
| Tomer Hadassi | COO | 公司从创业公司走向全球平台供应商时的运营扩张。 | 中。 |
| Rinki Sethi | CSO | 安全领导层存在感有助于增强企业买家的信任。 | 中。 |
| Nadav Naor | SVP Engineering | 工程规模化和执行深度。 | 中。 |
| Max Stevens | SVP Worldwide Sales | 全球销售领导力,关系到企业扩张。 | 中。 |
| Jonathan Cohen / 产品梯队 | 产品战略 SVP 及其他产品领导 | 显示创始人之外更宽的产品管理深度。 | 单独看为低到中,但作为梯队具备战略价值。 |
这是公开领导层视图,不是完整治理披露。投资人董事观察员放在利益相关方图谱中,因为正式委员会结构未公开。
[CO010, CO011, CO012, CO013, CO014, CO016]1.3 融资历史、规模与客户信号
Upwind 对一家 2022 年创立的公司来说融资节奏异常快,公开来源现在也比单一标题更清楚地拼出了路径。Leaders Fund 称,公司在 2022 年 9 月以 $30 million 种子轮起步。2023 年 9 月,投资人与公司材料记录了一笔 $50 million 融资,使累计披露融资达到 $80 million。2024 年 12 月,公司宣布由 Craft Ventures 领投 $100 million Series A 轮,TechCrunch 报道投后估值为 $900 million。2026 年 1 月的 Series B 轮又以 $1.5 billion 估值加入 $250 million,使累计披露融资达到 $430 million。这些融资事件与公开规模指标吻合:2024 年轮次时约 150 名员工,计划在 2025 年接近翻倍,到 2026 年公告时员工超过 300 人。2026 年新闻稿还把新估值与 900% 收入增长、200% logo 增长、数百万受保护工作负载,以及可见的企业客户名单联系起来。明显缺席的仍是经审计收入、毛利率、NRR 或定价披露;因此,规模故事方向上很强,但从承销角度看仍不完整。[CO018, CO019, CO020, CO021, CO022, CO023]
| 利益相关方 | 角色 | 控制 / 经济重要性 | 尽调问题 |
|---|---|---|---|
| Leaders Fund | 领投种子轮融资方,且多轮跟投 | 被认为支持了最初 $30M 种子轮和 2023 年后续融资。 | 确认后续轮次后的当前持股和董事会权利。 |
| Cyberstarts | 最早期支持方,并有董事会存在 | 重要早期 cyber 专项投资人,公开可见董事会参与。 | 确认 pro rata 参与和当前治理权利。 |
| Greylock | 早期领投方 | 公开称该种子轮是其最大的软件种子轮参与。 | 澄清经济权益与信号作用之间的差别。 |
| Craft Ventures | 2024 年 Series A 领投方 | 锚定 $900M post-money 跃升,并在之后继续跟投。 | 确认清算优先权和任何保护性条款。 |
| TCV / Alta Park | 2024 年新进入的 growth 投资人 | 帮助 2024 年末轮次转向机构化。 | 索取持股和信息权细节。 |
| Bessemer Venture Partners | 2026 年 Series B 领投方 | 锚定 $1.5B 估值里程碑和新的扩张阶段。 | 了解董事席位、出资规模和治理权利。 |
| Salesforce Ventures / Picture Capital | 2026 年新参与方 | 释放生态和成长股权支持信号。 | 确认出资规模,以及品牌支持之外的战略价值。 |
| 现有长尾投资人 | Cerca、Swish、Penny Jar、Sheva 等 | 扩大了涵盖名人、cyber 和 growth 投资人的财团。 | 梳理持股集中度和任何 side-letter 复杂性。 |
公开来源足以清楚识别财团并绘制利益相关方图谱,但没有披露持股比例、清算优先权或二级交易。
[CO018, CO019, CO020, CO022, CO023, CO024]截至运行日期,公开证据可支撑的公司快照指标。
这些 KPI 只反映公开披露与独立报道,不能替代经审计的经营指标。
[CO001, CO007, CO022, CO023, CO026, CO027]1.4 里程碑、市场摩擦与开放尽调问题
里程碑记录同时显示出强动能,也给出了保持尽调纪律的充分理由。积极一面是,公司上线后迅速拓宽平台:API Security、运行时漏洞管理、无代理云扫描器、AWS competency 认可,以及 AI-agentic 功能,都出现在保留的 2024-2026 年材料中。People.ai 等公开客户故事也显示,Upwind 以运行时为先的定位强到足以在至少部分账户中替换既有工具。但风险叙事并不空。TechCrunch 报道称,早期客户对部署代理心存犹豫,也质疑重运行时的方法能否顺畅集成;在部署摩擦会拖慢采用的安全项目里,这是实实在在的 GTM 障碍。同一报道还称,Upwind 得出结论:安全团队不会容忍拥挤云安全市场里又一个狭窄点工具,因此公司需要一个广泛集成的平台。这一框架符合更广泛的云安全格局,也凸显本章的核心开放问题:在没有经审计财务披露的情况下,公司公开增长和客户证据是否足以支撑显著更高的估值。现阶段,答案方向上有希望,但仍不完整。[CO030, CO031, CO034, CO035, CO036, CO037]
| 日期 | 事件 | 类型 | 金额 / 状态 | 参与方 | 含义 |
|---|---|---|---|---|---|
| 2022-09 | 公司成立并完成种子融资 | 成立 | $30M 种子轮 | Shachar、Ferdman、Polak、Zur;Leaders Fund 和早期支持方 | 确立公司和早期资本基础。 |
| 2023-09 | 宣布 $50M 融资 | 融资 | $50M;累计融资 $80M | Leaders Fund、Craft Ventures、Greylock、Cyberstarts 等 | 验证早期产品市场牵引力和投资人信心。 |
| 2024-06-10 | 获得 AWS Security Competency | 伙伴关系 | 已获得状态 | AWS 与 Upwind | 释放云伙伴可信度和验证信号。 |
| 2024-12-02 | 宣布 $100M Series A | 融资 | $100M Series A;约 $900M 投后估值 | Craft Ventures、TCV、Alta Park 和此前投资人 | 将公司推入更后期的私募市场区间。 |
| 2024-12 | 上调员工目标 | 规模化 | 约 150 名员工,并计划 2025 年接近 300 人 | Upwind 领导层 | 显示激进招聘和市场进入扩张意图。 |
| 2024 | 推出无代理云扫描器 | 产品 | 功能发布 | Upwind 产品团队 | 将平台从纯传感器部署拓宽到更广范围。 |
| 2024 | 推出 API Security | 产品 | 功能发布 | Upwind 产品团队 | 从基础设施安全扩展到应用层保护。 |
| 2026-01-26 | 宣布 $250M Series B | 融资 | $250M,估值 $1.5B | Bessemer、Salesforce Ventures、Picture Capital、此前支持方 | 带来独角兽身份,也抬高了执行预期。 |
| 2026-02-26 | 宣布 AWS Security Hub Extended 计划集成 | 伙伴关系 | 集成已上线 | AWS 与 Upwind | 加深超大规模云厂商嵌入和采购杠杆。 |
| 2026 | 推出 AI Agentic Pack | 产品 | agentic 工作流发布 | Upwind | 为 AI 驱动的 cloud-security 运营占位。 |
| 2026 | 客户对 agent 部署的犹豫仍是早期市场被记住的障碍 | 反向 | 已提及商业摩擦 | 潜在客户和 TechCrunch 访谈 | 说明即使平台扩展,部署模型仍可能影响销售摩擦。 |
这条时间线合并了成立、融资、产品、伙伴关系和反向市场进入拐点。只有在留存公开来源支持时,才列出金额和确切治理条款。
[CO018, CO019, CO020, CO021, CO022, CO025]Upwind 前四年的部分创立、融资、产品与合作伙伴里程碑。
[CO018, CO019, CO020, CO021, CO022, CO023]1.5 图表
02市场分析
2.1 市场边界与纳入支出
Upwind 属于 CNAPP,但实际购买边界比一个缩写更宽。Gartner、TBRC 和 Dell’Oro 都把 CNAPP 定义为面向云原生基础设施和应用的全生命周期安全。Upwind 自己的页面也直接映射到这套逻辑:态势、运行时检测、漏洞优先级排序、API 安全,以及现在的 AI 专项控制。集成页面又把经济边界进一步扩到 CI/CD、IAM、SIEM、SOAR 和漏洞响应工作流,因为这些系统会决定预算实际如何花出去。因此,纳入支出不只是扫描器订阅,还包括买家为了减少工具、改善优先级排序而折叠进一个平台的工作流和相邻控制。排除项则是那些始终无法把可见性、优先级排序和行动连接成一个运营闭环的独立工具。[CM001, CM002, CM003, CM004, CM005, CM006]
| 细分 / 品类 | 纳入支出 | 排除支出 | 买方 / 付款方 | 相关性 |
|---|---|---|---|---|
| 核心 CNAPP 平台 | 态势、运行时检测、漏洞优先级排序、云资产图谱、响应工作流 | 没有统一控制平面的独立扫描或日志 | 云安全负责人、CISO 预算 | Upwind 最直接竞争的核心品类 |
| 应用与 API 安全邻近领域 | API 发现、应用层检测、数据流可见性、schema 漂移 | 没有运行时上下文的传统应用测试或网关 | AppSec 负责人、共享安全 / 开发者预算 | Upwind 明确把 CNAPP 扩展到应用和 API 层 |
| AI 安全邻近领域 | 模型、agent、prompt、检索路径和 AI 运行时可见性 / 防护 | 没有云工作负载上下文的纯治理工具 | AI 平台负责人、安全架构 | 重要邻近领域,但不等同于核心 CNAPP |
| 工作流与控制系统集成 | CI/CD、IAM、SIEM、SOAR、监控、VM 响应 | 从不参与云风险修复的通用工具 | 平台工程、DevSecOps | 这些工具会影响谁付款、哪些工具被替代 |
| 受监管合规运营 | 持续控制监测、证据生成、报告、受监管数据可见性 | 一次性咨询或审计项目 | 合规、风险、审计、安全预算 | 客户案例显示这是一个真实切入点 |
| 被排除的替代支出 | N/A | 纯网络工具、仅端点产品、孤立日志,或没有整合动作的点状产品 | 现有孤岛预算 | 真实替代品,但除非发生整合,否则不计入 Upwind TAM |
边界按收敛逻辑划定:纳入连接云可见性、优先级排序和行动的支出;买方不整合时,排除相邻孤岛。
[CM001, CM002, CM003, CM004, CM005, CM006]2.2 多重视角测算规模
最强的公开数字锚点是 TBRC 的 CNAPP 系列,指向 2026 年 $15.42B 市场,并到 2030 年增长至 $30.91B。这是有用的自上而下视角,但单独看还不够,因为它没有隔离运行时优先份额、超大规模云厂商捆绑,或 AI 安全相邻空间。MarketsandMarkets 补充了方向性的细分证据:公有云、平台软件、大型企业和 BFSI 是领先切片,品类的主要驱动力是威胁增长和分布式工作。Dell’Oro 提供关键修正:它把 CNAPP 与新兴 AI Systems Security 市场分开,同时仍把二者描述为相邻。正确读法是分层的:广义 CNAPP 明确庞大且在增长,大型企业和受监管楔子可能最适合 Upwind 服务,而干净的公开 SOM 仍不可得。同样重要的是,公开来源不足以支持把所有相邻云安全或 AI 安全美元简单相加。更稳妥的解释是:CNAPP 提供主要预算池,AI 安全是附近的扩张向量,但仍需要单独测量。这个区分重要,因为它把市场规模锚在当前真实购买品类上,而不是承销中的未来重叠猜想和无支撑乐观。[CM014, CM015, CM016, CM017, CM018, CM019]
| 发布方 | 年份 | 地区 | 数值 | CAGR | 方法 / 视角 | 置信度 | 限制 |
|---|---|---|---|---|---|---|---|
| TBRC | 2025 | 全球 | $12.96B | 进入预测窗口时观察到的 CNAPP 市场规模 | 高 | 单一供应商估算;不针对 Upwind | |
| TBRC | 2026 | 全球 | $15.42B | 18.9% | 自上而下的 CNAPP 市场规模 | 高 | 品类级估算,不是可服务切入点 |
| TBRC | 2030 | 全球 | $30.91B | 19.0% | 广义 CNAPP 市场的前瞻预测 | 高 | 长期品类估算,不是近期份额 |
| MarketsandMarkets | 2022-2027 | 全球 | 细分视角,强调公有云、平台、大型企业和 BFSI | 中 | 可访问预览只展示层级,不展示完整数值 | ||
| Gartner | 2025 | 全球 | 评估 CNAPP 产品的采购视角 | 中 | 摘要可访问;完整模型付费墙 | ||
| DellOro | 2026-2030 | 全球 | 将 CNAPP 与 AI Systems Security 区分开的邻近领域视角 | 中 | 预览解释框架,不给数值拆分 |
Null 值表示可访问的公开预览没有给出确切数字。表格保留可用视角,而不是强行制造虚假精确度。
[CM013, CM014, CM015, CM016, CM017, CM018]分层逻辑从宽口径 CNAPP 切到更窄的 runtime-first 楔子,同时把 AI 安全保留为相邻市场池。
当前语料中,只有宽口径 CNAPP 层保留了公开数值;DellOro 的相邻市场框架用于避免重复计算平台与 AI 支出。
[CM014, CM015, CM018, CM022, CM024, CM042]最干净的公开区间是 TBRC 给出的 CNAPP 当前到预测路径;更窄口径都会变成尽调估计,而不是有来源支撑的数字。
该图展示公开的当前到预测路径,不是三组相互竞争的 2026 年估计。
[CM014, CM015, CM042]2.3 买方、付款方与采用路径
公开客户证据显示,这很少是一人采购。H2O.ai 称安全团队购买了产品,但 DevOps 成为主要用户。People.ai 描述安全、工程、审计和合规团队使用同一个运行时与报告界面。CallRail 显示治理团队也可能是直接利益相关方。平台能挂到既有云工作流上时,采用路径通常更容易。CloudTrail 集成支持无代理监控、合规自动化和调查,可作为更轻的入口。AWS Competency 验证和 EKS add-on 随后降低信任和部署摩擦,因为买家可以通过熟悉的 AWS 路径发现和部署。实践中,采用往往从一个急性痛点开始——告警疲劳、优先级排序弱、合规证据不足,或缺少运行时可见性——只有平台能帮助安全和平台团队基于同一张运营图工作,才会扩张。[CM010, CM011, CM030, CM031, CM032, CM033]
| 细分 | 买方 | 用户 | 付款方 | 工作流 | 预算所有者 | 采用触发器 |
|---|---|---|---|---|---|---|
| 大型云原生企业 | CISO、云安全负责人 | 云安全工程师、SOC、响应团队 | 中央安全预算 | 优先处理可利用风险,并降低噪音 | CISO / 安全运营 | 需要运行时上下文来削减告警疲劳 |
| 平台工程与 DevSecOps | Platform VP、DevSecOps 负责人 | SRE、平台工程师、开发者 | 共享平台和安全预算 | 连接 CI/CD、runtime 和 remediation | 平台工程,安全负责人提供 sponsor | 工具蔓延,需要一个统一工作流 |
| 受监管 SaaS 或数据密集型公司 | CISO、合规负责人 | 安全、审计、治理、工程 | 安全与合规共用预算 | 持续证据与策略修复 | 合规和安全共同负责 | SOC、HIPAA、PCI 或认证开销 |
| 以 AWS 为核心的基础设施团队 | 云平台负责人、安全架构师 | 云工程师、安全运营 | 云与安全预算 | 先从 CloudTrail 或 Marketplace 部署切入,再扩展 | 云平台加安全团队 | 既有 AWS 路径降低信任和落地摩擦 |
| 工业与混合架构运营方 | 网络安全负责人、基础设施负责人 | Ops、DevOps、安全团队 | 安全现代化预算 | 用身份和流量上下文保护 AKS/EKS 与混合服务 | 安全负责人配合平台伙伴 | 需要运行时可见性,又不能拖慢运营 |
| 安全加工程联合体 | 安全买单,工程影响决策 | 安全、DevOps、工程共同参与 | 安全预算加工程时间 | 共用界面承载优先级、拓扑、合规和修复 | 跨职能小组 | 工具割裂让现有流程低效 |
这张图看的是购买联盟,而不是席位数量。公开案例显示,安全、平台和审计团队遇到同一个痛点时,Upwind 最容易落地。
[CM010, CM011, CM031, CM035, CM036, CM037]Runtime-first 云安全的成交,依赖安全、平台、工程和合规利益相关方组成的联盟。
关系图来自客户与 AWS 材料;客户证据也显示,runtime 可见性和降噪有助于支撑跨团队采用。
[CM010, CM011, CM030, CM031, CM032, CM035]2.4 增长驱动、约束与缺口
保留证据支持强需求驱动,但也保留了真实摩擦。市场报告指向网络威胁上升、远程和重云运营模式,以及合规压力。Upwind 的客户证据把这些主题转化为具体价值:H2O.ai 提到噪音减少超过 90%、根因定位快 10x,Petrofac 提到 AKS 告警减少 98%。这些结果足以支撑整合预算。约束同样可见。MarketsandMarkets 标出技能短缺、监管变化和 CNAPP 复杂度,People.ai 的案例则显示部署模式决策会制造或消除摩擦。PeerSpot 又给出第二个反向点:Check Point 支持更广、定价更有竞争力,而 Upwind 可能需要更高初始投入。另一个警示是,公开成功故事强调运营收益,而不是合同规模、续约或回本周期。结论是有利但不干净:增长显而易见,定价不透明,按细分市场拆出的份额数据仍过于有限,无法精确承销。[CM019, CM020, CM032, CM034, CM038, CM041]
| 驱动 / 约束 | 方向 | 时点 | 含义 | 尽调问题 |
|---|---|---|---|---|
| 网络威胁和云攻击面上升 | 驱动 | 当前 / 结构性 | 支撑 CNAPP 和运行时优先级排序的持续需求 | 追问哪些威胁类型最稳定地撬开预算 |
| 远程办公和分布式开发 | 驱动 | 当前 / 结构性 | 集中式云控件和应用安全控件承压更大 | 衡量哪些买方细分暴露最深 |
| 合规与证据自动化 | 驱动 | 当前 / 反复发生 | CNAPP 不只服务 SOC,也对审计和治理团队有价值 | 索要受监管行业的胜率数据 |
| 运行时降噪和更快 MTTR | 驱动 | 当前 / 运营性 | 客户证据显示,优先级排序收益可以支撑整合支出 | 追问部署前后的告警和 MTTR 数据 |
| 技能短缺与落地复杂度 | 约束 | 当前 | 可能拖慢上线,或把买方推向更容易但更浅的方案 | 按部署模式索要价值兑现时间 |
| 监管变化 | 约束 | 当前 / 持续 | 创造需求,也抬高控件持续跟上监管的成本 | 追问框架更新多频繁改变产品投入 |
| 部署模式摩擦 | 约束 | 当前 | 如果客户觉得传感器负担重,架构选择会拖慢采用 | 索要围绕无代理优先异议的赢单 / 输单记录 |
| 公开定价透明度低 | 约束 | 当前 | 仅凭公开数据很难对标品类经济性 | 索要实际成交价、折扣和服务附加情况 |
这张表同时保留两件事:市场为什么在增长,以及为什么增长不会自动变成无摩擦采用或干净的公开估值输入。
[CM019, CM020, CM032, CM034, CM038, CM041]公开采用链从威胁或合规痛点开始,进入 runtime 验证,再延伸到共享工作流和平台整合。
从保留的公开案例压缩而成的定性序列。
[CM010, CM030, CM032, CM036, CM038, CM040]2.5 图表
03竞争格局
3.1 格局、同业集合与替代品类别
Upwind 面对的不是一簇整齐的创业公司。DellOro 和 TBRC 支持一个更宽的竞争场,包括靠近超大规模云厂商的买家、组合型安全厂商和纯专业玩家。最直接的专业玩家包括 Wiz、Orca、Sysdig 和 Aqua,它们都营销代码、云、运行时,以及 AI 或应用层保护的某种组合。下一圈包括 Palo Alto Networks、CrowdStrike、SentinelOne、Check Point 和 Fortinet 等更广的公开平台,它们可以把 CNAPP 折进更大的安全套件和更大的销售覆盖里。现状本身也重要。CAVA 显示,买家往往从多个云和 API 工具出发,而不是从干净的单一供应商名单出发。因此,Upwind 的竞争场包括直接产品对手、既有套件,以及买家长期保留多套工具的习惯。[CP002, CP009, CP013, CP016, CP019, CP022]
| 竞品 | 类别 | 规模 / 融资信号 | 目标客群 | 差异化 | 局限 |
|---|---|---|---|---|---|
| Wiz | 直接纯安全同业 | Google 同意以 $32B 收购 Wiz;Wiz 目标 ARR 为 $1B;称覆盖 >50% 的 Fortune 100 | 希望用图谱打通代码、云和运行时安全的大型企业 | 统一安全图谱,公开规模信号很强 | 定价不透明,也不是独有的运行时优先定位 |
| Orca | 直接纯安全同业 | 保留的融资来源未量化私有规模;对外主打 100% 覆盖 | 优先考虑无代理上线和低摩擦覆盖的团队 | 无代理 SideScanning,简洁叙事强 | 公开运行时深度叙事弱于 Upwind |
| Prisma Cloud | 组合型厂商同业 | 属于 Palo Alto Networks;披露每天 1T 事件和 1.5M 次攻击 | 已在采购广谱安全平台的大型企业 | 覆盖代码到云再到 SOC,并有 AI-SPM 和伙伴触达 | 产品组合复杂度会削弱聚焦运行时的叙事 |
| CrowdStrike | 组合型厂商同业 | 公开页面称跟踪 281+ 对手,并取得 100% MITRE 云结果 | 用 Falcon 统一端点和云安全的企业 | 传感器加无代理模式,威胁情报品牌强 | 云产品在更大的捆绑包里竞争 |
| SentinelOne | 组合型厂商同业 | 获 Fortune 10 中 4 家和数百家 Global 2000 信任 | 希望用一个 AI 重度平台覆盖端点、云、身份和数据的买方 | CNAPP 模块覆盖很宽,端点到云叙事强 | 广度可能让差异化显得泛化 |
| Check Point CloudGuard | 老牌纯安全厂商 | Check Point 自称全球最大的纯安全厂商之一;PeerSpot 显示其 CNAPP 心智份额高于 Upwind | 看重成熟支持和定价杠杆的企业 | 支持规模和有竞争力的定价信号 | 运行时叙事不如 Upwind 差异化 |
| Fortinet / Lacework FortiCNAPP | 老牌组合型厂商 | Fortinet 披露 2024 年收入 $5.96B,现已列出 Lacework FortiCNAPP | 已在 Fortinet 体系内的客户 | 捆绑杠杆加托管云安全服务 | 更宽的产品组合定位会稀释云原生可信度 |
| Sysdig | 直接纯安全同业 | 对外宣传 2026 年 Q1 Forrester 领导者地位和 6:1 工具整合 | 看重运行时和 Falco 传承的云原生团队 | 代理加无代理模式,运行时和响应姿态强 | 私营公司财务规模未披露 |
| Aqua | 直接纯安全同业 | 称获得 41% 的 Fortune 100 信任 | 需要代码到云再到提示词覆盖的企业 | 老牌云原生品牌,并带有 AI 和运行时框架 | 公开定价和分销细节仍然稀薄 |
规模和融资信号只限于保留公开语料披露的内容。私营公司行明确保留仍未披露的信息。
[CP005, CP011, CP013, CP014, CP015, CP016]按部署简易度与 runtime 加平台深度做序位定位。
分数是有证据支撑的序位评级,不是量化市场份额。
[CP001, CP013, CP016, CP019, CP022, CP024]3.2 能力广度与架构取舍
主要分野不是简单功能数量,而是架构和运营模式。Upwind 主张运行时优先上下文,People.ai 与 CAVA 也表明,当静态资产清单无法解释什么真正活跃或有风险时,这一点很重要。Wiz 通过 security graph 呈现类似的端到端思路,但其公开故事更强调规模。Orca 则走相反取舍,把无代理覆盖和低运营摩擦作为核心价值主张。CrowdStrike 和 SentinelOne 认为,买家不应在态势和运行时之间二选一,因为它们把无代理和传感器支撑的遥测都纳入更广的 AI 驱动平台;Prisma Cloud 和 Aqua 则围绕从开发到运行时、并越来越覆盖 AI 工作负载的全生命周期能力来定义竞争。Upwind 有差异化,但并不孤立:如今几乎每个主要供应商都能提出覆盖代码、云、运行时和 AI 主题的重叠主张。[CP001, CP007, CP008, CP013, CP016, CP017]
| 购买标准 | Upwind | Wiz | Orca | Prisma Cloud | CrowdStrike | SentinelOne |
|---|---|---|---|---|---|---|
| 核心架构叙事 | 运行时优先,结合传感器和扫描器 | 横跨代码、云和运行时的安全图谱 | 无代理 CNAPP | 代码到云再到 SOC 的平台 | 无代理加 Falcon 传感器 | 广谱集成式 CNAPP 套件 |
| 运行时可利用性深度 | 很高 | 高 | 中等 | 高 | 高 | 高 |
| 无代理简洁度 | 中等 | 高 | 很高 | 中等 | 中高 | 高 |
| AI 和应用层联动 | AI 与 API 维度均高 | 高 | 中等 | 高 | 高 | 高 |
| 生态和工作流广度 | 靠集成和 AWS 路径达到高 | 高 | 中高 | 高 | 高 | 高 |
| 公开规模信号 | 中 | 很高 | 中 | 很高 | 很高 | 高 |
| 公开定价可见度 | 低 | 低 | 低 | 低 | 低 | 低 |
评分是基于保留官方、评测和客户切换来源的证据型序位判断。
[CP001, CP007, CP013, CP016, CP017, CP018]高层视角展示主要替代方案在架构、runtime、AI / 应用覆盖、生态触达与公开规模信号上的差异。
这些值是基于保留来源的定性概括。
[CP003, CP019, CP021, CP022, CP024, CP028]3.3 定价透明度、采购路径与分销力量
公开定价透明度在整个品类都偏弱。多数主要供应商页面把买家导向演示或联系表单,而不是列出价格,所以公开分析更多说明采购路径,而不是已实现经济性。Upwind 最清楚的公开采购优势来自 AWS:EKS add-on 和 AWS Security Hub Extended plan 创造了一条单合同、单账单路径,可降低重 AWS 账户的摩擦;CRN 还称,公司在 Series B 前一年新增了超过 100 家合作伙伴。相比之下,成熟公开厂商依靠规模和既有覆盖,而不是价格披露。PeerSpot 暗示 Check Point 支持更广、表观定价更低。Fortinet 面向投资人的材料强调托管服务。Prisma 页面强调合作伙伴和托管服务。企业云安全里,当多个供应商都能可信覆盖代码、云、运行时和 AI 主题后,分销力量可能和功能细节一样决定胜负。因此,伙伴来源 pipeline 和续约杠杆几乎与原始产品广度同样重要。[CP004, CP005, CP012, CP021, CP028, CP037]
| 厂商 / 选项 | 公开定价或包装信号 | 合同模式 | 包含能力 | 未知项 | 含义 |
|---|---|---|---|---|---|
| Upwind | 演示驱动,加 AWS Marketplace 和 Security Hub 路径;没有公开企业价目表 | 报价驱动销售;部分路径由 AWS 代管计费 | 运行时上下文、姿态、应用安全、AWS 路径 | 实际成交价、折扣和服务附加情况不公开 | 在 AWS 深度账户里,采购可能比价格发现更容易 |
| Wiz | 官网有定价入口,但仍导向联系销售,没有披露可用费率 | 报价驱动的企业合同 | 代码、云、运行时图谱,以及按 AI 速度推进的自动化 | 实际成交价和模块包装不公开 | 规模清楚,经济性不清楚 |
