四维创智（北京）科技发展有限公司：网络与信息安全、数字软件与工业服务专精特新企业档案

一、企业速览

企业基础信息：公司名称：四维创智（北京）科技发展有限公司；地区：北京市海淀区；行业方向：网络与信息安全；成立时间：2013-03-22；注册资本：1206.83万元；专精特新认定：2025年 第七批；上市状态：未上市。

四维创智是一家专注于网络安全测试与软件代码安全技术的服务商，核心产品覆盖网络攻防实战演练、代码审计与漏洞修复、常态化合规督查等领域。其在“电子信息与数字技术”产业链中处于“数字软件与工业服务”环节，定位于网络安全测试工具和解决方案的提供方，为政府、军工、能源、金融等关键信息基础设施行业的客户提供安全检测、评估与审计能力。

二、主营产品与产业链定位

1. 具体产品与服务

根据企业简介，四维创智自研的万径千巡常态化督查审计平台和IRify代码审计与智能修复系统是两款标志性产品。

• 万径千巡平台：该类产品解决的是网络与信息系统的合规性督查和持续性风险评估问题。典型场景包括：客户（如政务云、央企集团）需要按照等级保护2.0标准或行业合规要求，对自身数百乃至上千个IT资产节点进行常态化、自动化的安全检查，并在出现配置漂移或新增漏洞时及时告警。该平台通过自动化扫描、策略基线比对和取证分析，将过去需要大量人工的年度合规检查工作转变为持续性的自动化过程。
• IRify代码审计与智能修复系统：该产品属于应用安全测试（AST）领域的细分方向——静态应用安全测试（SAST）。核心解决的是软件开发的“源头安全”问题，即在代码编写阶段自动识别SQL注入、跨站脚本、命令执行等常见漏洞，并给出修复建议。与传统的SAST工具不同，其“智能修复”功能意味着不仅检测问题，还试图生成补丁或修改建议，这直接缩短了研发人员修复漏洞的平均时间。

2. 产业链位置

四维创智位于“电子信息与数字技术”产业链的数字软件与工业服务环节，具体来说是这一环节中的信息安全软件与技术服务子项。

• 上游：其产品研发的上游并非传统硬件物料，而是基础软件与算力资源。包括：服务器CPU/GPU（用于运行扫描引擎）、操作系统（Linux/Windows）、数据库（用于存储情报和扫描结果），以及底层算法库（如用于漏洞模式匹配的特征库、用于CWE划分的社区发现算法等）。这些上游资源的国产化程度高（行业共识），但对特定高性能计算芯片（如用于加速AI分析漏洞的GPU）有进口依赖。
• 下游：其下游客户集中在关键信息基础设施（CII）运营者。典型客户包括：政府机构（电子政务外网）、大型央企（能源、电力、运营商）、国防军工单位、金融机构（银行、证券）。这些客户对网络安全的采购模式以“产品+服务”为主，客户粘性高，但进入门槛也高。下游客户的需求正从“买了合规”转向“用了有效”，即越来越看重产品的实战检测能力和自动化水平。
• 与产业链其他环节的关系：四维创智的产品不直接与芯片、通信设备等硬件环节产生交互，它是为上层应用软件及信息化系统提供安全防护能力的基础支撑。例如，其IRify系统直接嵌入到大型软件开发商或企业内部IT部门的DevOps（开发运维一体化）流程中，在代码编译前即完成安全检测，从而避免软件在交付后产生大规模供应链安全风险。

三、核心工序与技术依赖

1. 关键研发/生产工序（行业共识）

网络与信息安全软件企业的核心“生产”工序是研发与测试，其典型工序序列如下：

1. 威胁情报与漏洞特征建模：收集主流漏洞数据库（CVE/NVD）、安全公告、暗网情报，将漏洞行为抽象为可检测的规则或特征。典型参数：一个成熟的漏洞特征库应覆盖CWE（通用弱点枚举）条目不少于500条，且每周至少更新一次。

2. 扫描/检测引擎开发：这是技术核心。以IRify为例，其需开发静态分析引擎，涉及抽象语法树（AST）解析、控制流/数据流分析、符号执行等。典型技术要求：对百万行级代码的扫描时间应控制在2小时以内，误报率（False Positive Rate）需低于15%。

