当 AI 加入你的软件供应链写代码时,会引发哪些根本变化?
软件供应链安全本已足够复杂,而 AI 的加入让难度再次升级。文章指出,过去五年间 SolarWinds、Log4Shell、XZ Utils 等事件反复证明:风险更多藏在生产代码的一切环节,而非团队亲手编写的代码本身。随着 Model Context Protocol(MCP)上线约 20 个月,AI 工具、模型及其基础设施已成为软件开发、部署和运行的关键组成部分。文章强调,AI 生成的代码在提交前需要校验,但更难的问题在于治理执行编写的智能体(agent)以及它们调用的工具;攻击者可借助精心设计的提示词(prompt)操纵模型输出或拉取依赖。同时提及 Gartner 于六月发布了首个软件供应链安全魔力象限,以及 OX 研究人员将于 7 月 22 日举办的网络研讨会。