| Orca | 公开平台页主打快速 ROI,不公布价格 | 报价驱动的企业合同 | 覆盖多模块的无代理 CNAPP | 按资产或云账户计算的实际定价不公开 | 即便没有标价,无代理简洁度也可能帮助评估 |
| Prisma Cloud | 申请演示模式,没有公开企业价目表 | 在 Palo Alto 产品组合内做捆绑或平台销售 | 代码、云、运行时、AI-SPM、调查 | 云安全实际成交价不公开 | 产品组合捆绑可能比标价透明更重要 |
| Check Point CloudGuard | PeerSpot 称定价有竞争力 | 企业报价驱动销售 | CNAPP,支持覆盖更强 | 没有独立公开价格表 | 少数保留来源之一,暗示直接相对价格优势 |
| 老牌捆绑选项 | 托管服务和集成平台叙事强于明确价格 | 捆绑驱动销售,叠加服务和交叉销售 | 把云安全加进更大的安全体系 | CNAPP 专属 ASP 和利润率不公开 | 即便云定价不透明,老牌厂商也能靠采购便利性竞争 |
这张表只记录保留公开来源披露的内容。定价未知意味着经济性要到报价阶段才会露出。
[CP004, CP005, CP012, CP021, CP028, CP037]3.4 护城河耐久性、整合与替换风险
Upwind 的护城河真实存在,但有条件。公司有客户背书证据表明,运行时上下文可以替代较弱的静态或碎片化工作流;AWS 路径也能让采购比冷启动企业销售更容易。但赛道也在收敛。Gartner 的 CNAPP 定义已经假设全生命周期广度,DellOro 指向整合和 M&A,Google 对 Wiz 的动作以及 Fortinet 对 Lacework 的整合,都说明大量战略资本正瞄准同一个待完成任务。因此,支持网络、装机基础和捆绑能力仍是严肃威胁。PeerSpot 在这里有用,因为它捕捉到一个具体反向读法:即便 Upwind 感觉更快、更现代,Check Point 也可能看起来更便宜、支持更好。多供应商并存是相关的结构性风险:一旦多家供应商都能可信覆盖代码、云、运行时和 AI,买家可能保留两个或更多产品,而不是宣布单一赢家。关键尽调问题是,当大型既有厂商和规模化同业继续拓宽自己的云安全平台时,Upwind 的运行时精度和简化购买动作能否持续转化为胜单。[CP006, CP011, CP012, CP026, CP027, CP032]
| 护城河主张 | 主要威胁 | 严重度 | 威胁为何可信 | 缓释 / 尽调问题 |
|---|---|---|---|---|
| 运行时优先差异化 | 对手越来越多加入运行时和可利用性叙事 | 高 | Wiz、CrowdStrike、Sysdig 和 SentinelOne 都把运行时或主动风险放到中心 | 索要按竞品拆分的近期赢单 / 输单,以及运行时如何改变成交率的证据 |
| AWS 主导的采购优势 | 贴近超大规模云的路径也会放大竞品捆绑 | 中高 | AWS 渠道帮助 Upwind,但云市场也抬升组合型厂商 | 按 AWS 主导、伙伴主导和直接销售拆分管线 |
| 工具整合卖点 | 买方仍可能多栖部署 | 高 | CAVA 起步时用了多个工具,广谱平台重叠意味着共存仍有可能 | 衡量近期客户群中替换和共存的比例 |
| 现代 UX 和部署速度 | 成熟支持网络和老牌厂商信任 | 高 | PeerSpot 明确认为 Check Point 支持更强,而 Upwind 仍在建设渠道深度 | 索要支持 SLA、参考客户流失,以及相对指定竞品的 CSAT |
| 广泛集成生态 | 组合型厂商也能捆绑类似广度 | 中高 | Prisma、SentinelOne 和 Fortinet 都在营销宽平台或服务生态 | 评估集成是在推动扩张收入,还是只是补齐同业水平 |
| 纯安全聚焦 | 整合与资本集中 | 高 | Wiz M&A 和 Fortinet-Lacework 显示战略资本瞄准同一工作负载 | 评估 Upwind 能否在不过度拉高烧钱速度的情况下跟上 R&D 和 GTM |
严重度是基于保留公开证据的分析判断。
[CP005, CP006, CP011, CP012, CP037, CP040]用紧凑指标判断,保留公开证据下 Upwind 的位置有多耐久。
这些值结合了直接公开事实与分析性标签。
[CP005, CP012, CP038, CP041, CP043, CP045]3.5 图表
04财务情况
4.1 收入模式与公开变现证据
公开来源只能支持对 Upwind 赚钱方式的高层次判断,但这套高层次判断是连贯的。公司通过演示驱动的动作销售一个捆绑式企业云与 AI 安全平台,而不是透明的自助购买路径。官方页面反复强调一个统一的运行时优先平台,覆盖态势、运行时检测、API 安全、AI 安全和贴近开发者的工作流;这说明变现更可能围绕平台订阅和模块扩张,而非狭窄单功能 SKU。这一解释也符合管理层说法:客户不想要另一个点工具,公司需要广泛集成的平台才能赢得采用。仍然缺失的是投资人通常用来把产品范围转成收入质量的信息:标价、模块级打包、最低合同条款、实施收入、续约机制或收入确认细节。因此,公开记录有助于识别可能的变现机制,但无法承销已实现价格或经常性软件质量。[CI001, CI002, CI003, CI020, CI026, CI035]
| 收入来源 | 机制 | 单位 | 当前价值 / 状态 | 收入质量 | 尽调问题 |
|---|---|---|---|---|---|
| 统一平台订阅 | 通过演示驱动销售,签谈判式企业软件合同 | 年度或多年合同 | 公开可见;价格未披露 | 如果嵌入运行时工作流,质量可能较强,但合同条款不公开 | 索要平均合同金额、合同期限和基础平台订阅收入占比。 |
| 模块扩张 / 附加 | API、AI、身份、姿态和运行时模块扩大先落地再扩张的机会 | 按模块或捆绑增售 | 模块广度公开;实际附加率未知 | 增售潜力看起来有意义,但附加和折扣行为未披露 | 索要模块附加率数据和模块级收入贡献。 |
| 渠道影响的企业销售 | ISV、MSP、VAR 和经销商关系贡献订单额 | 伙伴来源合同 | 管理层称新增 100+ 伙伴,CRN 称许多大客户来自渠道 | 有助于触达,但经销商利润分成和伙伴依赖度不公开 | 索要伙伴来源管线、胜率和总额到净额经济性。 |
| 实施 / 上线 / 支持 | 企业销售动作意味着还要投入部署、上手和售后支持 | 服务工时或打包上手服务 | 运营上少不了,但公开资料没有单列收入 | 有助于提升采用率;若服务占比过重,也可能压低利润率 | 要求披露服务收入占比和服务毛利率。 |
| 来自相邻工作流的客户扩张 | 初次部署后,平台向数据、AI、代码和开发者相邻工作流延展 | 扩张订单 | 管理层披露的是扩张重点,不是已签约组合 | 扩张路径看起来可信,但公开资料没有 cohort 或 NRR 数据 | 要求披露 cohort 扩张、NRR,以及带合同金额的产品扩张胜单案例。 |
本表把公开可见的销售机制和仍然不透明的经济结果分开。公开来源说明了销售动作,但没有披露实际价格或收入确认方式。
[CI001, CI003, CI016, CI017, CI020, CI035]| 触点 | 价格 / 单位 / 合同 | 标价与实际成交价 | 折扣 / 未知项 | 来源 |
|---|---|---|---|---|
| 官网首页 / 主平台页面 | 仅提供 Get a Demo;没有公开标价 | 无标价 | 实际成交价全部未知 | 官方网站 |
| 统一平台叙事 | 打包平台,而非单一功能 SKU | 可见打包方式;价格缺失 | 合同究竟按工作负载、云账号、席位还是模块计价,未知 | 官方网站和产品叙事 |
| 渠道辅助的企业销售 | 直销和合作伙伴渠道下,大概率是谈判式合同 | 实际成交价缺失 | 经销商分成和合作伙伴佣金结构未知 | CRN 和 Series B 材料 |
| 买方对比信号 | PeerSpot 称可能需要更高初始投入 | 仅为第三方买方信号 | 没有公开资料确认标价或净价 | PeerSpot |
| 续约 / 扩张条款 | 没有公开条款清单、价格附录或续约曲线 | 未披露 | 折扣、true-up、最低承诺和涨价条款均未知 | 没有留存的公开来源 |
官方定价不公开。公开可得的变现证据只有销售动作结构,以及第三方对投入水平的评论。
[CI001, CI002, CI016, CI018, CI026, CI037]Upwind 的企业平台动作看起来如何把产品采用转化为订阅收入和扩张价值。
这是变现路径的结构图,不是经审计收入瀑布。公开来源描述了销售动作,但没有披露实际定价或收入确认。
[CI001, CI003, CI017, CI020, CI035, CI038]4.2 GTM 动作与单位经济代理指标
公开 GTM 图景强于公开财务图景。多个来源显示,Upwind 瞄准云复杂度较高的大型企业,渠道报道也说明伙伴关系在经济上重要。CRN 报道称,管理层表示多数大客户来自渠道伙伴;Series B 公告则突出其在 ISV、MSP 和经销商中新增超过 100 家伙伴。这指向一种渠道杠杆可以提高获客效率的动作,但也意味着经销商经济性、赋能成本和伙伴利润率很重要。公开来源同时显示反向因素:早期运行时采用存在摩擦。TechCrunch 报道称,潜在客户最初对部署代理犹豫,销售周期需要时间,因为买家质疑集成复杂度,也不想再要一个独立云安全工具。客户结果主张如告警减少 98%、无关 CVE 减少 60%、调查更快,显示部署后经济价值很强,但没有揭示 CAC、回本周期、已实现定价或续约耐久性。结论是:可信的价值叙事,配上不完整的单位经济披露。[CI004, CI005, CI006, CI007, CI016, CI017]
| 指标 | 数值 / 状态 | 置信度 | 重要性 | 尽调要求 |
|---|---|---|---|---|
| ARR / 收入运行率 | 低 | 估值和回本测算都需要这个锚点。 | 要求披露月度 ARR、GAAP 收入,以及 bookings 到收入的桥接表。 | |
| 毛利率 | 低 | 决定运行时规模能否转成软件式经济性。 | 要求按云处理、支持和服务拆分收入成本明细。 | |
| CAC / 回本周期 | 渠道辅助的企业销售动作;未披露比率 | 低 | 回本取决于直销成本、合作伙伴杠杆和部署摩擦。 | 要求披露全口径 CAC、回本周期,以及按客群拆分的伙伴来源 CAC。 |
| 销售周期 | 企业级,且受部署敏感度影响 | 低 | 运行时部署摩擦会拉长签约和价值兑现周期。 | 要求披露从首次会议到生产部署的中位周期。 |
| 客户 ROI 代理指标 | 公开案例中,告警减少 98%,无关 CVE 减少 60% | 中 | 如果能在财务上兑现,价值感知可支撑扩张和续约。 | 要求提供量化节省案例,并绑定合同金额和续约结果。 |
| 渠道效率代理指标 | 新增 100+ 合作伙伴;据报道大客户由渠道贡献 | 中 | 渠道能扩大触达,但佣金后可能压缩净收入。 | 要求披露伙伴来源收入占比、gross-to-net 瀑布,以及 attach rate。 |
| 上市可比公司披露基准 | 上市安全公司披露经审计的 10-K 科目;Upwind 不披露 | 中 | 显示标题式增长与可承保经济性之间的缺口。 | 要求把董事会材料对齐到上市公司式 KPI 集。 |
null 项是真实披露缺口,不是零值。代理指标行只说明方向,不能误读为公司披露的单位经济。
[CI007, CI017, CI018, CI019, CI027, CI029]从获客和部署到价值兑现,公开可见因素可能如何驱动 Upwind 的单位经济性。
节点标签为定性表述,因为 CAC、回本周期和毛利率都未公开披露。该桥展示可以从合作伙伴、部署和客户结果证据中推断什么。
[CI007, CI017, CI018, CI019, CI021, CI027]4.3 成本结构、资本充足性与披露缺口
资本充足性是财务故事里最清楚的部分。Upwind 从 2024 年 12 月 Series A 后累计披露融资 $180 million,走到 2026 年 1 月 Series B 后的 $430 million;管理层明确把新资本用于产品、GTM、支持和全球增长。公开招聘信号说明为什么新资本重要:公司称过去一年员工从 150 人跃升到超过 300 人,同时把产品范围扩向数据、AI 和代码。这些动作意味着 R&D、销售、赋能和售后支持开支会继续很重。公开来源没有披露的是评判这些开支所需的运营基线。没有公开期末现金余额、月度烧钱速度、毛利率、ARR 桥、客户集中度数据或留存队列。也没有公开证据显示债务或结构化融资义务。与发布经审计文件的公开安全厂商相比,Upwind 仍是一个头条增长故事,而不是可审计的财务模型。因此,Series B 降低了近期融资压力,但没有消除核心尽调对私有财务证据的依赖。[CI008, CI009, CI010, CI011, CI012, CI013]
| 指标 | 公开数值 / 状态 | 置信度 | 重要性 | 尽调要求 |
|---|---|---|---|---|
| 最新股权融资 | 2026 年 1 月 $250M Series B | 中 | 新增一级市场资金显著拉长经营弹性。 | 确认总募集额、费用,以及一级发行与老股交易拆分。 |
| 已披露累计融资 | $430M | 中 | 反映标题层面的融资能力和稀释路径。 | 将累计融资与股权结构表、任何老股交易对账。 |
| 当前账面现金 | 低 | 需要现金余额才能把融资转换成跑道判断。 | 要求披露交割时现金余额,以及交割后月度现金更新。 | |
| 月度烧钱 / 跑道月数 | 低 | 不能只靠融资新闻推断跑道。 | 要求披露月度烧钱,以及基准 / 上行 / 下行情景跑道模型。 | |
| 资金计划用途 | 产品、销售拓展、客户支持、全球增长,以及向数据 / AI / 代码扩张 | 中 | 说明新增资本会消耗在哪里。 | 要求按职能拆分招聘计划和预算分配。 |
| 债务 / 项目融资义务 | 未发现公开披露 | 低 | 隐藏的优先债权会实质改变股权风险。 | 要求披露债务明细、担保和任何结构化融资义务。 |
| 下一轮融资触发条件 | 公开资料未说明;可能转向证明高效增长 | 低 | 有助于判断未来融资是选择项还是必选项。 | 要求披露董事会融资计划,以及与下一轮融资绑定的约束条款。 |
本表关注未来资本充足性,不重复公司概况里的历史时间线。未知值明确保留为披露缺口。
[CI011, CI012, CI013, CI014, CI024, CI025]| 缺失的私有指标 | 对承保的影响 | 精确尽调路径 |
|---|---|---|
| 按模块拆分的 ARR / GAAP 收入 | 无法用当前规模或产品组合检验估值。 | 要求披露月度 ARR、收入确认备忘录,以及按产品 / 地区拆分的收入。 |
| 毛利率 / 收入成本 | 无法判断运行时交付经济性是否能收敛到成熟软件毛利。 | 要求按云成本、支持、服务和第三方处理拆分收入成本桥接表。 |
| CAC / 回本 / quota 产能 | 无法判断增长是高效还是靠补贴堆出来。 | 要求披露 CAC、回本周期、销售产能,以及渠道与直销指标。 |
| NRR / GRR / 流失 / 客户集中度 | 无法承保经常性收入耐久性或大客户集中风险。 | 要求披露续约 cohort、流失原因、头部客户收入占比,以及 NRR / GRR 表。 |
| 现金余额 / 烧钱 / 跑道 | 无法把 2026 年融资转换成可用的偿付能力视图。 | 要求披露月度现金流量表、烧钱预测和招聘计划。 |
| 价目表 / 折扣规则 / 合同条款 | 无法评估实际价格、折扣纪律或收入质量。 | 要求提供当前价目表、折扣审批、标准订单表和样本合同。 |
每一行都是真实尽调障碍,不是编辑层面的愿望清单。这些缺失输入决定能否从叙事信心走向可承保经济性。
[CI022, CI023, CI024, CI025, CI026, CI032]公开且有来源支撑的估值与增长输入,与仍缺失的经营指标并列展示。
若干项目在低 / 中 / 高情景中重复同一个披露点,因为公开数字只有一个。因此,该图是公开输入区间,不是模型化预测。
[CI004, CI005, CI011, CI014, CI015, CI033]矩阵展示哪些财务驱动因素有来源支撑、哪些只是估计或方向性判断、哪些在公开记录中仍未知。
该图避免编造现金金额,只区分公开证据支持的内容与仍需私下尽调的内容。
[CI012, CI013, CI014, CI024, CI028, CI033]4.4 财务结论与承销阻碍
从财务上看,Upwind 像是一家股权资本通道充足、商业动能清晰、产品足迹足以支持捆绑扩张的公司。这些都是有意义的正面因素。但公开记录仍远远达不到严肃投资人承销 $1.5 billion 估值所需的程度。没有已实现定价、合同期限、集中度和续约证据,就无法判断收入质量。没有收入成本披露,也看不到要维持公司扩张速度需要多少支持、云处理、伙伴佣金和 R&D,就无法判断毛利率路径。2026 年轮次显著改善资本充足性,但下一个证据点很可能不只是再融资,而是证明收入增长能转化为高效、耐久且可审计的经济性。在管理层拿出这些证据之前,正确的财务立场是建设性但不完整。[CI022, CI023, CI024, CI025, CI027, CI028]
4.5 图表
05产品与技术
5.1 平台定义与模块地图
公开材料描述 Upwind 时,更像是在描述一个统一的运行时安全运营模型,而不是单一功能。公司称,平台把资产清单、态势、网络拓扑、应用、API、身份和 AI 工作流接到同一个运行时智能层。这一框架重要,因为它解释了为什么 Upwind 不停扩张到相邻模块,而不是留在狭窄 CNAPP 盒子里。当前公开模块集很宽:CNAPP、CSPM、CDR、漏洞管理、API 安全、AI 安全、身份安全、非人类身份分析和 Agentic Pack,都坐在同一套核心平台叙事上。工作流取向也异常明确。Upwind 持续说明它如何发现资产、映射关系、验证什么真正暴露,然后用上下文驱动修复,而不是堆静态告警量。这就是核心产品逻辑。主要尽调问题不是模块是否存在,而是买家是否真的在生产中按足够规模部署足够多模块,让统一平台主张站得住。[CE001, CE002, CE003, CE004, CE007, CE012]
| 模块 / 资产 | 主要用户 | 状态 / 成熟度 | 差异化 | 尽调缺口 |
|---|---|---|---|---|
| 统一 CNAPP / 运行时平台 | 安全运营和云安全负责人 | GA / 核心 | 运行时优先的情报层,而不只是静态姿态 | 需要模块级采用率和附加率数据。 |
| CSPM + 拓扑映射 | 云安全和治理团队 | GA / 成熟 | 用运行时优先级,跨云边界映射资产、身份和关系 | 需要按环境证明规模和误报率。 |
| CDR / 攻击路径调查 | 检测与响应团队 | GA / 走向成熟 | 把日志、拓扑、CI/CD 和身份拼在一起,加快调查 | 需要营销案例之外的基准化 MTTR 数据。 |
| 漏洞管理 + shift-left | 平台安全和工程团队 | GA / 成熟 | 从构建到运行时,以可达性驱动优先级,并归因到开发者 | 需要证明开发者工作流采用率和修复率。 |
| API 安全 | 应用和平台安全团队 | GA / 走向成熟 | 在一个工作流里完成运行时发现、schema 映射、数据分类、威胁检测和 DAST | 需要公开证明生产部署,以及大规模协议覆盖。 |
| AI 安全 + Agentic Pack | 安全负责人、AI 平台 owner、SOC 团队 | 成熟中 / 快速迭代 | 把 AI 资产清单和测试,与智能体调查、验证和修复结合 | 需要生产使用、安全护栏和可靠性的私有证据。 |
| 身份 + 非人类身份安全 | IAM、云安全和合规团队 | GA / 走向成熟 | 授权图、跨账号角色上下文和行为感知身份分析 | 需要关于数据处理和自动化边界的公开信任证据。 |
成熟度评级反映留存的公开证据多少,不代表供应商内部路线图。各行区分核心平台模块与更新、独立验证更少的功能。
[CE001, CE002, CE003, CE005, CE007, CE012]| 用户任务 | 当前工作流 | Upwind 方案 | 可衡量收益 | 限制 |
|---|---|---|---|---|
| 找出真正重要的 5% 配置错误 | 安全团队审查庞大的姿态告警队列 | 运行时感知的 CSPM 优先级和关系映射 | 官方页面称,团队可聚焦少数真正重要的告警 | 没有按客户客群划分的告警精度公开基准。 |
| 快速调查云事件 | 分析师手工关联日志、工作负载事件和身份 | CDR 时间线、拓扑和云上下文关联 | 官方页面宣称调查快 10x、修复快 7x | 需要独立基准和事件历史证明。 |
| 修复可利用漏洞 | 团队追逐原始 CVE 严重度,把周期耗在死胡同上 | 基于可达性的漏洞优先级和开发者归因 | 官方页面称 Upwind 只优先处理可利用风险,并把修复交给负责人 | 没有按模块持续降低误报的公开证明。 |
| 保护生产 API | 安全团队缺少实时资产清单和 schema 真实视图 | 运行时 API 发现、schema 映射、数据分类和威胁检测 | 官方 API 页面称可发现托管、非托管和影子 API | 没有公开 API 参考或独立协议深度验证。 |
| 保护混合或非标准容器环境 | 运营人员难以监控 OpenShift、ECS 或 gVisor 工作负载 | 支持 OpenShift、ECS、EKS、Lambda 和自定义 gVisor | Spacelift 和支持帖子显示覆盖范围不止 Kubernetes | 覆盖证明仍主要来自公司自有来源。 |
| 把安全拉近开发者 | CI/CD 上下文散落在许多工具里 | GitHub Actions 集成加 CI/CD 自动发现 | 官方文档称 Upwind 可连接或推断构建时上下文,以加快根因分析 | 开发者触点证据仍是代理指标,不是开放社区证据。 |
收益表述只限于有来源支撑的主张,以及客户 / 从业者轶事。它们不是覆盖装机基础的标准化基准。
[CE004, CE008, CE009, CE010, CE013, CE017]Upwind 以运行时为中心,产品架构从数据采集一路延伸到调查和修复。
[CE001, CE005, CE012, CE013, CE015, CE023]5.2 架构、部署与集成工作流
架构故事具体到足以可信。Upwind 反复区分运行时传感器和无代理扫描器,而不是假装一种采集方法适合所有工作负载。官方材料称,扫描器把覆盖扩展到 serverless 容器、函数、旧 VM 和其他难以完整部署传感器的环境;EKS 材料则描述了用于进程级可见性和细粒度响应的轻量级 eBPF 传感器。这一区分重要,因为它展示了真实运营模型:连接云账户,在合适位置添加传感器或扫描器,摄取云日志和 CI/CD 上下文,关联身份与资源,再从一个控制平面排序优先级并修复。集成页面强化了同一设计。CloudTrail、GitHub Actions、Datadog 和更广生态集成都向模型输送上下文,CI/CD 自动发现则减少一次性 pipeline 对接需求。架构在 AWS 和 Kubernetes 重环境中看起来最强,并围绕该核心叠加了对 OpenShift、ECS、Lambda 和身份工作流的有意义支持。[CE003, CE004, CE005, CE015, CE016, CE017]
| 层 / 组件 | 角色 | 依赖 | 风险 |
|---|---|---|---|
| 运行时情报层 | 关联资产清单、姿态、拓扑、应用、API 和身份 | 依赖传感器、扫描器、云日志和集成都保持最新 | 关联错误或遥测过期会削弱优先级质量。 |
| eBPF 传感器路径 | 用内核级和进程级运行时可见性支撑细粒度响应 | 轻量传感器可部署的环境中效果最好 | Agent 接受度和内核 / 环境兼容性仍是现实约束。 |
| Agentless 扫描器路径 | 覆盖 serverless、functions、旧 VM 和难以装 agent 的环境 | 依赖快照、云 API 和部署权限 | 在部分环境中,实时上下文不如完整传感器路径。 |
| 云日志摄取 | 使用 CloudTrail 等活动来源做监控和取证 | 依赖日志完整性和跨账号配置 | 日志配置错误或不完整会降低检测质量。 |
| 构建时和 CI/CD 上下文 | 为运行时发现补上开发者和镜像来源 | 依赖集成或 Upwind 的自动发现逻辑 | 间接发现可能不如直接接入流水线精准。 |
| 身份 / NHI 图 | 映射权限、信任关系和高风险角色路径 | 依赖 IAM、IdP 和工作负载上下文摄取 | 权限分析质量受底层身份来源完整性限制。 |
| 智能体控制平面 | 协调调查、验证和修复动作 | 依赖高质量上下文和安全工作流边界 | 护栏、可审计性和可靠性还需要更强公开证明。 |
本表描述从官方产品页面和技术帖子推断的运营模型。多个层级公开说明充分,但更深的实现文档仍需登录才能查看。
[CE001, CE005, CE006, CE015, CE016, CE017]客户在 Upwind 平台内大致从连接与发现,走到优先级排序和行动。
[CE004, CE008, CE013, CE017, CE019, CE024]采集路径、云平台和行动系统上的关键产品依赖。
[CE015, CE016, CE018, CE019, CE023, CE024]5.3 信任、质量、合规与开发者信号
信任证据是混合的。Upwind 有有意义的验证信号——AWS 生态认可、可见的 Security Hub 集成,以及描述真实安全结果的客户引用——但公开信任界面仍浅于产品叙事。公司没有暴露保留的公开状态页、API 参考、开源仓库或详细公开信任中心记录,外部审阅者无法独立测试可靠性和保证流程。对于一个想坐在运行时检测、AI、身份和修复工作流中间的平台,这形成了缺口。因此,所需的开发者信号只能间接获得。没有明显公开 OSS 足迹,所以最佳公开代理指标是从业者证据:TTMzero 描述 DevSecOps 工作流被改造,Spacelift 描述自定义 gVisor 支持和更快调查,买家评论则谈到部署便捷性与支持深度的取舍。这些信号有用,因为它们来自运营者,而不只是供应商文案;但它们仍弱于直接公开的开发者界面。[CE024, CE025, CE031, CE032, CE033, CE034]
| 控制 / 信号 | 状态 | 范围 | 缺口 |
|---|---|---|---|
| AWS 生态验证 | 公开可见 | AWS Security Competency 和 Security Hub 集成 | 不能替代详细的信任中心、SLA 或认证披露。 |
| 身份和权限控制 | 公开可见 | 人类身份、机器身份和跨账号角色 | 需要更深入证明自动化护栏和权限变更控制。 |
| 运行时优先级质量 | 公开宣称 | 找出真正重要的 5% 告警 / 调查快 7x 到 10x | 没有留存的公开基准包或方法论。 |
| 文档触点 | 部分可见 | 多篇功能帖子提到需登录的文档中心 | 无法访问文档时,独立技术验证受限。 |
| 公开可靠性透明度 | 未留存 | 没有留存公开状态页或公开 uptime 历史 | 需要状态历史、SLA 和事件披露证据。 |
| 认证 / 保证深度 | 公开细节有限 | 案例研究提到客户合规姿态和 AWS competency | 需要按模块披露 SOC 2 / ISO 范围和测试节奏。 |
本表区分可见信任信号和缺失的运营保证证据。缺失字段是有意保留的尽调缺口,并非遗漏。
[CE028, CE029, CE034, CE039, CE040, CE041]5.4 路线图、成熟度与技术结论
2024 年到 2026 年的发布节奏显示产品执行很快。公开材料展示了一串发布,把平台从核心运行时安全延伸到无代理扫描、EKS marketplace 部署、更丰富的开发者和 CI/CD 上下文、身份控制、AI 专项安全,以及把平台推向调查和修复编排的 Agentic Pack。这是一条连贯路线图,因为每次发布都在加深同一套运行时优先控制平面逻辑。最强成熟度信号位于运行时可见性、拓扑映射、可利用性驱动的优先级排序、AWS 和 Kubernetes 覆盖,以及把发现转化为引导式修复的能力。最弱的部分不一定是功能缺口,而是证据缺口。公开证据在 SLA、事故历史、认证细节和按模块采用上仍偏薄。因此,技术结论对架构和速度是正面的,但仍取决于对运营可靠性和按模块客户深度的更深尽调。[CE007, CE013, CE017, CE023, CE031, CE035]
| 日期 / 阶段 | 功能 / 里程碑 | 状态 | 含义 | 来源 |
|---|---|---|---|---|
| 2024-06 | AWS EKS Marketplace 插件 | 已发布 | 让 Kubernetes 部署更快,也更贴近 AWS 原生 | Upwind 技术帖子 |
| 2024 | 无 Agent 云扫描器 | 已发布 | 覆盖范围从适合传感器的环境,延伸到 serverless 和传统工作负载 | Upwind 技术文章 |
| 2024 | API 安全 | 已发布 | 平台进一步进入应用层发现、schema 映射和 DAST | 官方产品页 |
| 2024 | 身份与非人类身份安全 | 已发布 | 控制平面从云资源扩展到身份和权限 | Upwind 技术文章 |
| 2025-2026 | AI 安全 + Agentic Pack | 扩张中 | 产品进入 AI 资产盘点、提示词风险测试和引导式修复编排 | 官方 AI 页面和 MSSP Alert |
