张格,国家工业信息安全发展研究中心总工程师
人工智能(AI)技术正以前所未有的深度和广度融入软件产业的研发、部署与运行全生命周期,推动软件供应链从传统的代码集成模式向AI能力聚合模式跃迁。这一深刻变革在大幅提升软件生产效率与智能水平的同时,也使软件供应链面临的数据投毒、模型篡改、智能体劫持等新型安全威胁日益凸显。因此,亟须构建适配AI时代特征的软件供应链安全治理新框架,为智能软件生态的安全治理提供理论参考与实践路径。
一、人工智能时代软件供应链安全的重要性
软件供应链是供需主体围绕软件采购、开发、交付、获取、运维和废止等全生命周期活动所形成的网链结构,其并非简单的线性链条集合,而是要素多元、环节众多、动态演化的复杂生态系统。从上游的研发源头,到中游的集成构建,再到下游的交付运维,各个环节高度耦合、风险传导性强,攻击行为往往呈现“单点突破、全网蔓延”的显著特征,增加了安全治理的难度。
(一)软件供应链安全保障国家安全与民生权益
软件作为新一代信息技术和数字经济发展的核心基础,其供应链安全直接关系到国家安全、社会稳定、企业利益与用户权益。一方面,关键信息基础设施高度依赖软件支撑,一旦供应链遭受攻击,可能引发重要行业运行的信息系统或工业控制系统瘫痪、数据泄露,进而威胁国家关键领域安全;另一方面,软件安全漏洞也会通过供应链快速传导,造成企业业务中断、数据泄露、经济损失及品牌声誉损害,并导致用户个人信息泄露、设备被植入恶意程序、隐私数据被窃取,严重侵害用户的合法权益。
(二)我国高度重视软件供应链安全治理体系建设
在法律法规层面,《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》明确提出,“网络产品、服务应当符合相关国家标准的强制性要求”“运营者应当优先采购安全可信的网络产品和服务”等要求,《网络安全审查办法》更是将关键信息基础设施供应链安全作为关注重点,为软件供应链安全划定了合规底线。2026年3月,《国务院关于产业链供应链安全的规定》正式公布并施行,为数字化、智能化时代的供应链安全治理提供了顶层制度框架。在标准规范层面,《信息安全技术ICT供应链安全风险管理指南》(GB/T 36637—2018)、《网络安全技术软件供应链安全要求》(GB/T 43698—2024)、《数字化供应链通用安全要求》(GB/T 46885—2025)等国家标准,明确了软件供应链各环节的安全管控要求,为安全管理和评估提供了技术依据。2025年9月,全国网络安全标准化技术委员会发布《人工智能安全治理框架》2.0版,在2024年初版基础上,结合AI技术发展和应用实践,进一步强化了软件开源生态安全和供应链安全措施。
(三)人工智能重构软件供应链并加剧安全风险
当前,AI技术进入高速迭代期,推动软件供应链发生根本性重构,使其由传统的代码集成模式转向AI能力聚合的发展新阶段,即以大语言模型、生成式AI、智能体等技术为底层支撑,涵盖模型研发、数据采集、开源组件集成、模型部署与推理、AI辅助开发以及云原生算力支撑的全链条智能软件生态,其安全边界从传统代码层面扩展至数据、模型、算法与运行态交互的多维空间。一是供应链核心要素方面,新增的预训练模型、模型上下文协议生态、智能体插件、AI云服务等环节具有动态更新与持续迭代的特征,基于版本控制的传统静态管理方式难以适配。二是供应链结构方面,节点数量激增且链路错综复杂,模型训练依赖多源异构数据、第三方开源框架与智算云基础设施,模型部署后仍通过推理接口与外部环境持续交互。三是信任基础方面,传统的代码签名机制无法验证模型权重是否被篡改、训练数据是否被投毒,安全信任的建立需要依赖数据溯源、算法验证等新型技术手段与治理机制。
AI技术的深度应用在提升软件研发效率、丰富功能场景的同时,也打破了原有的安全边界,引入了模型投毒、工具污染、智能体劫持等新型安全威胁,加剧了传统供应链风险,并衍生出数据泄露、算法黑盒、合规失守等次生隐患。整体而言,软件供应链安全威胁呈现出传统风险升级、新型威胁爆发、衍生隐患叠加的复合特征,贯穿模型研发至运维部署全链路。特别是在能源、通信、政务、金融等关键领域,针对软件供应链的网络攻击正呈现出愈演愈烈之势,且其攻击范围从行业大模型延伸至支撑其运行的基础设施底座。在此背景下,系统性强化AI驱动下的软件供应链安全治理,已成为国家安全和行业发展的迫切需求。
