与 Scanner 合作：每条日志都有故事——只要你足够快地找到它

Source: Sequoia Blog

Overview

Cliff 和 Steven 正在将 PB 级的安全数据实现秒级可搜索，开启 AI 驱动安全运营的新时代。

The Problem

企业安全团队被大量日志淹没，既负担不起保存，也难以搜索。现代工具会产生海量数据——每一次 API 调用、登录事件和网络连接。调查往往需要一年之久的日志，但将所有数据存入像 Splunk 这样的 SIEM 会消耗 CISO 预算的 15 %。

大多数公司只能在 SIEM 中保留最近 10–30 天的日志，其余的则归档到 Amazon S3。虽然存储成本低廉，但数据实际上被“冻结”，无法搜索。当发生泄露、合规审计或取证调查时，所需的证据往往触不可及。

Introducing Scanner

我第一次听说 Scanner 是在 Temporal 的一位安全工程师那里，他形容它“快得惊人”。联系联合创始人 Cliff Crosland 后，我了解到了 Scanner 的工作原理：

• 专为倒排索引构建，直接将字段值映射到 S3 中的文件区域。
• 查询仅针对相关的数据片段，大幅压缩检索范围，使 PB 级日志的交互体验成为可能。
• 过去需要数小时的任务现在可以在秒级完成。
• 流式检测引擎能够在每天数十 TB 的数据上持续运行数百条检测规则，而无需重新扫描整个数据集。

The Founders

Cliff Crosland 和 Steven Wu 均为斯坦福计算机科学校友，曾在 Accompany（被 Cisco 收购）负责工程，构建生产规模的核心数据基础设施。他们对性能的执着驱动了系统的即时感设计。

Customers & Use Cases

Scanner 的早期采用者名单堪称云原生领域的“名人堂”：

• Notion – 构建了一个内部 AI 代理，能够自主使用 Scanner 进行安全调查。
• Ramp – 从安全日志起步，随后扩展到应用日志，显著降低了 SIEM 成本。
• Benchling – 在竞争对手涨价十倍后转用 Scanner；安全工程负责人称其为公司最好的技术决策之一。
• Confluent、Lemonade、BeyondTrust 等也在使用该平台。

The Emerging AI‑Driven Workflow

Scanner 的高速使得“代理式”安全工作流成为可能。自 MCP 版发布数周后，近三分之一的客户已进入生产环境，且 80 % 的查询来自 AI 代理。这一转变预示着调查工作将高度自动化，需进行快速、迭代的查询，而非耗时数分钟甚至数小时的搜索。

Sequoia’s Involvement

Sequoia 正领投 Scanner 的 A 轮融资，并期待与创始人合作，重塑这一亟待变革的市场。Scanner 正在技术前沿组织中获得关注，准备定义下一个十年的安全基础设施。