| 2026 叙事 | 更贴近开发者、数据、AI 和代码 | 前瞻性 | 路线图看起来会继续越过运行时态势,推进到开发者工作流和预防环节 | Series B 公告和 TechCrunch |
这张路线图只收录有来源支撑的里程碑,并非列出每一次内部发布。重点放在真正改变架构、部署方式或产品范围的节点。
[CE012, CE013, CE017, CE018, CE022, CE023]基于证据呈现 Upwind 关键能力的成熟度。
[CE012, CE013, CE019, CE031, CE037, CE038]5.5 图表
06客户情况
6.1 客户基础与采用轨迹
公开客户规模证据方向上很强,但仍不精确。Upwind 没有披露准确客户数,但官网和 customer-love 页面都把公司描述为服务全球数百家企业和安全团队。2026 年 1 月 Series B 新闻稿随后加入更硬的增长信号:logo 同比增长 200%、数百万受保护工作负载,以及扩大的具名企业名单,包括 Waste Management、Siemens、Carvana、Roku、ClickUp、Wix、Nubank、Agoda、Peloton、Fiverr 和 BILL。TechCrunch 报道称,客户基础在 2024 年 12 月 Series A 到 2026 年 1 月 Series B 之间翻倍,从而佐证了快速动能;报道还把目标市场描述为云足迹有意义的大型、数据密集型组织。地域也在公司最初的美国 / 英国 / Israel 核心之外拓宽,在 Australia、India、Singapore 和 Japan 均有明确动能。综合来看,公开记录支持真实企业采用和国际扩张,但无法给出按行业、ACV 档位或续约队列拆分的干净分母。[CU001, CU002, CU003, CU004, CU005, CU006]
| 分层 | 买方 / 用户 / 付款方 | 用例 | 规模信号 | 收入 / 战略价值 | 证据缺口 |
|---|---|---|---|---|---|
| 全球企业云运营方 | CISO / 平台工程 / 安全运营 | 运行时 CNAPP、云威胁检测、工作负载可见性 | 客户:Waste Management、Siemens、Roku、Peloton、BILL、Wix | 战略背书价值最高,ACV 可能也较大 | 未披露准确客户数和分层 ARR |
| 云原生 SaaS 和 AI 厂商 | CSO / DevSecOps / 平台工程 | 运行时可见性、漏洞优先级排序、合规自动化 | 客户:People.ai、H2O.ai、EvenUp、Intezer | 很适合节奏快的云构建团队和 AI 占比高的技术栈 | 缺少公开定价和合同规模 |
| 开发者 / 基础设施平台 | 安全副总裁 / DevOps / SRE | 容器可见性、事件响应、gVisor / 运行时监控 | Spacelift, Vectra AI | 面向成熟买方的技术可信背书 | 独立佐证有限 |
| 消费数字、零售和 martech 应用 | 安全工程 / 应用安全 / 平台团队 | API 可见性、降噪、运行时映射 | 客户:CAVA、Vestiaire Collective、Yotpo、EX.CO、CallRail | 证明产品适用于面向客户的应用和 API | 缺少续约数据 |
| 受监管和重合规买方 | 安全 / 合规 / IT 负责人 | SOC、HIPAA、PCI、CIS,以及便于审计的报告 | 客户:People.ai、CallRail、BILL、Nubank | 能支撑以合规驱动的采购动作 | 厂商侧认证未公开逐项列出 |
| AWS 占比较高的企业和伙伴主导账户 | 云平台团队 / 采购 / 安全负责人 | EKS add-on、Security Hub、CloudTrail 驱动运营 | Waste Management,加上 100+ 新伙伴和 AWS 采购入口 | 渠道和超大云厂商杠杆可加速落地 | AWS 来源销售管线占比和伙伴收入分成未披露 |
分层来自具名客户 logo、案例研究中的角色、AWS 采购入口,以及 2026 年融资报道。Upwind 未发布按垂直行业或 ACV 划分的客户表。
[CU001, CU003, CU004, CU005, CU006, CU007]| 指标 | 数值 | 日期 | 来源 | 置信度 | 含义 | 缺失分母 |
|---|---|---|---|---|---|---|
| 公开客户描述 | 全球数百家企业和安全团队 | 2026-05-21 | 首页 + customer-love 页面 | 中 | 证明确实已有一定装机基础 | 缺少准确客户数 |
| 客户基数增长 | 自 2024 年 12 月 Series A 以来翻倍 | 2026-01-29 | TechCrunch | 中 | 显示新客户 logo 增长很快 | 未披露起始基数 |
| Logo 增长 | 200% YoY | 2026-01-26 | Series B 新闻稿 | 中 | 进入 2026 年仍保持强获客节奏 | 缺少绝对客户 logo 数 |
| 受保护工作负载 | 数百万 | 2026-01-26 | Series B 新闻稿 | 中 | 生产环境足迹已经可观 | 未披露单客户工作负载数 |
| 公开具名企业 logo | Series B 新闻稿列出 11 个;TechCrunch 具名 6 个 | 2026-01-26 / 2026-01-29 | Business Wire + TechCrunch | 中 | 客群偏企业级,也有广泛社会证明 | 各客户 logo 部署深度不同 |
| 新增伙伴 | 覆盖 ISV、MSP 和分销商,100+ | 2026-01-26 | Business Wire + CRN | 中 | 渠道已是重要增长杠杆 | 缺少伙伴归因收入 |
| 地理扩张 | 美国、英国、以色列,加上澳大利亚、印度、新加坡、日本 | 2026-01-26 | Business Wire + TechCrunch | 中 | 支持和 GTM 覆盖更广 | 缺少按地域划分的客户结构 |
| AWS 采购路径 | EKS add-on + Security Hub Extended Plan(云安全套餐) | 2024-06-11 / 2026-02-26 | Upwind + Business Wire | 中 | 可能提高 AWS 占比较高账户的胜率 | 缺少经 AWS 获得的交易占比 |
增长信号方向上很强,但大多只有分子;公司未披露起始客户基数、ARR 结构或 AWS 来源占比,因此还无法把增长势能转化为队列质量判断。
[CU001, CU002, CU003, CU004, CU005, CU006]6.2 具名客户证据与部署成熟度
具名客户证据是 Upwind 客户故事里最强的部分。公司现在发布了一组广泛案例研究,描述真实生产使用,而不是简单 logo 墙。People.ai 称其替换了 Wiz,首日运行时覆盖超过 85%,误报减少大约 20–30%。EvenUp 报告告警减少 95%、修复快 7x。H2O.ai 称 Upwind 消除了超过 90% 的噪音,并帮助团队以 10x 速度找到根因。Spacelift 描述自定义 gVisor 支持把调查从数小时缩到数分钟;Vestiaire、CallRail、EX.CO、Anzu、TTMzero 和 Intezer 也各自描述了明显更好的优先级排序、合规可见性或运营聚焦。2026 年 2 月 AWS Security Hub 公告又加入 Waste Management 的具名引用,称上线后告警和无关 CVE 有显著减少。主要保留意见是,这些证据几乎都由公司发布,因此生产成熟度的记录远好于独立佐证或合同耐久性。[CU009, CU010, CU011, CU012, CU016, CU017]
| 客户 | 分层 | 部署 / 用例 | 生产 vs 试点 | 结果 | 局限 |
|---|---|---|---|---|---|
| People.ai | AI 软件 / 收入智能 | 替换 Wiz;运行时可见性、拓扑映射和合规自动化 | 生产环境 | 24 小时内运行时覆盖率 >85%,误报减少 20–30% | 仅有公司发布的案例研究 |
| EvenUp | AI 法律科技平台 | API 发现、实时威胁检测、CI/CD 根因分析 | 生产环境 | 告警减少 95%,修复速度提升 7x | 无公开合同范围或续约数据 |
| H2O.ai | AI / 云软件 | 运行时洞察叠加 AWS 上下文,用于 DevSecOps 协作 | 生产环境 | 噪声减少 >90%,根因分析速度提升 10x | 未披露附加率或扩张情况 |
| Spacelift | DevOps / 基础设施即代码平台 | gVisor 可见性、运行时容器取证、更快事件响应 | 生产环境 | 调查时间从数小时降到数分钟 | 定制功能故事未必可外推 |
| Waste Management | 大型工业企业 | 借助 Upwind 运行时平台和 AWS Security Hub 集成,在 AWS 及更广泛云基础设施中铺开 | 生产环境铺开 | 告警显著减少,无关 CVE 也更少 | 引用来自公司 / 伙伴新闻稿,而非独立案例研究 |
| Vestiaire Collective | 零售市场平台 | CNAPP、API 洞察和运行时优先级排序 | 生产环境 | 告警噪声下降,漏洞优先级排序改善 | 结果方向正面,但没有数字化基准 |
表中只保留具名引用,且公开上下文足以判断用例和部署质量。只有客户 logo、没有工作负载描述的提及未放入表体。
[CU009, CU010, CU011, CU012, CU016, CU017]对最强具名客户背书打分,维度包括证据具体度、生产可信度、量化结果和独立佐证。
分数仅基于公开材料判断证据质量:1 = 弱,2 = 中,3 = 强。整组里独立佐证仍是最弱维度。
[CU009, CU012, CU016, CU017, CU020, CU024]6.3 留存、满意度与支持信号
耐久性证据远薄于部署证据。截至本次运行日期,抓取材料中没有保留公开 NRR、GRR、流失率、续约率或合同期限披露,因此本章无法把客户动能转成干净的留存叙事。外部评论信号为正但很浅:PeerSpot 显示平均评分 9.6、推荐率 100%、CNAPP mindshare 3.4%,但只有两条评论。EthicalHacking.ai 给 Upwind 4.3 / 5 评分和企业级定价定位,Latio 则完全没有已验证评论。这些信号说明产品并非无人知晓,但太薄,无法替代续约或队列数据。最强的支持质量证据仍来自公司发布的案例研究,客户称赞快速迭代、快速响应和强 customer-success 参与。反向权重也有意义:PeerSpot 明确称其支持网络不如既有厂商广,初始投入更高;如果 Upwind 想从技术成熟的设计伙伴扩到更广企业基础,这一点很重要。[CU026, CU027, CU028, CU029, CU030, CU031]
| 指标 | 数值 / null | 分层 | 置信度 | 尽调问题 |
|---|---|---|---|---|
| 公开 NRR | 全部客户 | 低 | 索取按客户 logo 队列和模块组合审计过的 NRR | |
| 公开 GRR / 流失 | 全部客户 | 低 | 索取按企业级与中端市场拆分的 GRR、流失率和总客户 logo 留存 | |
| PeerSpot CNAPP 快照 | 9.6/10 评分;100% 推荐;2 条评论;3.4% 心智份额 | 独立评论样本 | 中 | 用更大的评论面板和直接客户推荐来验证 |
| EthicalHacking.ai 评分 | 4.3/5 | 独立市场平台信号 | 低-中 | 确认方法论,以及评论是否经过验证 |
| 支持质量信号 | 公司发布的案例研究给出正面评价 | 具名生产环境引用 | 中 | 索取 CSAT/NPS、支持 SLA 达标率和推荐客户访谈 |
| 负面的支持 / 定价信号 | PeerSpot 称支持网络不够广,初始投入更高 | 独立评论样本 | 中 | 索取支持团队人数、实施周期和价格区间 |
| 已验证外部评论深度 | Latio 显示 0 条已验证评论 | 评论生态 | 中 | 评估营销案例之外的真实拥护深度 |
这张表刻意保持稀疏,因为公开材料没有留下续约、流失或合同期限指标;评论快照只能很弱地代理真实客户韧性。
[CU026, CU027, CU028, CU029, CU030, CU031]6.4 扩张动作与集中度风险
公开记录支持可信的 land-and-expand 动作,但经济性仍不透明。Upwind 不再只销售运行时 CNAPP:公司现在描述向数据、AI 和代码扩张,客户故事覆盖 API 安全、威胁检测与响应、合规自动化、CI/CD 根因分析和运行时可见性。AWS 是尤其重要的分销层。EKS add-on 让客户无需单独采购即可通过 AWS Management Console 部署,Security Hub Extended Plan 又为重 AWS 买家加入单一合同、单一账单和整合支持。这应当改善既有云资产中的扩张,但也把商业杠杆集中到 AWS 手里。渠道依赖是另一个可见因素:CRN 称多数大客户来自渠道,Series B 新闻稿称前一年新增 100+ 家伙伴。由于公司既不披露最大客户集中度,也不披露最大伙伴集中度,投资人能看到扩张向量,却看不到收入基础到底有多分散。[CU007, CU008, CU032, CU033, CU034, CU035]
| 扩张驱动 | 集中度风险 | 影响 | 尽调路径 |
|---|---|---|---|
| 先用运行时 CNAPP 落地,再扩到 AI、数据和代码 | 模块附加率未公开披露 | 若附加真实成立,上行空间可观;若路线图宽度跑过销售执行,则有风险 | 索取附加率、交叉销售和模块留存数据 |
| AWS EKS add-on 和 Security Hub Extended Plan | 依赖 AWS 平台和采购路径 | 加快 AWS 占比较高账户的部署,但也抬高超大云厂商议价权 | 量化 AWS 来源销售管线、收入和合同条款 |
| 100+ 新伙伴和渠道来源大客户 | 未披露头部伙伴集中度 | 伙伴调整优先级,可能打击签约额或续约 | 索取前 10 大伙伴收入和续约情况 |
| 标杆企业客户 logo | 未披露头部客户集中度 | 大客户 logo 流失会损害 ARR 叙事和推荐质量 | 索取前 10 大客户 ARR 占比和客户 logo 流失历史 |
| 云原生买方中的强技术背书 | 推荐样本可能偏向成熟采用者 | 主流企业转化难度更难判断 | 按垂直行业、公司规模和部署模型拆分胜率 |
| 产品故事包含运行时传感器和 agent | 部署授权摩擦在公开材料里仍可见 | POC 到生产周期更长、覆盖率更低,会压低实际价值 | 审查部署覆盖率、完整铺开时间和受阻安装 |
扩张方向是公开的,但背后的收入结构并不公开;因此,这张表强调集中度机制,而不是已经证明的附加率经济性。
[CU007, CU008, CU032, CU033, CU034, CU035]典型 Upwind 企业客户从发现运行时盲区开始,经过试点、生产铺开、扩张,最后成为参考客户。
阶段来自案例研究、AWS 部署页面和企业云安全采购惯例的推断。Upwind 未披露逐阶段转化率。
[CU007, CU009, CU016, CU024, CU034, CU037]Upwind 企业落地销售动作的索引化漏斗,从认知走到可公开背书的生产客户。数值是相对指数,不是披露数量。
指数值反映公开企业安全销售动作中可见的定性压缩。Upwind 未披露实际 POC、部署或参考客户转化率。
[CU001, CU003, CU007, CU034, CU035, CU037]6.5 反向证据与开放尽调要求
主要反向信号不是明确流失事件,而是证据质量和采购摩擦问题。TechCrunch 称早期客户对代理部署犹豫,买家也不想管理多个云安全产品;这正是会拖慢 POC 到生产转化的摩擦。PeerSpot 又补充两项担忧:初始投入更高,支持网络不如成熟既有厂商广。Latio 缺少已验证评论,进一步说明独立拥护度还没有追上公司的公开增长叙事。这些都不否定案例研究——它们真实且常有量化——但确实意味着本章不应仅凭热情推断耐久性。在承销收入质量前,尽调应要求队列留存、合同期限、最大客户集中度、支持容量和伙伴收入数据,让强生产引用能转化为可辩护的客户价值叙事。[CU028, CU029, CU037, CU038]
| 信号 | 来源 | 内容 | 含义 | 尽调问题 |
|---|---|---|---|---|
| 支持覆盖广度担忧 | PeerSpot | 支持网络不如 Check Point 广 | 企业客户基数扩大后,支持扩张存在风险 | 获取支持组织人数、地域覆盖和升级处理指标 |
| 初始投入更高 | PeerSpot | 即便 ROI 很强,Upwind 仍需要更高初始投入 | 可能拖慢中端市场或预算受限交易 | 索取价格区间、折扣历史和平均回本周期 |
| 已验证评论基础薄 | Latio | 目前没有已验证评论 | 外部拥护深度较浅 | 收集非营销客户推荐和续约数据 |
| Agent 部署摩擦 | TechCrunch | 早期客户对 agent 和多工具有所犹豫 | 采购和铺开摩擦会拉长价值实现时间 | 检查 POC 到生产的转化率和覆盖率 |
| 独立证明滞后于增长叙事 | EthicalHacking.ai + PeerSpot(评价来源) | 有评分,但评论量仍然稀疏 | 证据质量落后于独角兽规模叙事 | 对比 Wiz、PANW 和 CrowdStrike 的评论深度与情绪 |
负面证据主要指向证明质量、支持广度和 rollout 摩擦,而不是有记录的流失;因此,公开负面信息可外推的范围有限。
[CU028, CU029, CU030, CU037, CU038]07风险
7.1 商业与竞争风险
Upwind 所处市场需求真实,但平台压力很强。独立市场来源把 CNAPP 描述为快速增长品类,但也指出主要供应商和超大规模云厂商正围绕更广的云与 AI 安全平台收敛。这一点重要,因为 Upwind 通过 TechCrunch 承认,客户不想要多个云安全工具,早期买家也对代理和部署权限犹豫。换句话说,市场正在拉向宽平台故事,而 Wiz、Palo Alto Networks、CrowdStrike、Aqua、SentinelOne 和 Orca 等资本充足的既有厂商已经在营销这类故事。Wiz 自称获得超过一半 Fortune 100 信任。Palo Alto 强调 code-to-cloud-to-SOC 规模。CrowdStrike 把运行时主张与 MITRE 验证配对。Upwind 仍可凭运行时清晰度和产品速度取胜,但它的商业风险并不抽象:如果买家偏好捆绑平台,或 Upwind 无法维持信噪比优势,公司将面临定价压力、转化放慢,以及比单看公开增长数字更艰难的续约叙事。[CR005, CR006, CR010, CR022, CR023, CR024]
| 风险 | 可监控触发项 | 阈值 / 事件 | 行动含义 |
|---|---|---|---|
| 部署摩擦 / 传感器覆盖 | PoC 到生产转化率和达到全覆盖所需时间 | 如果明显慢于管理层说法,或大型客户无法实现广泛覆盖 | 将 GTM 效率假设视为受损,并重新承保销售周期和扩张时间 |
| 支持扩张 | 企业升级负载、SLA 未达标和实施积压 | 标杆客户反复出现客户成功失败,或负面评价主题上升 | 假设续约质量变弱,企业扩张变慢 |
| AWS / 渠道依赖 | AWS 来源收入占比和头部合作伙伴集中度 | 如果 AWS 或头部合作伙伴各自占到两位数比例,且没有强合同保护 | 提高集中度折价,并将商业杠杆视为结构性更弱 |
| 竞争平台压力 | 相对 Wiz、PANW 和 CrowdStrike 的赢 / 输数据;定价让步 | 如果胜率恶化,或折扣明显上升 | 降低对独立差异化和毛利率潜力的信心 |
| 法律 / 控制披露缺口 | 隐私政策、DPA、分包处理方清单、认证和事件披露的可得性 | 如果尽调无法快速取得当前法律 / 控制文档 | 延后投资,或以交付控制包为条件 |
| 增长质量不透明 | NRR、GRR、合同期限和支持成本可见性 | 如果深入尽调后仍拿不到留存和定价数据 | 将估值支撑视为不完整,并转向更高风险的尽调姿态 |
这些是公开信息中信号最强的否决标准,因为它们把抽象产品和市场风险转成可衡量的尽调问题。截至运行日期,没有一项已在公开层面解决。
[CR003, CR010, CR017, CR019, CR021, CR029]截至 2026-05-21,Upwind 最重要公开风险的可能性 / 影响视图。
风险位置来自保留来源集合的定性权重,而不是公司披露的风险模型。
[CR005, CR010, CR017, CR021, CR024, CR029]7.2 平台与运营风险
运营模型很强,但也抬高了执行预期。Upwind 销售一套无代理加运行时的组合方法,现在横跨 CloudTrail、GitHub Actions、EKS add-ons、AI 安全和漏洞可达性。这种广度是价值主张的核心,但也意味着产品质量必须在不断增加的集成和控制点上保持高位。TechCrunch 点明了第一项运营风险:早期客户对代理犹豫。产品页面又从相反方向点明第二项风险:Upwind 公开承诺让客户聚焦真正重要的 5% 风险、实现 7x 更快修复、交付更少无关 CVE。这些强主张为精准度、支持和上线质量设定了很高基线。Waste Management 的引用以及前文客户案例显示,企业用户会期待这些收益在生产中持续。如果信号质量漂移,传感器无法广泛铺开,或支持容量落后于部署复杂度,在买家已经比较多套成熟平台的市场里,信任会迅速被侵蚀。[CR009, CR011, CR012, CR013, CR014, CR015]
| 失效模式 | 可能性 | 严重性 | 缓释成熟度 | 剩余暴露 | 未解决缺口 |
|---|---|---|---|---|---|
| 运行时传感器部署或权限摩擦拖慢生产上线 | 中 | 高 | 中等 — AWS 原生部署入口有帮助,但 TechCrunch 显示早期摩擦仍在 | 销售周期拉长,传感器覆盖率下降,实际价值变弱 | 需要 PoC 到生产转化率和全覆盖所需时间指标 |
| 信号质量漂移削弱「只聚焦最重要风险」的承诺 | 中 | 高 | 中等 — 产品页面强调运行时优先级排序和可达性 | 如果误报上升,在拥挤市场中企业信任会很快下滑 | 需要准确率指标、抑制率和支持升级模式 |
| CloudTrail、GitHub、EKS、AI 和运行时集成扩张,放大故障面 | 中 | 高 | 中等 — 广泛集成覆盖是核心产品优势 | 平台越宽,支持负担和发布复杂度越高 | 需要按界面拆分的集成可用性、回归和发布质量指标 |
| 支持网络跟不上大型客户部署复杂度 | 中 | 高 | 部分成熟 — 案例研究称赞支持,但 PeerSpot 称支持网络不够广 | 实施或升级响应缓慢会损害续约质量 | 需要支持人员数、地理覆盖、响应 SLA 和客户成功配比 |
| 未保留公开状态 / 事件页面,限制可靠性历史透明度 | 中 | 中高 | 低 — 公开证据缺失本身就是问题 | 投资人无法从公开材料交叉验证宕机历史或事件节奏 | 需要状态页历史、事件复盘和披露政策 |
| 大型企业预期超过可泛化的证明集 | 中 | 中高 | 部分成熟 — 有强参考客户标识 | 少数旗舰胜利可能掩盖更广客户群中的复制不均 | 需要全客户账本的赢 / 输分析和结果分布 |
运营评级基于产品公开承诺与独立来源对部署 / 支持说法之间的反差。严重性最高的问题,是那些会在替代选择很多的品类里快速侵蚀客户信任的问题。
[CR009, CR010, CR011, CR012, CR013, CR014]7.3 监管、法律与合规风险
最强的公开控制信号是 AWS Security Competency 身份;这很重要,因为它暗示年度验证,并包括 Compliance 和 Privacy 等类别。但这只是起点。保留来源集仍不包括公开 DPA、隐私政策、子处理方名单、违约条款披露、公开状态页,或清楚记录的供应商侧认证栈,如 SOC 2、ISO 27001 或 FedRAMP。与此同时,公司直接营销到合规敏感工作流:People.ai 和 CallRail 案例研究描述 SOC 2、ISO、Microsoft 365、CIS、HIPAA 和 PCI 用例。这种错位不能证明控制有问题,但会制造尽调风险,因为买家可能把客户用例合规与供应商控制证据混为一谈。AWS Security Hub Extended Plan 又加入第二层治理:单一合同、单一账单、整合支持和通过 AWS 的灵活定价。这提高了采购效率,也把更多商业和运营杠杆放到 AWS 手里。最后,市场来源称 CNAPP 采用受监管变化和实施复杂度限制;随着 Upwind 从运行时 CNAPP 扩到 AI 安全,这两点更重要。[CR001, CR002, CR003, CR004, CR007, CR008]
| 规则 / 议题 | 司法辖区 | 状态 | 可能性 | 严重性 | 缓释措施 | 剩余敞口 | 尽调路径 |
|---|---|---|---|---|---|---|---|
| AWS Security Competency 年度验证 | AWS 生态 / 全球企业买方 | 有效且公开 | 中 | 高 | AWS 年度审查和能力要求,包括合规 / 隐私类别 | 失去状态或控制缺陷会伤害企业可信度和伙伴杠杆 | 向 AWS 核验当前能力范围、审计节奏和任何整改发现 |
| 公开隐私 / DPA / 子处理方披露缺口 | 全球隐私和企业合同 | 在保留的公开语料中未解决 | 高 | 高 | 公司营销合规用例和 AWS 验证 | 若法律文件和处理方细节缺失或不完整,企业尽调可能卡住 | 索取隐私政策、DPA、子处理方清单、泄露通知条款和数据驻留控制 |
| 客户合规故事超过厂商控制证据 | 全球受监管客户 | 活跃营销风险 | 中 | 高 | 案例研究展示面向客户的 HIPAA / PCI / SOC 工作流 | 买方可能把客户用例证据过度解读为厂商侧认证证明 | 将每一条公开合规主张映射到实际厂商认证和第三方审计 |
| AI 安全治理和数据处理义务 | 美国 / 欧盟 / 全球 | 正在形成 | 中 | 中高 | AI 安全平台定位和运行时上下文控制 | 未来 AI 治理要求可能比当前控制披露推进更快 | 要求提供 AI 功能的模型处理、日志、留存和红队文档 |
| 通过 Security Hub 依赖 AWS 合同封装 | AWS 商业环境 | 已生效 | 中 | 中 | 一份合同 / 一张账单简化采购 | 定价、支持和商业议价力可能随时间集中到 AWS | 量化经 AWS 采购的合同、续约条款,以及任何排他性或不利变更条款 |
本表强调公开可验证内容,并把法律政策文档缺失本身视为风险。评级为定性判断,锚定尽调相关性,而不是已披露的事件历史。
[CR001, CR002, CR003, CR004, CR005, CR006]部署、伙伴、披露和平台化风险如何传导到增长质量和估值信心。
[CR003, CR010, CR017, CR021, CR029, CR034]7.4 伙伴与 GTM 依赖风险
分销杠杆清晰可见,依赖也同样清晰。Series B 新闻稿称 Upwind 前一年新增超过 100 家合作伙伴,CRN 报道则称目前多数大客户来自渠道。AWS 关系尤其深:客户可以通过 EKS add-on 部署,摄取 CloudTrail 用于监控和合规工作流,现在还可通过 AWS Security Hub 的 Extended Plan 采购平台。这组依赖可以成为主要增长加速器,尤其对重 AWS 企业如此;但它也把商业杠杆集中到一个超大规模云厂商,以及经济性不公开的伙伴生态上。来源集没有披露最大伙伴集中度、AWS 来源收入或按渠道划分的续约集中度。这意味着伙伴叙事容易被庆祝,却难以承销。如果渠道激励减弱,AWS 偏向其他供应商,或大 logo 胜单继续不成比例地绑定少数伙伴路径,Upwind 的 GTM 韧性可能弱于头条增长率所暗示的水平。[CR019, CR020, CR021, CR033, CR034, CR043]
| 依赖项 | 交易对手 | 角色 | 集中度 | 失效情景 | 严重性 | 缓释措施 | 剩余暴露 |
|---|---|---|---|---|---|---|---|
| AWS | Amazon Web Services | 采购、部署、运行时数据和 Security Hub 分发 | 战略集中度高 | AWS 改变经济条款、优先级或合作伙伴排名;Upwind 失去优先采购杠杆 | 高 | 多个 AWS 入口加深了对 AWS 重度买家的适配 | 平台杠杆仍集中在一家超大规模云厂商手中 |
| 渠道生态 | MSP、VAR、经销商和 ISV | 获取大型客户和全球覆盖 | 高但未披露 | 头部合作伙伴把注意力转向更大的捆绑厂商,降低签约额质量或覆盖范围 | 高 | 100+ 家合作伙伴扩张扩大了网络 | 没有收入分成数据,头部合作伙伴依赖仍不透明 |
| 云控制集成 | AWS CloudTrail 和相邻云服务 | 无代理监控、合规和取证 | 中 | API 或事件模型变化削弱可见性,或制造工程返工 | 中高 | 官方集成提供差异化工作流 | 集成脆弱性仍可能制造支持负担 |