3. 规则与防护策略的测试与验证：使用已知漏洞靶场（如OWASP WebGoat、DVWA）和定制化漏洞样本对引擎进行回归测试。典型参数：对OWASP Top 10漏洞的检测覆盖率需达到95%以上。

4. 渗透测试与攻防演练场景搭建：针对“万径千巡”平台类产品，需搭建模拟真实网络环境的攻防靶场，模拟红队攻击手法，验证平台的告警准确率和响应有效性。

2. 上游关键材料/设备来源（行业共识）

3. 四维创智的具体定位

基于其经营范围（技术开发、计算机系统服务、应用软件服务）和产品线（侧重于应用安全测试和督查审计），四维创智在产业链中是一个技术型、工具型的中间件/软件开发商。其不生产硬件，也不直接为客户提供24×7的驻场运维服务（这部分通常由下游系统集成商完成），而是将自身的漏洞检测与修复技术封装为软件产品，提供给政企客户的安全部门或第三方的安全集成商使用。其专利方向（如基于社区发现算法的CWE划分方法）暗示其在特定算法（如图算法在漏洞归因中的应用）上有技术积累，这在行业中以大模型、AI驱动安全分析为趋势的背景下，具有一定技术前瞻性。

四、竞争格局

1. 典型竞争对手

国内应用安全测试（AST）与网络攻防演练赛道已有多家上市公司和细分领域龙头，四维创智的竞争对手主要分为三类：

• 综合型安全厂商：如绿盟科技（300369.SZ）、奇安信（688561.SH）、启明星辰（002439.SZ）。这些企业体量巨大（奇安信营收超60亿元，员工过万人），产品线广泛，覆盖从WAF、IDS到态势感知的全系列产品，其在AST和攻防演练领域有对标产品（如绿盟的“漏洞扫描与安全评估系统”）。四维创智以其轻量化、专精化（聚焦代码审计与督查审计）作为差异化竞争点。
• 代码审计与软件安全赛道龙头：代表性企业为默安科技（杭州，非上市，估值数十亿元），主打“开发安全运营（DevSecOps）”，其“雳鉴”系列产品在国内开发者社区有较高知名度。酷德啄木鸟（北京，非上市）则专注于源代码缺陷分析。四维创智与之对比，在“智能修复”这一具体功能点上竞争，其IRify系统的“修复建议”能力是其差异化的关键。
• 专业攻防演练与靶场厂商：包含永信至诚（688244.SH）（上市，主营春秋云境网络靶场）、安恒信息（688023.SH）（上市）。四维创智的“万径千巡”平台更偏向于合规督查的自动化，而非高仿真攻防环境构建，其产品形态更接近传统的脆弱性管理工具。

2. 竞争维度

该赛道（全国同产业链位置：1578家）的竞争集中在三个维度：

• 技术维度：检测引擎的覆盖率（能否识别0day漏洞）、误报率、扫描速度。这是硬实力，需要持续投入研发。
• 生态维度：能否深度嵌入客户现有的DevOps工具链（如与Jenkins、GitLab、Jira的对接能力），以及能否适配国产操作系统和数据库（信创适配度）。
• 市场维度：在重点行业（如军队、军工、电信）的合规资质获取及头部客户标杆案例的积累。

3. 四维创智的专利位置

四维创智专利总量未知，而行业中位数为89件。在北京同方向（网络与信息安全）仅3家企业的窄赛道里，专利数量的缺失是一个需要关注的风险信号。这要么意味着其技术以软件著作权（非专利）保护为主，要么意味着其研发投入规模尚不足以支撑大规模专利申请。相比之下，其竞争对手奇安信专利数超过1000件，绿盟科技专利数超过500件。在专利维度上，四维创智极大概率处于行业中下游水平。

