过去，企业终端安全的核心问题很简单，有没有病毒，能不能查杀。

　　但今天的攻击者早就不按这个剧本演了。他们可能不带恶意文件，不触发传统病毒库，而是借用PowerShell、WMI、脚本、注册表、远程进程等系统自带工具，在企业网络里一步步潜伏、横移、提权。

　　单看每一步，似乎都像正常操作;连起来看，才是一场完整攻击。

　　这也是沙利文近期发布的《2026 年中国端点检测与响应 EDR 市场研究》最值得关注的地方。

　　报告将EDR 从“杀毒软件升级版”里拎了出来，重新定义了企业端点安全。真正的 EDR 不只是拦病毒，而是持续记录电脑、服务器里的进程、文件、网络、注册表、内存和脚本行为，把原本散落在系统里的蛛丝马迹，拼成一条完整的攻击故事线，让攻击过程变得可计算、可还原、可处置。

　　微步在线、360、奇安信前三

　　在本次Frost Radar 评估中，微步在线 OneSEC 位于最前列，增长指数和创新指数均排名第一;360 数字安全排名第二;奇安信排名第三。

　　深信服紧随其后，安恒信息、启明星辰位于挑战者象限，绿盟科技、天融信入围。

　　需要说明的是，这不是单纯的营收排名或者市场份额排名，而是围绕基础能力、工程化落地、AI 创新、场景适配和生态贡献进行的综合竞争力评估。

　　微步在线OneSEC原生EDR，将攻击行为连成图

　　报告认为，OneSEC 的能力壁垒来自云端协同、威胁情报和行为双引擎检测、图计算攻击链溯源、智能事件聚合，以及自动化响应和清理处置。换句话说，它不是只盯着单台机器里的某个病毒文件，而是试图把全网终端上的异常行为连成图，追出攻击者真正走过的路径。

　　报告称，OneSEC 的 MITRE ATT&CK 技术覆盖率达到 98%，IOC 准确率达到 99.99%，并在内存马、无文件攻击、加密隧道等高阶逃逸手法上验证了检出能力。

　　OneSEC 已在 AIDR 上开启先行实践，聚焦通用性 AI 安全，强调流量与终端侧协同检测。

　　报告提到，OneSEC 针对 OpenClaw 等 AI Agent 带来的新型安全风险进行模块化实践，覆盖 Shadow AI、提示词注入、数据泄露等风险。

　　这说明端点安全的边界正在变宽，过去是防人、防病毒、防黑客，现在还要防AI 工具被滥用。

　　360 数字安全：靠规模化和AI工程化打大企业战场

　　报告显示，360 数字安全 EDR 依托“云地一体”架构、EB 级安全数据和安全大脑，可管理数百万终端、分析上千亿条安全事件，并通过跨终端关联分析还原多阶段攻击链。其产品支持超过 50 种预置响应动作，可在秒级内完成进程终止或网络隔离;自然语言策略编译平均 10 秒以内，准确率达到 90% 以上。

　　对大型政企客户来说，这类能力的现实意义很直接，不是多一个安全工具，而是把海量告警变成可以处理的事件。

　　奇安信：从一体化终端安全平台向EDR扩展

　　报告称，奇安信天擎EDR 采用“云-管-端”三级分布式架构，集成防病毒、EDR、准入控制、资产审计等 12 项能力，更偏向模块化扩展形态。

　　它的优势在于政企场景、信创生态和一体化管控，已适配麒麟、统信UOS，以及飞腾、龙芯、兆芯、海光、鲲鹏等国产 CPU 架构。

　　QAX-GPT 安全大模型则被用于告警研判、优先级排序、攻击推演和剧本生成。

　　名义AI和实效 AI

　　这份报告还有一个关键判断，EDR 里的 AI，也开始分真假了。

　　过去很多安全产品说自己有AI，实际可能只是给病毒检测加了机器学习模型，或者把相似告警合并到一起，本质上仍是“多认出几个坏文件”“少弹几条告警”。

　　报告将这类能力称为“名义 AI”。

　　真正有价值的是“实效 AI”，它不只看单个文件或单条告警，而是把进程、命令行、脚本、网络连接、注册表修改等行为串起来，判断背后是不是一次攻击。

　　比如攻击者全程使用系统合法工具，单看每一步都像正常操作，但AI 能从完整行为序列里识别出恶意意图，这才是 EDR 从“识别对象”走向“理解攻击”的关键。

　　SaaS还是本地部署?

　　当下国产化替代提速、网络安全实战演练常态化，想要稳住企业业务不掉链子，EDR 已经成了刚需利器。

　　国内对EDR 的需求很有本土特色：很多政企单位因为合规要求、内网隔离等原因，必须做本地化部署，适配等保、重大安保等本地安全规范，因此本地化部署便成了“下意识的选择”。

　　但不得不说，将核心检测能力放在云端，终端负责简单日志采集和基础操作，既保证检测精准性和及时性，又降低了终端资源占用。从应用上，云化EDR已成为当下乃至未来的大趋势。这也是云原生架构成为沙利文等国际一线咨询机构评判EDR产品实力和创新力的关键标准的原因。

　　终局不再是杀毒，而是让企业终端变成安全神经网络

　　因此，2026 年中国 EDR 市场表面上是一场厂商技术排位赛，实质上是终端安全范式的切换。

　　从病毒库走向行为遥测，从人工分析走向AI 辅助调查，从单点查杀走向攻击链溯源，从事后响应走向自动化和预测性防御。

　　这场竞争的终点，可能不再是“谁的杀毒能力更强”，而是谁能最先把企业终端变成一个可观测、可理解、可自动处置的安全神经网络。