| 开发者工作流集成 | GitHub Actions 和 CI/CD 生态 | 左移和修复工作流 | 中 | 构建时集成失效或产生噪声结果,削弱开发者信任 | 中 | 运行时上下文让工作流更有价值 | 如果工作流摩擦上升,开发者采用可能停滞 |
| 可背书的大型企业 | Waste Management 和其他具名标识 | 社会证明和企业可信度 | 客户集中度未知 | 少数标杆客户主导叙事,随后流失或扩张停滞 | 中高 | 公开标识和案例研究是强证明点 | 不存在公开的头部客户集中度数据 |
| 竞争平台 | Wiz、PANW、CrowdStrike、Aqua、SentinelOne、Orca、Check Point 等同业 | 替代购买路径 | 持续的品类压力 | 捆绑、更知名或验证更充分的平台,在续约或新签时赢下整合交易 | 高 | Upwind 靠运行时上下文和速度差异化 | 市场力量和验证深度仍偏向大型厂商 |
可见依赖栈异常集中在 AWS 和渠道上,而竞争依赖是结构性的,不是双边关系。公开材料让 GTM 杠杆看起来清楚,但不容易承保。
[CR019, CR020, CR021, CR022, CR023, CR024]可见外部依赖如何塑造 Upwind 的产品、采购和客户交付姿态。
[CR004, CR013, CR014, CR019, CR020, CR021]7.5 财务模型与执行风险
最大承销风险不是 Upwind 没有动能,而是动能公开、单位经济私有。公司披露 900% 收入增长、200% logo 增长、数百万工作负载,以及员工翻倍至超过 300 人,但支撑这些数字的运营指标——ARR、毛利率、烧钱速度、NRR、合同期限、支持成本或价格表——在保留材料中都没有公开。这让人很难判断公司是在高效扩张,还是只是快速扩张。外部评论深度也仍偏薄;这一点重要,因为稀疏的独立证据可能掩盖实施负担或结果不均,直到续约周期成熟才暴露出来。执行复杂度也在同步上升:Upwind 正从运行时 CNAPP 扩到 AI、数据和代码,MSSP Alert 显示公司又在其上叠加智能体工作流。结果是典型的后期私营公司风险画像:品类动能和客户故事很强,但关于增长质量、组织厚度和支持经济性是否跟得上野心,公开证据有限。[CR029, CR030, CR031, CR032, CR035, CR036]
| 角色 / 职能 | 依赖或缺口 | 可能性 | 严重性 | 缓释措施 | 尽调路径 |
|---|---|---|---|---|---|
| Amiram Shachar / 创始人兼 CEO | 产品、融资和客户叙事的核心公开面孔 | 中 | 高 | 创始人与市场契合度强,并有投资人支持 | 评估 CEO 以下管理梯队,并审阅继任计划 |
| 支持和客户成功组织 | 员工数翻倍、企业复杂度上升时,组织必须同步扩张 | 中 | 高 | 公开客户引语显示旗舰客户支持强 | 按细分市场索取支持配比、上线时间表和升级事件 |
| 工程和产品组织 | 必须同时在运行时、AI、数据、代码、GitHub 和 AWS 界面交付 | 中 | 高 | 新资本支撑广泛产品野心 | 审阅路线图优先级、发布节奏以及缺陷 / 回滚指标 |
| 全球 GTM 和合作伙伴管理 | APAC 扩张叠加 100+ 家新合作伙伴,提高协同要求 | 中 | 中高 | 渠道和 AWS 杠杆可以抵消直营覆盖限制 | 检查区域覆盖、合作伙伴赋能和一线支持人员配置 |
| 专业云安全人才 | 品类复杂、专长稀缺,可能拖慢执行或增加服务负担 | 中 | 中高 | 创始人履历和资本有助于招聘 | 审阅支持和产品团队的招聘速度、流失率和培训负担 |
公司试图同时扩张组织、地域和产品范围,执行风险因此上升。公开记录支持其野心和势头,但运营细节不足以排除扩张风险。
[CR031, CR032, CR036, CR037, CR038, CR040]08估值
8.1 当下价格与证据的匹配度
标题估值好说,真要承销却难。Upwind 在 2026 年 1 月完成 $250M Series B 后估值达到 $1.5B,而 2024 年 12 月估值还是 $900M。这个跃升有分量,因为速度很快,也伴随清晰的公开增长信号:管理层称收入同比增长 900%,客户 logo 同比增长 200%,员工规模扩至 300 人以上。客户验证也不是假设。Upwind 能拿出具名企业、公开案例,以及比泛泛 logo 墙更具体的运行时优先成果表述。即便如此,公开记录仍停在标题层面。ARR、收入 run rate、毛利率、烧钱速度、NRR、续约曲线和客户集中度都没有披露。因此,当前估值应被看作一家强公司配上一套披露薄弱的经济性证明,而不是一个不证自明的便宜价格。[CV001, CV002, CV003, CV004, CV010, CV011]
| 决策视角 | 当前答案 | 证据支撑 | 含义 |
|---|---|---|---|
| 建议 | 继续研究 | 产品和客户证明较强,但估值支撑仍取决于私人尽调。 | 拿不到内部 KPI 前,不应按当前价格承保买入。 |
| 信心 | 中 | 头部增长、融资和产品宽度可见,但经济性和股权结构条款仍未公开。 | 只有尽调计划能显著提高证据质量时,才继续推进。 |
| 风险评级 | 高 | 竞争正在收敛,价格不透明,核心经济指标未披露。 | 入场纪律比对公司质量的热情更重要。 |
| 估值立场 | 偏高 | $1.5B 估值有战略和品类支撑,但缺少公开 ARR 或利润率锚点。 | 当前估值应视为尽调检查点,而不是已确认的便宜价格。 |
| 决策含义 | 跟踪或尽调;不要自动放弃,也不要自动买入 | 新资本消除了紧迫性,但没有消除价格风险。 | 正确下一步是私人指标尽调,而不是立即投入高确信资本。 |
本表把公开证据转成投资姿态,并刻意保持价格敏感:单靠产品质量不构成买入信号。
[CV001, CV002, CV007, CV010, CV011, CV012]| 视角 | 可支撑的投资逻辑 | 可支撑的反向逻辑 | 什么会改变判断 |
|---|---|---|---|
| 产品 | 运行时优先定位叠加广泛平台扩张,让 Upwind 在整合中的品类里保持相关性。 | 平台宽度越来越常见,差异化可能被侵蚀成 GTM 竞争。 | 证明检测效果、采用率和留存显著优于组合内对手。 |
| 客户 | 具名企业标识和生产案例研究支撑真实买方痛点和部署价值。 | 公开证明更能说明采用,而不是续约耐久性、扩张质量或集中度。 | 提供队列留存、扩张 ARR 和头部客户集中度。 |
| 分发 | 渠道增长和 AWS 路径可以加速触达,并创造战略相关性。 | 渠道依赖会压缩经济性,也会让 Upwind 更早进入平台厂商购买路径。 | 展示合作伙伴来源 ARR、毛额到净额经济性,以及直营对比渠道的回本周期。 |
| 市场 / 退出 | CNAPP 增长叠加 Wiz 级别的战略兴趣,如果 Upwind 成为品类赢家,会带来上行空间。 | 整合也会压缩独立退出窗口,并惩罚没有可证明经济性的厂商。 | 证明 Upwind 能成长为一线独立公司,而不是大套件里的一个功能。 |
| 估值 | 如果私人 ARR、利润率和 NRR 强,当前估值可能合理。 | 没有这些指标,当前估值很容易高于实际收入基础可支撑水平。 | 补齐 ARR、利润率、留存和优先股堆叠尽调缺口。 |
投资逻辑和反向逻辑只基于公开证据。经济数据缺失被刻意计入反向逻辑权重,直到尽调排除。
[CV013, CV015, CV016, CV017, CV018, CV019]从产品验证、市场顺风、披露缺口和估值风险,推导当前建议的链条。
这是推理图,不是量化预测模型。
[CV017, CV018, CV019, CV024, CV035, CV037]8.2 市场与可比框架
品类证据足以支撑继续跟进。TBRC 和其他留存的分析师来源仍指向一个规模大、还在增长的 CNAPP 市场;Dell'Oro 则认为云原生安全正变得更整合、更具战略意义。Wiz 以 $32B 被收购,为品类龙头给出了显眼的上行参照。与此同时,可比公司也解释了为什么估值纪律重要。Fortinet、CrowdStrike、SentinelOne、Check Point、Palo Alto Networks、Sysdig 和 Aqua 都说明,平台宽度越来越只是入场券,分销、支持和经审计披露同样关键。Upwind 的运行时优先叙事可能仍有差异化,但市场已不再只奖励差异化。真正的问题是,Upwind 能否证明自己更接近稀缺的品类赢家,而不是一家有吸引力但经济性尚未验证的次规模平台。[CV017, CV018, CV019, CV021, CV022, CV023]
| 可比对象 | 参考指标 | 倍数 / 估值 / 状态 | 与 Upwind 的相关性 | 局限 |
|---|---|---|---|---|
| Upwind(Series A,Dec 2024) | 私人融资估值 | $900M 投后估值 | 同一家公司的最直接前次检查点。 | 该估值下同样没有公开 ARR 或利润率。 |
| Upwind(Series B,Jan 2026) | 私人融资估值 | $1.5B 投后估值 | 当前入场参考。 | 头部价格仍缺少公开收入锚点。 |
| Wiz / Google | 战略并购参考 | $32B 收购;CNBC 称 Wiz 目标是 $1B ARR | 显示明确市场领导者的品类上行上限。 | Wiz 的规模、品牌和战略稀缺性远领先于 Upwind。 |
| Fortinet / Lacework | 组合厂商整合参考 | Lacework 整合进 FortiCNAPP;Fortinet 2024 收入 $5.96B | 显示大型厂商可以把云安全资产吸收到更广套件中。 | 保留语料没有引用公开收购倍数。 |
| CrowdStrike | 公开基准披露 | FY2026 Form 10-K 提供经审计收入 / 利润率披露 | 展示成熟安全软件公司的公开披露集应有形态。 | 不是直接的运行时安全纯玩家。 |
| SentinelOne / Prisma / Check Point / Sysdig / Aqua(同业平台) | 公开或平台参考集 | 整个品类存在广泛平台和上市公司替代选择 | 有助于理解竞争性退出压力和买方替代选择。 | 多数保留来源更多展示战略宽度,而非干净估值倍数。 |
本表混合了私人估值、战略交易和上市公司披露基准,因为保留的公开语料没有给出一组可与 Upwind 直接比较的干净私人倍数。
[CV001, CV003, CV004, CV025, CV026, CV027]IC 风格评分,覆盖市场、验证、护城河、经济性、风险、估值和证据质量。
分数是 0-10 的序数判断,目的是把建议显性化,而不是藏在正文里。
[CV015, CV016, CV021, CV022, CV023, CV024]8.3 情景与敏感性视角
公开记录不完整,估值只能做情景分析,不能假装精确。牛市情景在概念上很容易描述:未披露的 ARR 基数已经很可观,留存优异,毛利率具备软件质量,公司把运行时优先相关性转化为持久定价权。如果这些事实成立,当前估值最终可能显得保守。基准情景更克制,也更符合今天真正公开的信息:Upwind 是一家强公司,产品市场匹配真实存在,但经济性还没有强到足以支持激进入场价。熊市情景并不需要经营失败;只要增长在私有 KPI 组合达到市场预期之前回归常态,就足够触发压力。换句话说,主要敏感项不是市场叙事,而是尽调能揭示怎样的收入质量。[CV035, CV036, CV037, CV038, CV039, CV040]
| 情景 | 假设 | 指示性估值 / 回报逻辑 | 概率信号 | 关键风险 |
|---|---|---|---|---|
| 乐观 | ARR 基数被证明足够大,NRR 强,毛利率接近软件水平,品类领导者继续享有战略稀缺溢价。 | 如果私人 KPI 组合明显强于公开记录,下一轮估值可能达到 $2.2B-$3.0B+。 | 需要尽调确认 900% 增长主张是在有意义的收入基础上复合增长。 | 即便基本面强,竞争收敛仍可能缩短窗口。 |
| 基准 | 产品证明真实,增长仍好但趋于正常化,经济性不错但不出众。 | 围绕当前估值,$1.2B-$1.8B 的持有至小幅上行区间。 | 最符合当前公开证据组合:公司强,但价格支撑不完整。 | 公平但不便宜的结果,在稀释后仍可能让投资人回报平庸。 |
| 悲观 | 增长放缓快于预期,客户向更大平台整合,尽调暴露留存或利润率偏弱。 | $0.5B-$1.0B 重置 / 持平至下轮估值下调风险。 | 公开记录已经为这种情况留下空间,因为看不到 ARR 或 NRR 底线。 | 估值重置可能早于退出窗口到来。 |
情景区间是方向性估计,锚定当前私人估值、上一轮 $900M 融资、品类交易信号,以及公开单位经济性缺失。它们不是目标价格。
[CV001, CV003, CV004, CV010, CV018, CV025]对当前估值判断影响最大的尽调变量及其相对重要性。
影响分是 1-10 的序数判断,来自当前证据缺口和情景逻辑,不是观察到的统计系数。
[CV036, CV037, CV038, CV039, CV040, CV046]围绕当前价格、上一轮和公开可比信号,给出牛市、基准、熊市的指示性价值区间。
区间只表示方向,取决于私有尽调;它们不是市场价格,也不是正式 DCF。
[CV003, CV004, CV025, CV038, CV039, CV040]8.4 建议与入场纪律
建议为继续研究,置信度中等,风险评级高,估值立场偏紧。这不是对公司的变相负面判断,而是说明价格支撑还不够扎实,无法给出买入建议。新融资降低了近期融资压力,客户证据可信,品类仍具战略相关性。但同一套证据也表明,公司处在一个正在收敛的赛道:大厂可以打包销售,买家仍缺少透明定价,而公开市场投资人会要求比公司当前披露干净得多的 KPI。最合理的姿态是把 Upwind 留在尽调清单上,继续对资产保持兴趣,并让私有财务证据而非叙事热度来决定当前估值是公允,还是只是愿景定价。[CV019, CV021, CV035, CV037, CV041, CV042]
| 触发因素 | 阈值 / 事件 | 如何传导到投资逻辑 | 行动含义 |
|---|---|---|---|
| 收入质量不达预期 | ARR 基数太小,或增长很大程度来自非经常性收入 | 打破“产品动能足以支撑当前估值”的核心论点。 | 不按当前价格投资。 |
| 留存疲弱 | NRR 或 logo 留存显示,快速新增 logo 掩盖了流失 | 增长故事从可持续复利,变成高成本补漏式销售。 | 下行重新按悲观情景定价。 |
| 利润率低于预期 | 毛利率明显低于软件业务应有水平 | 重 runtime 的架构价值低于平台叙事暗示。 | 下调估值区间,并争取更好的进入条款。 |
| 竞争挤压 | 组合型厂商靠捆绑或采购杠杆赢下更多交易 | runtime-first 差异化足以守住定价权的判断被削弱。 | 建议从可跟踪转为按当前价格回避。 |
| 治理 / 条款压力 | 优先股堆叠或老股套现明显改变投资人回报测算 | 即使公司继续执行,回报潜力也会被压低。 | 要求条款透明,否则放弃。 |
这些触发点要能被持续跟踪,并且直接关系到估值支撑;它们不只是判断公司是否还在交付产品。
[CV021, CV035, CV036, CV038, CV039, CV040]8.5 最终尽调问题与 thesis-break 触发器
本章还需要补的工作很直接。承销买入之前,投资人需要 ARR 衔接表、分群留存、客户集中度、毛利率、烧钱速度、伙伴经济性,以及真实的清算优先权结构。这些不是例行材料,而是决定当前股东是在支付合理软件倍数,还是走向未来估值重置风险的变量。论点失效触发器也因此必须写清楚。如果流失显著差于预期,如果毛利率看起来偏基础设施负担,如果渠道杠杆伴随真实的 gross-to-net 压缩,或者股权结构表的悬挂风险高于标题所暗示,当前估值会很快失去辩护空间。反过来,如果这些指标表现强劲,建议也可以快速上调,因为产品和品类证据已经足以支持继续推进。[CV007, CV008, CV009, CV036, CV038, CV040]
| 主题 | 缺失证据 | 重要性 | 负责人 / 尽调路径 |
|---|---|---|---|
| ARR 与签约额 | 当前 ARR、季度签约额桥、销售管线质量 | 公开证据无法锚定可用收入倍数。 | CEO / CFO 尽调会,加董事会 KPI 包。 |
| 留存与集中度 | NRR、总留存、前 10 大客户集中度 | 判断表面 logo 增长是否可持续。 | 按队列和客户分层抽取收入运营数据。 |
| 利润率与烧钱 | 毛利率、托管成本、支持负载、现金消耗、现金跑道 | 区分软件级经济性与资本密集型增长。 | 财务经营复盘。 |
| 股权结构表与条款 | 优先股堆叠、参与权、反稀释、新股与老股交易拆分 | 投资人结果可能与名义投后估值明显背离。 | 法律尽调覆盖章程和条款文件。 |
| GTM 质量 | 渠道来源 ARR、胜率、CAC 回本周期、服务收入占比 | 渠道规模能扩大触达,也可能压缩经济性。 | CRO / 销售财务会议,拆解渠道瀑布。 |
| 退出准备度 | 审计准备、KPI 规范、治理纪律、资料室完整度 | 若缺少机构级披露,退出窗口可能早于公司准备完成。 | 财务总监 / 法务 / 董事会流程复盘。 |
这张表把公开尽调接到私募承销。每个问题都对应一个证据缺口,并会实质影响估值信心。
[CV007, CV008, CV009, CV036, CV041, CV045]8.6 图表
免责声明
本报告是内部研究材料,基于截至 2026-05-21 可获得的公开证据;不构成投资建议。情景区间和估值结论只是方向性判断,待审阅私有尽调材料后,仍可能出现重大修订。
证据索引
| 编号 | 陈述 | 可信度 | 来源 |
|---|---|---|---|
| CO001 | Upwind was founded in 2022. | 中 | SO002, SO006, SO013 |
| CO002 | Upwind's founding team consists of Amiram Shachar, Lavi Ferdman, Liran Polak, and Tal Zur. | 中 | SO005, SO006, SO007 |
| CO003 | The founders previously built Spot.io (Spotinst) before starting Upwind. | 中 | SO002, SO006, SO007 |
| CO004 | Spot.io was acquired by NetApp for about $450 million in 2020. | 中 | SO003, SO006, SO007 |
| CO005 | Upwind's core thesis is that cloud security should be built on runtime evidence rather than static posture snapshots alone. | 中 | SO001, SO004, SO019 |
| CO006 | Upwind positions itself as a cloud and AI security platform for the realtime era. | 中 | SO001, SO022, SO023 |
| CO007 | Official company materials describe Upwind as headquartered in San Francisco, California. | 中 | SO003, SO002 |
| CO008 | Leaders Fund said Upwind had scaled to roughly 70 people across Tel Aviv and San Francisco by the time of its September 2023 financing. | 中 | SO006 |
| CO009 | Upwind says it is used by hundreds of enterprises and security teams worldwide. | 中 | SO001, SO021 |
| CO010 | Amiram Shachar is Upwind's co-founder and CEO in current public materials. | 中 | SO002, SO016 |
| CO011 | Tal Zur is publicly listed as Upwind's CTO and co-founder. | 中 | SO002, SO016 |
| CO012 | Lavi Ferdman is publicly listed as co-founder and growth leader at Upwind. | 中 | SO002, SO016 |
| CO013 | The current public leadership team also includes Tomer Hadassi, Rinki Sethi, Nadav Naor, Dan Yahav, Moran Sher Ronat, Max Stevens, Jonathan Cohen, Moshe Hassan, Nardit Hikry, and Aviv Globman. | 中 | SO002, SO016, SO017 |
| CO014 | Upwind's public board disclosure names Gili Raanan, Saam Motamedi, and Gideon Hayden. | 中 | SO002 |
| CO015 | Greylock described Upwind as the largest seed round it had ever participated in for a software company. | 中 | SO002, SO008 |
| CO016 | The public record does not provide a full picture of independent directors, board committees, or control-rights allocation. | 中 | SO002, SO016 |
| CO017 | Upwind shows meaningful key-person dependence around Amiram Shachar because he anchors the founder narrative, product thesis, and fundraising story across retained sources. | 中 | SO002, SO003, SO004, SO006 |
| CO018 | Leaders Fund says it financed Upwind with a $30 million seed round in September 2022. | 中 | SO006, SO008 |
| CO019 | Upwind announced a $50 million financing in September 2023, bringing total capital raised within its first year to $80 million. | 中 | SO007, SO008, SO013 |
| CO020 | Upwind announced a $100 million Series A round in December 2024 led by Craft Ventures with TCV and Alta Park joining. | 中 | SO009, SO010, SO011 |
| CO021 | TechCrunch reported that Upwind's December 2024 Series A valued the company at $900 million post-money. | 中 | SO010, SO011 |
| CO022 | Upwind announced a $250 million Series B in January 2026 at a $1.5 billion valuation led by Bessemer Venture Partners. | 中 | SO003, SO004, SO005 |
| CO023 | Upwind's total raised reached $430 million by the January 2026 Series B announcement. | 中 | SO003, SO005, SO015 |
| CO024 | The 2026 round also included Salesforce Ventures and Picture Capital, while prior investors such as Greylock, Cyberstarts, Leaders Fund, Craft Ventures, TCV, Alta Park, Cerca Partners, Swish Ventures, and Penny Jar continued to back the company. | 中 | SO003, SO005 |
| CO025 | At the time of the 2024 Series A, Upwind said it had about 150 employees and planned to double to nearly 300 during 2025. | 中 | SO009, SO010 |
| CO026 | The 2026 Series B announcement said Upwind had expanded its workforce from 150 to more than 300 employees over the prior year. | 中 | SO003, SO015 |
| CO027 | The 2026 Series B announcement said Upwind achieved 900% year-over-year revenue growth. | 中 | SO003, SO004, SO005 |
| CO028 | The 2026 Series B announcement said Upwind achieved 200% year-over-year logo growth. | 中 | SO003, SO005 |
| CO029 | The 2026 Series B announcement says Upwind secures millions of workloads for Waste Management, Siemens, Carvana, Roku, ClickUp, Wix, Nubank, Agoda, Peloton, Fiverr, and BILL. | 中 | SO003, SO020 |
| CO030 | TechCrunch reported that Upwind initially faced customer hesitation because security teams were reluctant to deploy agents and questioned whether the runtime-first approach would integrate smoothly. | 中 | SO004 |
| CO031 | TechCrunch reported that Upwind decided it needed to build a broad integrated platform because customers did not want multiple point tools for cloud security. | 中 | SO004 |
| CO032 | Current product materials show that Upwind's platform spans CNAPP, CSPM, CDR, vulnerability management, API security, AI security, and adjacent cloud-security workflows. | 中 | SO001, SO022, SO023 |
| CO033 | Upwind's official product materials say the platform combines agentless scanners with runtime sensors. | 中 | SO022, SO019 |
| CO034 | People.ai says it replaced Wiz with Upwind and reached more than 85% runtime sensor coverage in one day using Terraform and Helm. | 中 | SO024 |