五、护城河判断

• 技术壁垒：未判定为高壁垒。 专利数未知是关键不确定性。虽然其公开了在自动化检测和智能修复方面的技术能力（如CWE划分算法），但缺乏公开的专利库作为技术密度的背书。行业内，优秀的SAST工具通常需要数年的特征库积累和算法优化，这一过程本身有壁垒。但鉴于其员工规模未披露且专利数缺失，外界难以判断其“修复能力”是否显著优于开源方案（如SonarQube加上社区规则包）。
• 客户壁垒：中等。 数字软件与工业服务环节的客户（尤其是政府、军队、央企）具有极高的客户验证周期（通常需要1-3年的试用、测试、入围信创目录、进入采购清单的流程）。一旦进入供应商名录，切换成本极高，因为涉及与现有安全体系（如SOC、SIEM）的深度耦合以及历史数据的对接。四维创智若已进入头部客户的供应商名录，这将构成坚实壁垒。但此信息未披露。
• 规模壁垒：未判定。 员工规模未披露，这是判断其交付能力的关键。安全软件行业的产品型公司，若能将研发和测试团队控制在50-100人，且产品标准化程度高，则可实现高效运转。若团队规模过小，将难以承担大型政企客户复杂的定制化需求（如适配国产化环境、对接内控系统）和7×24的售后支持。未披露直接意味着无法评估其规模化交付的边界。
• 认定价值：积极信号，但需辩证看待。 2025年第七批复审并新认定的专精特新“小巨人”，在政策上意味着该企业通过了国家级评审，在细分领域（网络与信息安全）具备专业化、精细化、特色化、新颖化的特征。在当前政策环境下（2025年），小巨人资格能带来的直接好处包括：获得地方财政奖励（北京海淀区通常有百万级奖励）、享受税收优惠（如研发费用加计扣除）、以及在参与政府采购和央企招标时获得加分或资格优先。但考虑到其是第七批，标准相对前几批有所放宽，且政策支持正随着时间推移而边际递减。

六、风险与机会

1. 行业风险

• 软件供应链安全攻击加剧：近年重大安全事件（如2021年Log4j漏洞、2023年Apache ActiveMQ漏洞）表明，开源组件漏洞成为攻击的主要突破口。这虽然抬高了SAST工具的需求，但也对工具的实时检测能力和漏洞知识库更新速度提出了极高要求。中小型安全厂商在“0day漏洞”的应急响应速度和情报能力上，与头部大厂存在差距。
• AI驱动的攻防对抗升级：攻击者正越来越多地使用大模型（LLM）生成绕过检测的恶意载荷。传统基于签名和规则的安全产品有效性问题凸显。行业趋势要求检测引擎必须向AI/ML驱动的异常行为检测进化，这对四维创智这种未披露具体AI研发投入规模的企业构成挑战。

2. 公司风险

• 财务与经营信息不透明：营收、利润、员工规模、客户名单四项核心指标均未披露。对于一家研发驱动型、且已有明确产品线的公司，这构成投资或合作评估中的重大信息缺口。难以判断其是否实现正向现金流，以及是否有足够的资金支持持续研发。
• 专利密度过低：未知的专利数量（远低于行业中位数89件）暗示其技术护城河可能较浅。在需要大量专利申请以形成“技术防御墙”的软件安全领域，这可能使其在面对大厂专利诉讼时处于弱势。
• 赛道竞争激烈：北京同方向（网络与信息安全）仅有3家小巨人企业，但全国同环节有1578家。这意味着直接竞争对手（如默安、酷德、安恒、绿盟）众多，且其中多家已上市或有巨额资本支持。四维创智作为非上市公司，在品牌知名度和市场拓展费用上面临压力。

3. 机会窗口

• 信创与国产化替代的确定性机会：国资委79号文要求到2027年央国企完成信创替代。四维创智扎根海淀，依托北京的政策与客户资源，其“万径千巡”和“IRify”产品若能快速完成对主流国产硬件（鲲鹏、飞腾）和操作系统（统信UOS、麒麟）的适配，并进入央国企的信创采购目录，将迎来一波确定的订单增长。
• “AI+安全”的差异化切入：如果其“智能修复”功能并非简单的规则模板匹配，而是真正利用了大模型（如基于代码的预训练模型CodeBERT等）进行漏洞定位和补丁生成，这将是其在众多“扫描器”厂商中脱颖而出的技术亮点。目前行业中，能实现高准确率、低误报率的自动补丁生成仍在探索阶段，这是一个有潜力建立先发优势的细分窗口。