二、人工智能时代软件供应链安全风险分析
AI技术正在深度重塑软件供应链的形态与安全格局,从大模型研发的数据投毒与组件污染,到部署阶段的模型篡改与接口暴露,再到AI辅助开发与智算云生态,每一个环节都在传统供应链安全的基础上叠加了全新的风险维度。
(一)大模型自身供应链风险:从数据到部署的全链路隐患
大模型、生成式AI、行业模型及智能体本身属于新型智能软件,具备数据驱动、算法黑盒、开源依赖高、动态迭代快等特征,存在区别于传统软件的供应链安全风险。
一是训练数据来源多样,数据投毒风险持续上升。大模型训练高度依赖互联网公开语料、第三方数据集等开放来源,数据量大且结构复杂。在数据收集过程中,恶意内容、错误信息甚至诱导性语义很容易被混入训练语料,影响模型的行为逻辑和输出结果。这种风险具有较强的隐蔽性和长期性,一旦污染数据进入模型训练流程,相关影响可能伴随模型迭代持续存在,并通过模型蒸馏等方式进一步扩散,形成链式风险。
二是开源模型生态下,开源组件可信验证难度增加。AI大模型研发深度依赖Transformers等架构及相关开源框架,一旦这些第三方组件被污染,就会直接威胁所有使用它的模型。攻击者可以利用自动化工具,通过依赖混淆、错别字抢注、代码仓库劫持等手段,在公共镜像仓库中批量发布极具迷惑性的恶意依赖包。如果开发人员缺乏必要的完整性验证等安全审查,直接使用来源不明的组件,就极易将恶意代码引入研发环境。尤其值得警惕的是,当前模型依赖关系动态变化,部分组件存在自动下载、更新等机制,使得传统基于静态边界的安全验证方式难以有效覆盖,进一步增加了供应链风险识别难度。
三是大模型研发工具链被劫持。大模型研发依赖云原生集群等基础设施,以及持续集成与持续交付(CI/CD)流水线、容器镜像仓库等自动化工具链,集中存储大量高权限账号、密钥与访问凭证。攻击者窃取凭证、篡改构建脚本、劫持流水线调度节点,可在模型训练、打包发布环节隐蔽植入后门,使带毒模型仍具备正规签名与合规资质,实现源头隐蔽污染。
四是模型分发与部署篡改。大模型多以权重文件、容器镜像、离线包等形式在开源社区流通,缺乏统一可信签名、完整性校验和溯源机制。攻击者可篡改模型权重、植入后门,或恶意微调后仿冒官方版本二次分发。同时,模型推理接口大面积暴露,易遭受提示词注入、对抗样本攻击;模型量化、剪枝、格式转换等轻量化操作,还会破坏原有安全对齐机制,进而引发非预期高危输出。
(二)人工智能赋能供应链的衍生风险:开发、底座与攻防维度的新挑战
AI已全面渗透软件开发、测试运维、智算底座、攻防对抗全流程,重构传统供应链生产模式、信任边界与风险传导路径,衍生出全新安全隐患。
一是AI辅助开发引发漏洞增加与批量扩散。美国网络安全公司Veracode发布的《2025年生成式AI代码安全报告》显示,45%的AI代码样本含Web应用安全领域十大类高危漏洞(OWASP Top 10);AI代码审查平台CodeRabbit在其《AI与人类代码生成现状报告》(2025年12月)中实测显示,AI辅助生成代码的安全漏洞密度为纯人工编写代码的2.74倍。此外,AI代码助手依托海量开源代码进行概率生成,极易复刻历史漏洞、危险函数与不规范权限逻辑,造成漏洞规模化复制。大模型天然存在幻觉缺陷,虚构不存在的依赖包与接口,攻击者提前抢注幻觉包名植入恶意程序,开发者盲目采信AI推荐,从供应链上游引入恶意开源组件。同时,多智能体协同开发权限过高,易遭提示词注入、工具调用劫持,诱导越权操作与代码篡改,风险跨项目横向蔓延。
二是智算云算力底座带来基础设施风险。智算中心、GPU集群作为AI应用的算力底座,采用云原生多租户架构,依赖大量开源分布式组件。底层漏洞易被攻击者利用,穿透虚拟化隔离接管算力节点,窃取模型与核心数据;多租户隔离机制缺陷可引发侧信道攻击、显存越界读取,造成跨租户数据泄露与横向渗透。此外,AI智能体动态调用外部网页、第三方接口、开源数据集,将供应链安全边界从研发交付延伸至运行态,外部不可信数据源易被劫持,诱发数据外泄与越权操作。