| CO035 | Upwind achieved AWS Security Competency status in June 2024. | 中 | SO025 |
| CO036 | Upwind integrated with the AWS Security Hub Extended plan in February 2026. | 中 | SO020 |
| CO037 | Waste Management's CISO said Upwind reduced alerts and irrelevant CVEs after deployment and helped teams focus on real actionable risk. | 中 | SO020 |
| CO038 | MSSP Alert said Upwind's AI Agentic Pack is built around runtime context and early deployments showed investigation time reductions of up to 75% and alert-volume reductions above 90% in some environments. | 中 | SO019 |
| CO039 | Upwind launched API Security in 2024 as part of its broader runtime-powered platform expansion. | 中 | SO020, SO023 |
| CO040 | Upwind launched agentless cloud scanners in 2024 to complement its eBPF sensor-centric approach. | 中 | SO022 |
| CO041 | Upwind's public 2024 materials described operations across Israel, San Francisco, the U.K., and Iceland, while 2026 materials referenced growing momentum in Australia, India, Singapore, and Japan. | 中 | SO003, SO009, SO004 |
| CO042 | Public sources still do not disclose audited ARR, gross margin, NRR, pricing, debt, or a precise current customer count, so diligence on operating quality remains incomplete despite the large valuation step-up. | 中 | SO003, SO004, SO005, SO015 |
| CO043 | PeerSpot's 2026 comparison described Upwind as easier to deploy than Check Point CloudGuard but also said the platform can require a higher initial investment and a less extensive support network. | 中 | SO026 |
| CM001 | CNAPP is publicly defined as lifecycle security for cloud-native apps and infrastructure from development to production. | 中 | SM018, SM020 |
| CM002 | Upwind defines its platform around application security, posture, and real-time protection on one platform. | 中 | SM001 |
| CM003 | Upwind combines agentless scanners with runtime sensors rather than choosing one architecture only. | 中 | SM001 |
| CM004 | Upwind’s CSPM page emphasizes asset discovery, relationship mapping, attack paths, and compliance. | 中 | SM002 |
| CM005 | Upwind’s CDR page emphasizes baselining, investigations, blast radius, and real-time response. | 中 | SM003 |
| CM006 | Upwind’s vulnerability page says the product focuses on vulnerabilities that are actually exploitable in runtime. | 中 | SM004 |
| CM007 | Upwind’s API page expands the budget boundary into API discovery, schema drift, and API runtime abuse. | 中 | SM006 |
| CM008 | Upwind’s AI page expands the adjacency into models, agents, prompts, retrieval paths, and AI runtime behavior. | 中 | SM005 |
| CM009 | Upwind’s integrations page shows the buying perimeter can include CI/CD, IAM, SIEM, SOAR, and VM tooling. | 中 | SM007 |
| CM010 | The AWS CloudTrail integration supports agentless monitoring, compliance automation, and forensic traceability. | 中 | SM008 |
| CM011 | AWS Security Competency validation places Upwind inside threat detection, infra protection, data protection, compliance, and app security use cases. | 中 | SM010 |
| CM012 | Upwind’s market commentary says CNAPP is both crowded and consolidating. | 中 | SM009 |
| CM013 | TBRC defines CNAPP for microservices, containers, and orchestration-heavy cloud environments. | 中 | SM018 |
| CM014 | TBRC sizes CNAPP at $15.42B in 2026 versus $12.96B in 2025. | 中 | SM018 |
| CM015 | TBRC forecasts CNAPP at $30.91B by 2030 with about 19% CAGR. | 中 | SM018 |
| CM016 | TBRC says North America is the largest region and Asia-Pacific the fastest-growing. | 中 | SM018 |
| CM017 | TBRC segments CNAPP by public versus hybrid cloud, platform versus services, and verticals including BFSI and healthcare. | 中 | SM018 |
| CM018 | MarketsandMarkets exposes large enterprise, public cloud, platform, and BFSI as leading segment lenses. | 中 | SM019 |
| CM019 | MarketsandMarkets lists cyber threats plus BYOD and remote work as market drivers. | 中 | SM019 |
| CM020 | MarketsandMarkets lists limited expertise, changing regulations, and CNAPP complexity as constraints. | 中 | SM019 |
| CM021 | Gartner treats CNAPP as a category security leaders actively evaluate when selecting providers. | 中 | SM020 |
| CM022 | Dell’Oro keeps CNAPP distinct from AI Systems Security while treating the two as adjacent. | 中 | SM021 |
| CM023 | Dell’Oro describes CNAPP coverage as infrastructure, workloads, identities, permissions, posture, exposure paths, and runtime. | 中 | SM021 |
| CM024 | Dell’Oro highlights point-tool-to-platform shifts plus M&A as central market dynamics. | 中 | SM021 |
| CM025 | Wiz frames a substitute path around a code-cloud-runtime security graph. | 中 | SM022 |
| CM026 | Orca frames a substitute path around agentless onboarding and low-friction coverage. | 中 | SM023 |
| CM027 | Prisma frames a substitute path around code-to-cloud-to-SOC plus AI-SPM. | 中 | SM024 |
| CM028 | CrowdStrike frames a substitute path around agentless visibility plus a sensor-backed runtime layer. | 中 | SM025 |
| CM029 | SentinelOne frames a substitute path around CSPM, CWPP, DSPM, AI-SPM, CIEM, EASM, and DevSecOps. | 中 | SM026 |
| CM030 | CAVA said prior cloud and API tools showed inventory and external exposure but not runtime behavior. | 中 | SM011 |
| CM031 | H2O.ai said security bought Upwind but DevOps became a major user and advocate. | 中 | SM012 |
| CM032 | H2O.ai said Upwind plus AWS context cut more than 90% of noise and got to root cause 10x faster. | 中 | SM012 |
| CM033 | People.ai replaced Wiz because static inventory lacked live runtime visibility and prioritization. | 中 | SM013 |
| CM034 | People.ai said earlier sensor deployment through golden images created scaling friction. | 中 | SM013 |
| CM035 | People.ai used the platform across engineering, security, audit, and compliance workflows. | 中 | SM013 |
| CM036 | People.ai reached more than 85% runtime coverage in the first 24 hours with Terraform and Helm. | 中 | SM013 |
| CM037 | CallRail uses Upwind for SOC, HIPAA, and PCI control visibility. | 中 | SM014 |
| CM038 | Petrofac uses Upwind for AKS visibility, identity awareness, and 98% alert reduction. | 中 | SM015 |
| CM039 | TTMzero said it evaluated other tools and found Upwind strongest for a unified DevSecOps workflow. | 中 | SM016 |
| CM040 | The AWS EKS add-on embeds deployment in the AWS console, APIs, CloudFormation, Terraform, and Marketplace. | 中 | SM017 |
| CM041 | PeerSpot says Check Point looks better supported and cheaper upfront while Upwind is simpler to deploy. | 中 | SM027 |
| CM042 | Public sources support a large and growing category but not a clean public SAM or SOM for runtime-first specialists. | 中 | SM018, SM019, SM020, SM021 |
| CP001 | Upwind positions itself as one platform spanning application security, posture, and real-time protection. | 中 | SP001 |
| CP002 | Upwind’s market commentary says the CNAPP field is crowded and consolidating. | 中 | SP003 |
| CP003 | Upwind’s integrations page shows breadth across CI/CD, IAM, SOAR, SIEM, monitoring, and VM workflows. | 中 | SP002 |
| CP004 | Upwind’s EKS add-on embeds deployment inside the AWS console and AWS Marketplace. | 中 | SP004 |
| CP005 | CRN said Upwind added more than 100 new partners during the year before Series B and many big accounts came through channel. | 中 | SP008 |
| CP006 | TechCrunch reported that some early Upwind customers hesitated about deploying agents and worried about integration complexity. | 中 | SP009 |
| CP007 | People.ai said it migrated away from Wiz because static inventory lacked live runtime visibility and prioritization. | 中 | SP005 |
| CP008 | People.ai said Wiz Defend required sensors to be manually added to golden images, creating scaling friction. | 中 | SP005 |
| CP009 | CAVA said it had used multiple cloud and API tools before adopting Upwind for runtime context and consolidation. | 中 | SP006 |
| CP010 | TTMzero said it evaluated other tools and found Upwind strongest for a unified DevSecOps model. | 中 | SP007 |
| CP011 | PeerSpot said Check Point CloudGuard had 3.9% CNAPP mindshare versus Upwind’s 3.4% in May 2026. | 中 | SP010 |
| CP012 | PeerSpot said Check Point is competitively priced and more extensively supported, while Upwind is simpler to deploy but higher upfront. | 中 | SP010 |
| CP013 | Wiz frames its platform as one security graph connecting code, cloud, and runtime. | 中 | SP011 |
| CP014 | Wiz says it is trusted by more than 50% of Fortune 100 companies. | 中 | SP011 |
| CP015 | CNBC reported that Google signed a definitive agreement to acquire Wiz for $32B and that Wiz had targeted $1B ARR. | 中 | SP012 |
| CP016 | Orca positions itself as the pioneer of agentless cloud security built around SideScanning and full-stack coverage. | 中 | SP013 |
| CP017 | Orca says agent-first approaches create overhead and friction for DevOps and security teams. | 中 | SP013 |
| CP018 | Orca presents one platform spanning CSPM, CWPP, CIEM, DSPM, VM, API security, and compliance. | 中 | SP013 |
| CP019 | Prisma Cloud markets a code-to-cloud-to-SOC platform and explicitly extends into AI-SPM. | 中 | SP014 |
| CP020 | Prisma Cloud says it analyzes 1T events every 24 hours and 1.5M new attacks daily. | 中 | SP014 |
| CP021 | Prisma’s public page emphasizes partners and managed services, showing strong distribution reach. | 中 | SP014 |
| CP022 | CrowdStrike combines agentless visibility with the Falcon sensor and maps cloud detections to 281+ adversaries. | 中 | SP015 |
| CP023 | CrowdStrike claims 100% detection and protection in MITRE’s cloud evaluation and 89% faster response. | 中 | SP015 |
| CP024 | SentinelOne markets a CNAPP spanning CSPM, CWPP, DSPM, AI-SPM, CIEM, EASM, and DevSecOps. | 中 | SP016 |
| CP025 | SentinelOne says it supports public, private, hybrid, and on-prem environments and is trusted by four of the Fortune 10 and hundreds of the Global 2000. | 中 | SP016 |
| CP026 | Check Point describes itself as one of the largest pure-play security vendors globally. | 中 | SP017 |
| CP027 | Fortinet reported $5.96B 2024 revenue and now lists Lacework FortiCNAPP inside its product portfolio. | 中 | SP018 |
| CP028 | Fortinet’s investor-facing site highlights managed cloud security and other managed services. | 中 | SP025 |
| CP029 | Sysdig markets runtime insights, Falco-powered detections, agent plus agentless deployment, and 6:1 tool consolidation. | 中 | SP019 |
| CP030 | Sysdig says Forrester named it a Leader in Cloud Native Application Protection Solutions in Q1 2026. | 中 | SP019 |
| CP031 | Aqua markets code-to-cloud-to-prompt coverage and says it is trusted by 41% of the Fortune 100. | 中 | SP020 |
| CP032 | DellOro says buyers must compare hyperscalers, portfolio security vendors, and pure-play specialists, and that M&A is shaping positioning. | 中 | SP021 |
| CP033 | Gartner’s abstract shows CNAPP has converged into a broad lifecycle category, making capability overlap a structural feature of competition. | 中 | SP022 |
| CP034 | TBRC’s CNAPP key-player list includes major platform vendors and cloud-security specialists together. | 中 | SP023 |
| CP035 | SentinelOne’s investor overview describes a broad AI-powered security platform spanning endpoints, cloud workloads, containers, and identities. | 中 | SP024 |
| CP036 | Upwind’s strongest public differentiation claim is runtime-first context across apps, cloud, and AI rather than posture-only visibility. | 中 | SP001, SP003 |
| CP037 | Upwind’s AWS routes provide procurement leverage, but they also tie competition directly to hyperscaler-adjacent buying paths. | 中 | SP004, SP026 |
| CP038 | Most major vendor pages route buyers to demos or contact forms rather than publish usable enterprise list prices. | 中 | SP001, SP011, SP014, SP015, SP016, SP019, SP020 |
| CP039 | PeerSpot provides one contrary price signal by saying Check Point appears cheaper and better supported than Upwind. | 中 | SP010 |
| CP040 | Platform breadth is now common enough that Upwind’s moat depends on execution, runtime precision, procurement ease, and ecosystem fit more than on one unique module. | 中 | SP002, SP014, SP016, SP018, SP023 |
| CP041 | Consolidation is visible because Google moved to buy Wiz and Fortinet folded Lacework into FortiCNAPP while DellOro highlights M&A as a core market issue. | 中 | SP012, SP018, SP021 |
| CP042 | The field includes pure-play specialists, portfolio vendors, and the status-quo option of keeping several tools in place. | 中 | SP006, SP021, SP023 |
| CP043 | Established public vendors appear to have stronger support and distribution scale than Upwind. | 中 | SP010, SP017, SP024, SP025 |
| CP044 | Runtime depth versus agentless simplicity is a central architecture tradeoff rather than a settled winner. | 中 | SP001, SP005, SP013, SP015, SP016 |
| CP045 | Public sources do not provide enough private-company revenue, win-loss, retention, or realized pricing data to prove moat durability on their own. | 中 | SP008, SP012, SP021, SP023 |
