当AI狂奔遇上“手工安检”

佛山技研智联借助DeepSeek优化染整工艺，其推出的AiTEX平台将定形工艺成功率提升至90%；九号公司将DeepSeek-R1接入出行App，实现车辆控制、个性化推荐及智能服务的全面升级；长春智慧医疗打造人工智能产品融入患者看病流程、辅助诊断，提升诊疗效率……

开源AI大模型正成为供应链管理的“超级助手”，但当企业享受智能化红利时，一份来自全球领先的软件供应链安全公司JFrog的硬核报告，却如同一盆冰冷的现实之水，瞬间拉响了警报：2025年软件供应链攻击量预计翻三倍。

基于对这种严峻安全态势的洞察，以及AI大模型深度融入复杂软件供应链所带来的新挑战，JFrog首席技术官YoavLandman发出警告，直指AI时代供应链面临的安全挑战。

DeepSeek依赖的开源组件、第三方接口及开发工具链均需嵌入软件供应链体系运作。这种深度耦合，让不属于传统软件供应链的DeepSeek的效率与安全，成为不可分割的一体两面。

我们先来简单了解一下软件供应链的概念：

软件供应链指在软件开发中所涉及到的组件、开发流程以及投入生产和最终软件产品分发的过程。

这些组件包括：开源脚本和打包软件、硬件和基础设施、操作系统、编译器和编辑器、驱动程序和依赖关系、存储库引擎、测试套件和CI/CD工具、云服务和数据中心。随着AI大模型深度融入供应链管理，其依赖的开源生态与动态迭代特性，使传统安全边界被打破。

根据JFrog的报告，软件供应链的安全漏洞急剧增加，其中 “秘密” 或"机密"信息的曝光案例同比增长了64%，总计达到了惊人的25229例。

在这些供应链问题中，最严重的就是以下三种：

漏洞治理陷入“虚假安全”陷阱，漏洞误判泛滥：74%被标记为“高危”的CVSS漏洞实际不可利用，但60%的开发者一个月内仍然至少花费25%的时间修复漏洞。

攻击者转向“供应链薄弱点”，定向攻击激增：开源软件包和使用开源软件包的开发人员成为黑客攻击安全漏洞的“黄金通行证”。

工具碎片化加剧管理失控：47%企业同时使用4-9种安全工具，33%超过10种。

以DeepSeek为代表的AI大模型依赖于广泛的外部交互，增加了遭受网络攻击的风险。为了保护智能化的“阿喀琉斯之踵”，JFrog 的首席技术官 Yoav Landman 指出，“许多组织都热情地拥抱公共ML模型来推动快速创新，表明了利用AI的增长的坚定承诺。但是，在三分之一的情况下，仍然依靠手动努力来管理安全，认可的模型，这可能会导致潜在的监督。”

然而，JFrog的硬核警告如同一声警钟：当我们沉醉于AI带来的速度与便利时，是否忽视了在这条数字高速公路上，我们的“安全检查站”仍停留在“手工”模式？

正如Yoav Landman所直言的，如果我们在拥抱AI创新时，安全管理却仍高度依赖手动操作，那无异于让这些高速运行的AI列车在风险中“裸奔”。每天数千个新漏洞像暴雨般落下，传统“先上线、再打补丁”的策略，已经彻底失效——这不仅是在给黑客“递刀子”，更像是把服务器密码印在了送给他们的邀请函上。

人类的未来需要安全的AI

未来已来，但能否安全抵达，取决于我们是否能清醒地认识到：在AI狂奔的时代，安全不再是阻碍创新的“绊脚石”，而是支撑其高速、健康发展的“压舱石”和“助推器”。

为智能化的“阿喀琉斯之踵”穿上同样智能、自动化的安全战靴，用AI-Ready的安全体系去驾驭AI的速度与力量，这才是我们迎接智能化未来的唯一安全通道。

否则，我们享受的速度越快，跌落时可能就越重。