三是AI驱动网络攻防不对称,加剧软件供应链威胁。AI大幅降低漏洞挖掘与攻击编排门槛,可自主完成代码审计、反编译、漏洞匹配,自动串联多漏洞构建复杂攻击链,突破传统边界防护与系统隔离。当前,基于周期性扫描、已知特征匹配、人工流程管控构建的安全防护体系,与AI攻击的高速化、自动化、智能化特征严重不匹配。
三、加强供应链安全治理相关对策建议
面对复合型、动态化的安全挑战,需要从政策法规、标准体系、监管机制、技术能力和产业协同等多个维度系统施策,构建覆盖模型研发、部署、运行全生命周期的敏捷安全治理体系。
(一)加强大模型研发过程中供应链的安全规范与监管
针对大模型研发环节的数据安全与组件污染风险,建立覆盖研发全流程的安全管理制度。一是制定大模型训练数据安全管理规范,要求研发主体对训练数据的来源、内容合规性进行严格审查与备案,从源头降低数据投毒风险。二是建立开源组件与模型的准入安全验证制度,支持自主可控的开源框架与模型研发,要求研发团队在引入第三方框架和预训练模型时实施来源验证与安全评估,防范依赖混淆和组件劫持。三是健全AI研发工具链的安全管理要求,明确研发环境的安全基线,对CI/CD等关键环节实施必要的审计与管控。
(二)健全模型部署与分发的安全准入与合规监管制度
参照《政务大模型应用安全规范》在安全评估与备案方面的制度设计,构建覆盖模型部署全流程的准入与监管机制。一是推行大模型上线前安全评估制度,要求模型发布方在商业化部署前完成对抗鲁棒性、后门检测、安全对齐有效性等方面的安全评估,并向行业主管部门备案。二是建立模型分发的可信认证体系,推动形成行业认可的模型签名与完整性验证标准,为下游使用者提供不依附模型分发平台、独立自主的模型来源验证能力。三是健全模型运行期的持续合规监管,要求服务提供方定期向行业主管部门提交安全运行报告,在发生安全事件时履行及时通报义务,形成贯穿模型全生命周期的合规监管闭环。
(三)压实AI编码工具与智能体供应商的安全主体责任
针对AI辅助开发和智能体协同引入的新型风险,强化对AI编码工具提供商及智能体运营方的安全监管。一是要求AI编码工具提供商对其训练数据中的开源代码安全质量承担审计责任,建立训练数据安全评估与过滤机制。二是明确AI编码工具在第三方包推荐中的安全义务,要求工具优先匹配已注册官方包,对幻觉包进行实时拦截警示。三是建立AI生成代码的引入记录与审计日志制度,要求开发团队在使用AI编码工具时记录工具调用信息与人工审查过程,以便在安全事件发生时能够回溯问题代码的生成来源与审查责任人。
(四)依托云计算服务安全评估制度强化智算云安全管理
充分依托现行云计算服务安全评估制度,将智算云平台纳入安全评估范畴并强化专项管理。一是在《云计算服务安全评估办法》框架下,针对智算云平台的GPU集群多租户隔离、模型推理服务防护等AI特有场景,增设专项安全评估指标,形成“通用云安全+AI扩展评估”的复合评价体系。二是将智算云服务商纳入关键信息基础设施供应链安全审查范围,要求其按规定披露底层依赖组件清单、训练环境安全配置及安全事件记录,提升供应链透明度。三是建立智算云平台运行期的持续安全监测与定期复评制度,对多租户隔离有效性、AI网关身份认证等关键安全能力实施周期性验证。
(五)提升国内基础模型的网络安全防御能力
面对AI驱动的供应链攻击能力不断升级的态势,应着力提升国产基础大模型自身的网络安全能力,以AI防御AI,缩小攻防能力差距。一是将网络安全能力纳入基础模型研发与评测的核心指标体系,在模型训练中有机融入安全编码规范、漏洞模式库和供应链安全知识,增强模型在安全领域的综合能力。二是推动建立面向网络安全垂直领域的基础模型能力评测基准,重点评估模型在代码安全、漏洞识别、供应链分析等任务上的表现,形成常态化的能力测评机制。三是鼓励基础模型研发企业与网络安全企业开展深度合作,联合开发面向代码审计、威胁情报分析、安全合规检测等场景的AI安全工具,促进AI安全能力的产业化发展,推动跨境AI供应链安全国际合作,参与国际标准制定。
(本文刊登于《中国信息安全》杂志2026年第6期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。