| CI001 | Upwind sells through a demo-led enterprise software motion rather than a public self-serve checkout. | 中 | SI001, SI012 |
| CI002 | Official Upwind surfaces do not publish list pricing, seat prices, or usage-based rate cards. | 中 | SI001, SI012 |
| CI003 | Public materials position Upwind as a unified cloud and AI security platform that can expand across multiple modules rather than a single narrow point product. | 中 | SI001, SI007, SI012 |
| CI004 | Upwind said in January 2026 that it achieved 900% year-over-year revenue growth. | 中 | SI002, SI003, SI017 |
| CI005 | Upwind said in January 2026 that it achieved 200% year-over-year logo growth. | 中 | SI002, SI017 |
| CI006 | The company says it secures millions of workloads for named enterprises including Waste Management, Siemens, Carvana, Roku, ClickUp, Wix, Nubank, Agoda, Peloton, Fiverr, and BILL. | 中 | SI002, SI017 |
| CI007 | Public customer outcome claims include 98% alert reduction and 60% fewer irrelevant CVEs for deployed customers. | 中 | SI002, SI010, SI011 |
| CI008 | Leaders Fund says it financed Upwind with a $30 million seed round in September 2022. | 中 | SI004, SI006 |
| CI009 | Upwind's rapid follow-on financing within its first year suggests the company de-risked early capital access unusually quickly for a young security vendor. | 中 | SI005, SI006, SI025 |
| CI010 | Upwind announced a $100 million Series A in December 2024 and public coverage tied total funding to $180 million. | 中 | SI007, SI008, SI018, SI019, SI020 |
| CI011 | Upwind announced a $250 million Series B in January 2026 and public coverage tied total funding to $430 million. | 中 | SI002, SI013, SI016, SI017 |
| CI012 | The 2026 raise was described as funding faster investment in product and go-to-market while continuing to invest in customer support and global growth. | 中 | SI002, SI003, SI018 |
| CI013 | Management said the next phase of investment would expand the platform across data, AI, and code. | 中 | SI002, SI003 |
| CI014 | By the time of the Series B, public sources indicated that Upwind had more than doubled employee count versus the prior year, implying materially higher fixed-cost, support-capacity, and execution demands. | 中 | SI002, SI015, SI017 |
| CI015 | At the time of the 2024 Series A, Upwind planned to nearly double headcount to roughly 300 employees. | 中 | SI008, SI018, SI019, SI020 |
| CI016 | Upwind said it added more than 100 new partners across ISVs, MSPs, and resellers during the year preceding the 2026 round. | 中 | SI002, SI016 |
| CI017 | CRN reported that Upwind management said most of the company's big accounts came through channel partners. | 中 | SI016 |
| CI018 | Channel leverage may improve acquisition efficiency, but public sources do not disclose reseller margin share, partner commissions, or partner-sourced revenue mix. | 中 | SI016, SI002, SI009 |
| CI019 | TechCrunch reported that customers were initially hesitant to deploy agents and that the sales process took time because the runtime-first approach needed integration acceptance. | 中 | SI003 |
| CI020 | TechCrunch also reported that Upwind concluded it needed a broad integrated platform because customers did not want another narrow cloud-security point tool. | 中 | SI003 |
| CI021 | TechCrunch described Upwind's target customers as large, data-intensive organizations with sizable cloud footprints. | 中 | SI003 |
| CI022 | No retained public source discloses an exact current ARR or revenue run-rate for Upwind. | 中 | SI002, SI003, SI013 |
| CI023 | No retained public source discloses Upwind's gross margin, cost of revenue, or revenue-recognition policy in auditable detail. | 中 | SI001, SI002, SI003, SI013 |
| CI024 | No retained public source discloses monthly burn, runway, or an ending cash balance for Upwind. | 中 | SI002, SI003, SI013 |
| CI025 | No retained public source disclosed debt, warehouse financing, or project-finance obligations for Upwind. | 中 | SI002, SI003, SI013 |
| CI026 | No retained public source discloses a pricing book, discount policy, minimum contract term, or realized price per workload or module. | 中 | SI001, SI009, SI012 |
| CI027 | Customer outcome claims support a strong ROI narrative, but those outcomes do not disclose contract value, renewal behavior, or contribution margin. | 中 | SI002, SI010, SI011, SI012 |
| CI028 | Product expansion across data, AI, code, and customer support implies continued heavy R&D and post-sales investment even after the 2026 raise. | 中 | SI002, SI003, SI010, SI024 |
| CI029 | Partner expansion and channel dependence imply ongoing sales, enablement, and support expense even if acquisition efficiency improves. | 中 | SI002, SI016, SI017 |
| CI030 | CrowdStrike and Fortinet both publish audited annual filings, highlighting the disclosure standard available for public security vendors but not for Upwind. | 中 | SI021, SI022 |
| CI031 | Public security-company filings make gross-margin and sales-and-marketing lines auditable for peers, while Upwind provides only growth commentary and capital headlines. | 中 | SI021, SI022, SI002, SI003 |
| CI032 | Financial underwriting of Upwind therefore still depends on private diligence for margin conversion, payback, retention, customer concentration, and cash consumption. | 中 | SI002, SI003, SI021, SI022 |
| CI033 | The $250 million Series B materially reduces near-term financing pressure relative to the company's earlier funding base. | 中 | SI002, SI011, SI013 |
| CI034 | Because capital access is already strong, the next financing trigger is more likely to be proof of efficient growth and operating quality than simple survival capital. | 中 | SI002, SI003, SI021, SI022 |
| CI035 | The public sales motion suggests annual enterprise contracts with implementation and expansion dynamics, but revenue-recognition details remain undisclosed. | 中 | SI001, SI012, SI016 |
| CI036 | Public sources provide named customers and growth rates but not concentration, churn, NRR, or renewal data. | 中 | SI002, SI003, SI012 |
| CI037 | PeerSpot described Upwind as easier to deploy than Check Point CloudGuard but also said Upwind can require a higher initial investment and a less extensive support network. | 中 | SI009 |
| CI038 | Channel momentum, product breadth, and developer-adjacent expansion imply upsell potential across modules, but public sources do not quantify attach rate or net expansion. | 中 | SI001, SI002, SI016, SI018 |
| CI039 | Upwind's RealCloud partnership indicates the company also uses regional channel partnerships to streamline procurement and support adoption outside its core direct-sales motion, but the revenue share and partner economics remain undisclosed. | 中 | SI026 |
| CE001 | Upwind describes the product as a runtime intelligence layer that connects cloud inventory, posture, network topology, applications, and identities into one operational picture. | 中 | SE001, SE011 |
| CE002 | Official product surfaces frame Upwind as a Cloud-Native Application Protection Platform rather than a single-purpose tool. | 中 | SE001, SE011, SE003 |
| CE003 | The CSPM product page says Upwind inventories services, identities, and workloads across every cloud and account. | 中 | SE012 |
| CE004 | The CSPM product page says Upwind visualizes how workloads, services, and identities interact across cloud boundaries and prioritizes only the highest-risk exposures. | 中 | SE012 |
| CE005 | The CDR page says Upwind correlates logs, network topology, resource graph context, and CI/CD activity to accelerate investigations. | 中 | SE013 |
| CE006 | The CDR page says Upwind baselines cloud behavior and detects privilege escalation, lateral movement, and risky API use in real time. | 中 | SE013 |
| CE007 | The vulnerability-management page says Upwind combines agentless and eBPF runtime coverage to discover vulnerabilities from build to runtime across workloads and containers. | 中 | SE014, SE022 |
| CE008 | The vulnerability-management page says Upwind validates exploitability through function-level reachability and links findings back to the exact developer and commit. | 中 | SE014, SE019 |
| CE009 | The API-security page says Upwind auto-discovers managed, unmanaged, and shadow APIs across clouds and containers. | 中 | SE015 |
| CE010 | The API-security page says Upwind supports REST, GraphQL, gRPC, SOAP, and legacy protocols while continuously mapping schemas from runtime behavior. | 中 | SE015 |
| CE011 | The API-security page says Upwind classifies sensitive data in motion and combines discovery, threat detection, and DAST-style validation in one workflow. | 中 | SE015 |
| CE012 | The AI-security platform page says Upwind adds AI inventory, AI-BOM, AI non-human identity mapping, AI-SPM, AI data classification, and offensive testing for AI workflows. | 中 | SE016 |
| CE013 | The Agentic Pack page says the product includes Choppy, Blue, Red, and Green agents that orchestrate investigation, validation, and remediation across the platform. | 中 | SE017, SE007 |
| CE014 | MSSP Alert reported that Upwind positions the Agentic Pack as a runtime-context control plane that can be used through UI, APIs, AI gateways, and headless workflows. | 中 | SE007 |
| CE015 | Official product copy says Upwind brings together agentless scanners and real-time sensors rather than relying on only one collection method. | 中 | SE011, SE022 |
| CE016 | The agentless-scanners launch says scanners cover serverless containers, functions, older virtual machines, and classic VM-based environments. | 中 | SE022, SE028 |
| CE017 | The agentless-scanners launch says scanners can be deployed via CloudFormation StackSets or Terraform and run as autoscaling groups that snapshot VM disks to scan for vulnerabilities, malware, secrets, and misconfigurations. | 中 | SE022 |
| CE018 | The Amazon EKS add-on post says customers can deploy Upwind from the AWS Management Console, AWS APIs, CloudFormation, or Terraform without a separate procurement process. | 中 | SE023 |
| CE019 | The EKS add-on post says the lightweight eBPF sensor maps process-level and graph-based topology, resolves AWS services from ENIs and APIs, and can respond at process, network, and system-call levels. | 中 | SE023, SE004, SE005 |
| CE020 | Upwind published support posts for OpenShift, Amazon ECS, and AWS Lambda, indicating that the platform is designed for hybrid, containerized, and serverless workloads. | 中 | SE026, SE027, SE028 |
| CE021 | The ECS support post says Upwind brings runtime threat detection, vulnerability management, topology mapping, and API security to ECS workloads. | 中 | SE027 |
| CE022 | The Lambda support post says agentless scanners cover vulnerabilities, exposed secrets, malware, inventory, and Lambda IAM role risks. | 中 | SE028 |
| CE023 | The integrations catalog shows Upwind connects to CI/CD, IAM, SOAR, monitoring, vulnerability-management, and SIEM tools across the broader cloud ecosystem. | 中 | SE018 |
| CE024 | The GitHub Actions integration page says Upwind embeds build-time scans into GitHub workflows and uses runtime context to prioritize what actually matters before deployment. | 中 | SE019, SE014 |
| CE025 | The AWS CloudTrail integration page says Upwind ingests CloudTrail logs for continuous agentless monitoring, anomaly detection, compliance automation, and forensic investigation. | 中 | SE020 |
| CE026 | The Datadog integration page says Upwind can send events and issue findings into Datadog through outbound webhooks. | 中 | SE021 |
| CE027 | The CI/CD auto-discovery post says Upwind can gather build-time and deploy-time insights without requiring every individual pipeline integration, while still allowing deeper developer attribution through existing build integrations. | 中 | SE029, SE019 |
| CE028 | The non-human-identity post says Upwind exposes cross-account role details, trusted entities, resource relationships, and an authorization graph for AWS role use. | 中 | SE030 |
| CE029 | The identity-security post says Upwind discovers human and machine identities across clouds, baselines behavior, and supports CIEM and identity-threat-detection workflows. | 中 | SE031 |
| CE030 | The AI-security platform and home pages position AI workflows as part of the same runtime-driven control plane rather than a separate product silo. | 中 | SE001, SE016, SE017 |
| CE031 | The Spacelift case study says Upwind built custom gVisor support that delivered process-level visibility inside isolated containers without breaking tenant isolation. | 中 | SE025 |
| CE032 | The Spacelift case study says incidents that previously took hours to diagnose could be understood in minutes once runtime visibility was in place. | 中 | SE025 |
