当 AI 加入你的软件供应链写代码时,会引发哪些根本变化?

当 AI 加入你的软件供应链写代码时,会引发哪些根本变化?

导语:当 AI 智能体开始写代码、拉取依赖并接入构建流水线,传统的软件供应链安全模型面临根本性挑战。本文剖析了 AI 时代供应链攻击面的迁移路径、沿袭关系与可利用性优先级的重塑,并结合 Gartner 于六月发布的首个软件供应链安全魔力象限进行解读。

软件供应链安全本已足够棘手,而 AI 又加入了构建流水线。

过去五年间,「软件供应链安全」一直围绕同一个问题展开:你的代码里究竟有什么?哪些开源包、哪些版本、哪些没人刻意引入却深达三层的传递依赖?SolarWinds、Log4Shell 和 XZ Utils 反复印证了同一个教训:风险更多地藏在产出一行行代码的一切环节,而非团队亲手写下的代码本身。今年通过开发者工具链传播、自称具备自我传播能力的恶意软件包行动 Shai-Hulud,则带来了新的警示:摸清代码里的组件仍然必要,但已经不再充分。

自 Model Context Protocol(MCP)发布以来约 20 个月,AI 工具、模型及其周边基础设施,已经成为软件开发、部署和运行流程中的承重部件。代码由智能体编写;包由自主工具在判定为「需要」时自动拉取;提示词(prompt)已成为构建流程的真实输入,因此也成了真实可被攻陷的入口。这些场景,在大多数安全方案被设计之初,都不在考量范围之内。

人们很容易把 AI 生成的代码视作「更多的代码」,直接套用同样的扫描器,然后宣称已经覆盖到位。这种做法误读了风险的迁移方向。

供应链安全始终定义着一个来源问题——这东西从何而来,能否信任——如今这个问题同样适用于模型、智能体和工具,而不仅仅是最终产物。一个 AI 编程助手推荐一个依赖,开发者随手接受,整个包从未经过任何基于人工视角的威胁建模。一个自主智能体通过 MCP 调用某个工具来完成某项任务,而这个工具又去调用另一个工具。一段由攻击者构造、并植入到模型必将读取之处的提示词,则会引导究竟写出什么代码,或拉取哪些依赖。

原文配图

在 AI 生成的代码被提交前对其进行校验只是基本要求。更棘手的问题在于治理那些正在写代码的智能体,以及它们调用的工具。

与我们合作的团队并不缺发现,他们正被淹没在发现里。往本就严重过载的队列里再添一项「也要扫描 AI 输出」,只会让告警堆得更高,而非让方案更扎实。一旦 AI 真正被纳入考量范围,有两件事会发生改变。

首先,沿袭关系(lineage)必须延伸到进入流水线的所有内容,包括模型和智能体本身。一种思路是把沿袭关系扩展到流水线整体——从首次提交到运行时的活动、来源与配置变更全部可追溯,并以同等严格度对待模型和智能体,正如对待任何其他依赖项。

其次,优先级排序必须基于真实的可利用性,而不是数量。将发现与运行时上下文(即哪些路径真正可达)相关联,才是「一份漏洞清单」与「一条可执行的利用链」之间的差距。一旦智能体能在午饭前生成上千行看似合理的代码,这种差距的意义只会更大、不会更小。

Gartner 在六月正式发布的首个《软件供应链安全魔力象限》(Magic Quadrant for Software Supply Chain Security),正是在承认这一空白——市场终于开始系统性地评估这个团队此前只能在没有独立预算的情况下艰难防御的问题。


来源信息

来源:The Hacker News

原文链接:https://thehackernews.com/2026/07/what-changes-when-your-software-supply.html

作者:info@thehackernews.com (The Hacker News)