| CE033 | The TTMzero DevSecOps post says the customer evaluated alternatives and found Upwind meaningfully stronger for its DevSecOps workflow. | 中 | SE024 |
| CE034 | PeerSpot described Upwind as easier to deploy than Check Point CloudGuard but also as requiring a higher initial investment and having a less extensive support network. | 中 | SE006 |
| CE035 | TechCrunch reported that early customers were hesitant about deploying agents and that the runtime-first approach initially raised integration concerns. | 中 | SE003 |
| CE036 | TechCrunch also reported that Upwind decided it needed a broad integrated platform because security teams would not tolerate another cloud-security point tool. | 中 | SE003 |
| CE037 | The January 2026 product narrative says Upwind will keep extending the platform across data, AI, and code and move closer to developers. | 中 | SE002, SE003, SE009 |
| CE038 | The product roadmap is visible through concrete 2024-2026 releases: agentless scanners, EKS marketplace deployment, API security, identity security, AI security, and the Agentic Pack. | 中 | SE015, SE017, SE022, SE023, SE030, SE031 |
| CE039 | AWS Security Competency status and the later AWS Security Hub Extended integration are the strongest public trust and ecosystem validation signals on the current surface. | 中 | SE002, SE009 |
| CE040 | Public trust detail remains limited relative to platform ambition: the retained surface does not include a public API reference, open-source repo, package-registry signal, status page, or detailed public trust center. | 中 | SE018, SE022, SE027, SE028, SE030, SE031 |
| CE041 | Several technical posts explicitly point users to a documentation center that requires login, which limits independent validation of implementation details from the public surface alone. | 中 | SE022, SE027, SE028, SE030, SE031 |
| CE042 | The public developer signal is best interpreted through practitioner proxies such as TTMzero, Spacelift, and buyer-review platforms rather than through an open-source community or package ecosystem. | 中 | SE024, SE025, SE006 |
| CE043 | Product maturity appears strongest in runtime visibility, topology, vulnerability prioritization, AWS and Kubernetes deployment paths, and cross-layer investigation workflows. | 中 | SE012, SE013, SE014, SE023, SE025 |
| CE044 | The main product-tech blockers for diligence are not feature existence but missing public proof on SLA, benchmarked false-positive rates, certification scope, and module-level adoption. | 中 | SE006, SE018, SE022, SE025 |
| CU001 | Upwind publicly says it is used by hundreds of enterprises and security teams worldwide. | 中 | SU001, SU002 |
| CU002 | Upwind said it achieved 200% logo growth year over year by January 2026. | 中 | SU003 |
| CU003 | TechCrunch reported that Upwind doubled its customer base between the December 2024 Series A and the January 2026 Series B. | 中 | SU004 |
| CU004 | The January 2026 Series B release says Upwind secures millions of workloads for named enterprises including Waste Management, Siemens, Carvana, Roku, ClickUp, Wix, Nubank, Agoda, Peloton, Fiverr, and BILL. | 中 | SU003, SU026 |
| CU005 | TechCrunch separately named Siemens, Peloton, Roku, Wix, Nextdoor, and Nubank as public Upwind customers in January 2026. | 中 | SU004 |
| CU006 | The company says its footprint deepened across the U.S., U.K., and Israel while adding momentum in Australia, India, Singapore, and Japan. | 中 | SU003, SU004 |
| CU007 | CRN reported that Upwind added more than 100 new partners in the year before the Series B round. | 中 | SU005, SU003 |
| CU008 | CRN quoted CEO Amiram Shachar saying most of Upwind's big accounts came through channel partners. | 中 | SU005 |
| CU009 | People.ai said it migrated away from Wiz to Upwind for runtime visibility, prioritization, and built-in compliance support. | 中 | SU013 |
| CU010 | People.ai said it reached more than 85% runtime coverage across cloud environments within the first 24 hours using Terraform and Helm. | 中 | SU013 |
| CU011 | People.ai estimated a 20–30% reduction in false positives after moving to Upwind. | 中 | SU013 |
| CU012 | H2O.ai said Upwind cut more than 90% of noise and helped the team reach root cause 10x faster. | 中 | SU014 |
| CU013 | CAVA said its prior stack generated 9 to 12 alerts a day, most of which did not lead to real issues, and that Upwind made alerts more meaningful. | 中 | SU015 |
| CU014 | Vectra AI said Upwind reduced false positives by showing whether vulnerable packages were actually present, loaded, and in use. | 中 | SU016 |
| CU015 | Yotpo said it used Upwind to add runtime threat detection and response on top of posture management. | 中 | SU017 |
| CU016 | EvenUp said Upwind reduced alerts by 95% and delivered 7x faster time to remediation. | 中 | SU018 |
| CU017 | Spacelift said Upwind reduced incident investigations from hours to minutes by adding gVisor visibility inside isolated containers. | 中 | SU019 |
| CU018 | TTMzero said it resolved dozens of vulnerabilities in its first several days with Upwind and streamlined compliance work. | 中 | SU020 |
| CU019 | CallRail said Upwind lets it view and remediate SOC, HIPAA, and PCI control requirements inside the console and reduce audit time. | 中 | SU021 |
| CU020 | Vestiaire Collective said Upwind improved alert-noise reduction, vulnerability prioritization, and API visibility for proactive risk reduction. | 中 | SU022 |
| CU021 | EX.CO said a 2,000-alert backlog was reduced to 30 actionable items after deployment, with same-day environment insights. | 中 | SU023 |
| CU022 | Anzu said it saw benefits within hours of deploying Upwind's sensor and could stop malicious processes in real time. | 中 | SU024 |
| CU023 | Intezer said Upwind replaced three cloud-security tools with one pane of glass and shortened average time to mitigate issues. | 中 | SU025 |
| CU024 | Waste Management's CISO said Upwind materially reduced security alerts and irrelevant CVEs after an in-depth evaluation and rollout across AWS and broader cloud infrastructure. | 中 | SU026, SU003 |
| CU025 | Bill's security leader said Upwind made it seamless to view and protect multi-architecture cloud infrastructure from one centralized location. | 中 | SU027 |
| CU026 | PeerSpot lists Upwind with a 9.6 average rating, 8.7 review sentiment, 100% recommendation rate, and only two reviews in CNAPP as of March 2026. | 中 | SU010 |
| CU027 | PeerSpot says Upwind has 3.4% CNAPP mindshare versus 3.9% for Check Point in the same comparison snapshot. | 中 | SU010 |
| CU028 | PeerSpot says Upwind offers simpler deployment and impressive ROI, but its support network is less extensive and it requires a higher initial investment. | 中 | SU010 |
| CU029 | Latio shows Upwind with no verified reviews, making external review depth shallow relative to the company's scale claims. | 中 | SU011 |
| CU030 | EthicalHacking.ai rates Upwind 4.3 out of 5, tags it as enterprise pricing, and notes a free trial is available. | 中 | SU012 |
| CU031 | No public NRR, GRR, churn, renewal-rate, or contract-length disclosures were retained in the source corpus as of 2026-05-21. | 中 | SU001, SU003, SU004 |
| CU032 | The Series B release says Upwind is expanding its platform across data, AI, and code, which supports land-and-expand inside existing accounts. | 中 | SU003, SU007 |
| CU033 | Public customer stories show Upwind spanning runtime CNAPP, API security, AI-security-adjacent monitoring, threat detection, and compliance workflows, not just one product module. | 中 | SU001, SU018, SU022 |
| CU034 | The AWS Security Hub Extended Plan makes Upwind available through one contract, one bill, and consolidated support, which can accelerate adoption in AWS-heavy enterprises. | 中 | SU026 |
| CU035 | The AWS EKS add-on announcement says customers can deploy Upwind directly from the AWS Management Console without a separate procurement process. | 中 | SU028 |
| CU036 | Public sources disclose neither top-customer concentration nor top-partner concentration, leaving enterprise concentration risk unresolved despite the marquee-logo list. | 中 | SU003, SU005 |
| CU037 | TechCrunch reported that early customers were hesitant about deploying agents and that buyers did not want multiple products for cloud security. | 中 | SU004 |
| CU038 | The combination of only two PeerSpot reviews, no verified Latio reviews, and company-published case studies means third-party advocacy still trails the company's unicorn-scale narrative. | 中 | SU010, SU011, SU012 |
| CU039 | Syndicated recognition coverage from FinancialContent and TMCnet repeats market-validation language rather than retention or deployment-depth evidence. | 中 | SU008, SU009 |
| CU040 | Even with thin renewal data, Upwind's public case studies span AI software, legal tech, retail, consumer apps, DevOps/IaC, fintech, martech, and security-vendor buyers, implying broad functional relevance among cloud-native teams. | 中 | SU013, SU018, SU019, SU021 |
| CR001 | Upwind's AWS Security Competency status is subject to annual validation by AWS security experts and explicitly spans categories including Compliance and Privacy. | 中 | SR007 |
| CR002 | The AWS Security Competency page proves third-party validation for AWS partnership quality, but it is not a substitute for public disclosure of Upwind's own SOC 2, ISO, FedRAMP, or privacy-policy stack. | 中 | SR007 |
| CR003 | The AWS Security Hub Extended Plan announcement says Upwind can now be bought with one contract, one bill, consolidated support, and flexible pricing through AWS. | 中 | SR008 |
| CR004 | The EKS add-on announcement says customers can deploy Upwind from the AWS Management Console without a separate procurement process, which reduces friction but deepens AWS dependence. | 中 | SR006, SR008 |
| CR005 | MarketsandMarkets says changing regulations are a restraint and CNAPP solution complexity is a challenge for the category. | 中 | SR020 |
| CR006 | The Business Research Company says regulatory compliance is one of the key drivers of CNAPP demand, especially across regulated verticals. | 中 | SR019 |
| CR007 | The retained public source set for this run does not include a public DPA, privacy policy, subprocessor register, or public status page for Upwind. | 中 | SR001, SR004, SR007, SR008 |
| CR008 | People.ai and CallRail case studies show Upwind helping customers with SOC 2, ISO, Microsoft 365, CIS, HIPAA, and PCI-oriented workflows, but those stories do not prove Upwind's own certification stack. | 中 | SR031, SR032 |
| CR009 | Upwind publicly markets a combined model of agentless visibility plus runtime sensors rather than a pure agentless architecture. | 中 | SR001, SR002, SR003 |
| CR010 | TechCrunch reported that early customers were hesitant about deploying agents and that security teams did not want multiple products to manage cloud security. | 中 | SR010 |
| CR011 | The security-posture page promises that Upwind helps customers focus on the 5% of risks that matter, setting a high public bar for signal quality and false-positive control. | 中 | SR002 |
| CR012 | The vulnerability-management page promises 7x faster remediation and function-level reachability analysis, increasing expectations for outcome consistency across accounts. | 中 | SR003 |
| CR013 | The CloudTrail integration page says Upwind offers agentless monitoring, compliance automation, and forensic investigation off AWS activity logs. | 中 | SR004 |
| CR014 | The GitHub Actions integration moves Upwind deeper into software-delivery workflows by embedding scans into build pipelines and tying results to runtime context. | 中 | SR005 |
| CR015 | The EKS add-on page says the eBPF-based sensor can terminate malicious processes, block attacks at network level, and block unusual encryption syscalls. | 中 | SR006 |
| CR016 | Waste Management's public quote says Upwind significantly reduced alerts and irrelevant CVEs after rollout, which creates a visible enterprise expectation for clarity and support quality. | 中 | SR008, SR009 |
| CR017 | PeerSpot says Upwind is easier to deploy than Check Point, but its support network is less extensive and the initial investment is higher. | 中 | SR014 |
| CR018 | Latio shows no verified reviews for Upwind, meaning independent customer advocacy is still shallow relative to the company's scale claims. | 中 | SR015 |
| CR019 | The Series B release says Upwind added more than 100 new partners across ISVs, MSPs, and resellers in the prior year. | 中 | SR009 |
| CR020 | CRN reports that most of Upwind's big accounts came from channel partners. | 中 | SR011 |
| CR021 | The combination of AWS Security Hub, AWS Marketplace-style deployment, and CloudTrail integration makes AWS a visible distribution, deployment, and workflow dependency for Upwind. | 中 | SR004, SR006, SR008 |
| CR022 | Wiz, Orca, Palo Alto Networks, Aqua, CrowdStrike, and SentinelOne all market unified cloud-security platforms that compete with Upwind for enterprise consolidation budgets. | 中 | SR022, SR023, SR024, SR025, SR026, SR027 |
| CR023 | Wiz says it is trusted by more than 50% of the Fortune 100, setting a very high reference benchmark for enterprise share. | 中 | SR022 |
| CR024 | Palo Alto Networks markets Cortex Cloud as agentic security from code to cloud to SOC, claims to analyze 1T events every 24 hours, and says it detects 1.5M new attacks daily. | 中 | SR024 |
| CR025 | CrowdStrike says Falcon Cloud Security achieved 100% detection and protection with zero false positives in MITRE's first cloud evaluation and speeds response by 89%. | 中 | SR026 |
| CR026 | Dell'Oro frames the market as shifting from point tools to broader cloud and AI security platforms, with hyperscalers and portfolio vendors playing a larger role. | 中 | SR021 |
| CR027 | The Business Research Company lists AWS, Microsoft, Palo Alto Networks, Fortinet, Check Point, CrowdStrike, Aqua, and others among the major CNAPP-related players, confirming a crowded category. | 中 | SR019 |
| CR028 | Check Point's investor-relations page underscores the scale and durability of established public competitors that can bundle cloud-security products into larger platforms. | 中 | SR028 |
| CR029 | Upwind publicly disclosed 900% revenue growth, 200% logo growth, millions of workloads, and a workforce expansion from 150 to more than 300 employees, but not ARR, gross margin, burn, or retention metrics. | 中 | SR009, SR010 |
| CR030 | TechCrunch says the customer base doubled after the Series A, but without disclosing the starting base, which makes growth quality and valuation support hard to underwrite. | 中 | SR010, SR009 |
| CR031 | Doubling workforce size in roughly a year implies substantial support, sales, and engineering execution demands even if growth remains strong. | 中 | SR009 |
| CR032 | MarketsandMarkets says limited skilled expertise to implement and maintain CNAPP remains a category restraint, which can slow deployment and raise services burden. | 中 | SR020 |
| CR033 | The Security Hub Extended Plan announcement ties procurement efficiency to AWS's contractual wrapper, implying potential pricing and support leverage for AWS over time. | 中 | SR008 |
| CR034 | No public pricing schedule, contract-length disclosure, or discount-policy evidence was retained in the fetched corpus for Upwind. | 中 | SR008, SR010, SR014 |
| CR035 | External proof remains thin relative to unicorn-scale positioning: PeerSpot shows two reviews, Latio shows none, and EthicalHacking.ai shows a single 4.3/5 snapshot. | 中 | SR014, SR015, SR016 |
| CR036 | Amiram Shachar remains the central public spokesperson for product strategy, financing, and customer narrative. | 中 | SR009, SR010 |
| CR037 | The Series B release and TechCrunch both show a company trying to expand globally while broadening the platform across AI, data, and code. | 中 | SR009, SR010 |
| CR038 | MSSP Alert says Upwind launched AI Agentic Pack to investigate threats and validate real exposure faster, adding new product-execution expectations in AI workflows. | 中 | SR013 |
| CR039 | Recognition stories from Help Net Security, TMCnet, and FinancialContent increase brand expectations but do not replace auditable operating proof. | 中 | SR012, SR017, SR018 |
| CR040 | Upwind's public product surface now spans runtime detection, vulnerability reachability, CloudTrail, GitHub, AI security, and AWS-native deployment surfaces, increasing roadmap and integration complexity. | 中 | SR001, SR004, SR005, SR029, SR030 |
| CR041 | Upwind said its API Security expansion adds an endpoint catalog, OWASP Top 10-oriented API vulnerability testing, and API threat detection, widening the platform from infrastructure and runtime controls into application-layer protection. | 中 | SR033 |
| CR042 | Upwind's Datadog integration exports Upwind events and issue findings into Datadog, pushing the platform deeper into customer monitoring workflows and raising integration-maintenance expectations. | 中 | SR034 |
| CR043 | Upwind's RealCloud announcement says the company is using a strategic regional partner to launch in Latin America and that dozens of customers in Brazil and the wider region were already served through the prior relationship. | 中 | SR035 |
| CR044 | Upwind said AWS Fargate support required a new ptrace-based monitoring approach because Fargate lacks eBPF support, highlighting both technical differentiation and a more complex platform-specific engineering surface. | 中 | SR036 |
| CR045 | Upwind's CRI-O support expands runtime coverage beyond Containerd and Docker into another Kubernetes runtime, increasing the compatibility surface the company must maintain across customer environments. | 中 | SR037 |
| CR046 | Upwind's threat-detection material says the platform monitors processes, network traffic, cloud logs, and files in real time and lets customers terminate malicious processes or create prevention policies, expanding both response scope and support expectations. | 中 | SR038 |
| CR047 | Tickmill's case study says Upwind helped its team understand resource behavior in real time and extend security-team capabilities, which reinforces customer expectations that runtime visibility and support quality must remain strong across production deployments. | 中 | SR039 |
| CV001 | Upwind announced a $250 million Series B in January 2026 at a $1.5 billion valuation. | 高 | SV001, SV002, SV003 |
| CV002 | Upwind’s total disclosed capital raised reached $430 million by the January 2026 round. | 高 | SV001, SV003, SV004 |
| CV003 | Upwind’s December 2024 Series A was announced at a $900 million post-money valuation. | 中 | SV009, SV010 |
| CV004 | The move from a $900 million 2024 valuation to a $1.5 billion 2026 valuation implies roughly a 67% step-up in about fourteen months. | 中 | SV001, SV009, SV010 |
| CV005 | A $250 million primary raise at a $1.5 billion post-money mark implies roughly 17% of the company was sold in the Series B if the headline numbers are taken at face value. | 中 | SV001, SV002 |
| CV006 | The January 2026 headline implies an approximate $1.25 billion pre-money valuation before new capital. | 中 | SV001, SV002 |
| CV007 | Public sources still do not disclose Upwind’s ARR or revenue run rate. | 中 | SV001, SV002, SV005, SV013 |
| CV008 | Public sources still do not disclose gross margin, burn rate, or cash balance. | 中 | SV001, SV002, SV020, SV021 |
| CV009 | Public sources still do not disclose NRR, logo retention, revenue concentration, or renewal curves. | 中 | SV005, SV006, SV013 |
| CV010 | Upwind said it achieved 900% year-over-year revenue growth by the time of the January 2026 round. | 高 | SV001, SV002, SV004 |
| CV011 | Upwind said it achieved 200% year-over-year logo growth by the time of the January 2026 round. | 高 | SV001, SV002 |
| CV012 | Current public materials say Upwind has more than 300 employees. | 高 | SV029, SV001 |
| CV013 | Upwind says it serves hundreds of enterprises and security teams worldwide. | 中 | SV005, SV006 |
| CV014 | The 2026 financing announcement named enterprise customers such as Waste Management, Siemens, Carvana, Roku, ClickUp, Wix, Nubank, Agoda, Peloton, Fiverr, and BILL. | 中 | SV001, SV003 |
| CV015 | People.ai said it replaced Wiz with Upwind and achieved more than 85% runtime sensor coverage in one day. | 中 | SV007 |
| CV016 | A Waste Management executive said Upwind reduced alerts and irrelevant CVEs after deployment. | 中 | SV008 |
| CV017 | Upwind’s core commercial story is runtime-first cloud security rather than posture-only visibility. | 中 | SV005, SV031 |
| CV018 | Current product materials show Upwind spanning CNAPP, AI security, API security, container security, vulnerability management, and threat detection. | 中 | SV005, SV030, SV031, SV032 |
| CV019 | CRN reported that Upwind added more than 100 partners and that many of its big accounts came through channel. | 中 | SV028 |
| CV020 | Upwind’s website and competitor pages still route buyers to demos rather than publishing enterprise list prices. | 中 | SV005, SV017, SV024, SV025, SV026, SV027 |
| CV021 | PeerSpot described Upwind as easier to deploy than Check Point CloudGuard but with a higher initial investment and a less extensive support network. | 中 | SV013 |
| CV022 | TBRC sized the CNAPP market at $15.42 billion in 2026. | 中 | SV014 |
| CV023 | TBRC forecast the CNAPP market to reach about $30.91 billion by 2030. | 中 | SV014 |
| CV024 | Dell’Oro described cloud-native security as a field where pure plays, portfolio vendors, and hyperscalers increasingly overlap and where M&A matters. | 中 | SV015 |
| CV025 | CNBC reported that Google agreed to acquire Wiz for $32 billion and that Wiz had targeted $1 billion ARR. | 中 | SV018 |
| CV026 | Fortinet reported $5.96 billion of 2024 revenue and listed Lacework-based FortiCNAPP in its portfolio. | 高 | SV019, SV021 |
| CV027 | CrowdStrike’s FY2026 Form 10-K provides audited public disclosure on revenue and margin that private Upwind materials do not offer. | 中 | SV020 |
| CV028 | SentinelOne’s investor materials describe a broad AI-powered security platform spanning endpoint, cloud, identity, and data. | 中 | SV022, SV025 |
| CV029 | Check Point describes itself as one of the largest pure-play security vendors globally. | 中 | SV023 |
| CV030 | Prisma Cloud markets a code-to-cloud-to-SOC platform that now extends into AI-SPM. | 中 | SV024 |
| CV031 | Sysdig markets runtime insights, Falco-powered detections, and 6:1 tool consolidation. | 中 | SV026 |
| CV032 | Aqua says it is trusted by 41% of the Fortune 100 and positions around code-to-cloud-to-prompt protection. | 中 | SV027 |
| CV033 | QKS publishes a dedicated 2026-2030 CNAPP market forecast, reinforcing that the category is large and analyst-covered even if pricing data remain thin. | 中 | SV037 |
| CV034 | Recent Upwind product pages extend the runtime narrative into containers, threat detection, and runtime vulnerability management rather than a single narrow CNAPP feature. | 中 | SV030, SV031, SV032 |
| CV035 | The public evidence supports product-market fit and financing momentum more strongly than it supports fully underwritten unit economics. | 中 | SV001, SV002, SV007, SV008, SV013 |
| CV036 | Without ARR, retention, and margin disclosure, the current price is most sensitive to what diligence reveals about revenue quality rather than to headline customer logos alone. | 中 | SV001, SV007, SV013, SV020, SV021 |
| CV037 | Fresh capital meaningfully reduces near-term financing risk but does not by itself prove that the $1.5 billion mark is attractive. | 中 | SV001, SV002, SV004 |
| CV038 | A rational bull case requires that Upwind’s undisclosed ARR base, retention, and gross margin are materially stronger than the public record currently shows. | 中 | SV001, SV010, SV018, SV020, SV021 |
| CV039 | A rational base case is that Upwind merits continued tracking and diligence rather than an outright buy until economic proof catches up with the private mark. | 中 | SV001, SV002, SV013, SV020, SV021 |
| CV040 | A rational bear case is that growth normalizes before the company can prove durable economics, creating flat-round or down-round risk. | 中 | SV013, SV019, SV021, SV024 |
| CV041 | The current recommendation is research-more rather than buy because price support depends on private diligence rather than public operating proof. | 中 | SV001, SV002, SV013, SV020, SV021 |
| CV042 | Confidence should be medium because public evidence on product demand is good but economic disclosure and cap-table detail are still incomplete. | 中 | SV001, SV007, SV013, SV020 |
| CV043 | A high risk rating is appropriate because valuation risk, competitive convergence, and disclosure gaps stack on top of otherwise strong product momentum. | 中 | SV013, SV015, SV018, SV020, SV021 |
| CV044 | The correct valuation stance is stretched because the company has strong growth claims and category tailwinds, but no public evidence yet anchors a clean revenue multiple. | 中 | SV001, SV002, SV014, SV018, SV020 |
| CV045 | Exit readiness is credible on category relevance and strategic interest, but not yet on disclosure quality or public-company-style KPI readiness. | 中 | SV015, SV018, SV020, SV021 |
| CV046 | The most decision-critical diligence asks are current ARR, NRR, gross margin, customer concentration, burn, and the actual preference stack. | 中 | SV001, SV013, SV020, SV021 |
| CV047 | Upwind’s awards and analyst mentions show category visibility, but they are weaker valuation support than audited operating metrics or durable cohort data. | 中 | SV033, SV034, SV035 |