文 | 中国电子技术标准化研究院 王惠莅 上官晓丽 李琳*

软件供应链是支撑数字经济运转的核心脉络,涵盖从需求分析、代码开发、组件集成、软件测试到部署运维、升级更新、退役废弃的全生命周期,涉及开发方、开源社区、原厂商、第三方供应商、云服务商、终端用户等多元主体。传统软件供应链安全风险主要集中于开源组件漏洞、第三方软件后门等方面。随着人工智能(AI)技术的应用,软件供应链呈现出三大新特征:一是开发模式智能化,AI自动生成代码、自主选择依赖组件、驱动模型训练与集成;二是组件依赖复杂化,AI系统需整合海量开源库、预训练模型、多源数据集,单一软件可包含数万量级外部依赖;三是数据模型一体化,数据、模型与代码深度绑定,数据污染、模型投毒与代码漏洞形成链式风险。这些新特征重构了软件供应链的形态与边界,数据投毒、模型后门、提示注入等新型攻击频发,叠加传统供应链固有风险,使软件供应链安全治理面临前所未有的挑战。

一、AI时代软件供应链主要网络安全风险

AI原生软件供应链是以人工智能模型、算法、训练数据、智能算力为核心资产,围绕AI系统全生命周期形成的上下游产业链条,覆盖数据采集标注、模型研发训练、模型微调优化、模型封装部署、智能推理服务、模型迭代销毁全部环节。供应链参与主体包含数据服务商、算法研发团队、预训练模型开源社区、算力供应商、AI产品厂商、智能应用运营方、行业终端使用者。AI原生软件供应链安全聚焦保护模型权重、核心算法、训练数据集、专属算力资源等AI特有资产,防范针对AI原生要素的篡改、窃取、投毒、滥用攻击,保障AI系统决策可信、运行稳定、隐私合规、行为可控。

AI赋能的传统软件供应链以传统软件为本体,AI仅作为功能插件、开发工具、辅助能力而存在。AI时代软件供应链核心载体为传统程序软件,主要包含源代码、编译程序、开源组件、中间件、操作系统、软件配置文件等,形态稳定、结构清晰可解析,其运行逻辑总体较为固定,不具备典型AI系统的自主学习与动态演化能力。

(一)AI原生软件供应链安全风险主要在于数据、模型、组件与生命周期管理

AI原生软件供应链安全风险指在AI驱动的开发与部署全生命周期中,因模型、数据、工具及第三方组件的依赖关系引发的安全威胁,主要风险包括以下四类。

一是数据供应链风险。数据是AI模型的基础,该风险主要包括:其一是训练数据污染。攻击者注入恶意数据、篡改数据标签、植入后门触发条件,导致模型性能下降或行为异常,且无法追溯数据来源与流转路径,难以排查污染源头;其二是数据泄露与滥用。训练数据、用户数据被非法窃取,引发隐私泄露;其三是数据质量缺陷传导。AI模型性能高度依赖数据质量,低质量数据会导致模型输出结果失真,引发软件功能异常、决策失误。

二是模型供应链风险。模型是AI原生软件供应链的核心载体,该风险主要包括:其一是模型后门。预训练模型被植入隐蔽后门,攻击者可通过特定指令触发恶意行为;其二是模型投毒。模型微调注入恶意样本,篡改模型功能;其三是模型泄露。模型权重、架构被非法窃取,引发知识产权泄露或被用于发起定向攻击;其四是模型滥用。第三方模型服务存在权限管控漏洞,被非法调用发起恶意攻击。

三是开源组件与工具链风险。AI软件研发高度依赖开源组件、AI工具链(如代码生成工具、自动化测试工具),该风险主要包括:其一是开源组件漏洞和知识产权。开源库存在未修复的安全漏洞,被攻击者利用或开源组件的许可证不合规;其二是工具链污染。AI工具被植入恶意代码,生成含漏洞的软件或模型;其三是依赖关系管理混乱。依赖关系复杂、版本更新不及时,易引发漏洞复用风险。

四是全生命周期安全管理风险。AI原生软件供应链全生命周期安全管理也可能存在多重风险。该风险主要包括:其一是研发环节存在的AI生成代码审核缺失、安全测试不到位等;其二是交付环节存在的软件或模型完整性校验缺失、传输过程被篡改等;其三是运维环节存在的AI系统安全监测不足、漏洞修复不及时等;其四是废弃环节存在的数据、模型未彻底销毁,引发残留风险等。

(二)AI赋能的传统软件供应链安全风险主要在于代码和程序

该类供应链风险以传统软件固有风险为主体,叠加少量AI嵌入衍生风险。传统风险包含代码漏洞、组件劫持、程序后门、编译篡改、配置错误、版本恶意替换、代码注入攻击;AI衍生风险来自AI生成代码漏洞、AI插件劫持、智能运维指令越权等。供应链脆弱点集中在代码编写、组件引用、程序打包、接口调用等传统软件开发环节,模型黑盒、数据投毒等AI特有风险并非主流威胁。

二、AI时代软件供应链网络安全标准建设现状

AI时代软件供应链已从传统的“代码和依赖库”演进为“模型、数据、算力、开源生态”的复合体系,安全风险呈指数级上升。针对上述网络安全风险,全球监管框架逐步构建成型。美国通过行政令《改善国家网络安全》(EO 14028)与NIST SP 800-218强制推行安全软件开发框架(SSDF);欧盟以《人工智能法案》(AI Act)与ETSI EN 304 223确立AI安全基线;我国依托《中华人民共和国网络安全法》《中华人民共和国数据安全法》等,强化供应链溯源能力与产品安全可信建设。软件物料清单(SBOM)已逐步在行业推广,机器学习物料清单(MLBOM)正在快速普及,用于追踪模型权重、训练数据与第三方依赖。网络安全标准作为AI时代软件供应链治理体系中的重要环节,发挥了基础性、规范性和引导性的作用。

(一)美国:政策驱动、标准引领、工具配套的成熟体系

美国凭借政策强制驱动、标准规范引领、公私协同落地的模式,构建了较为成熟的AI时代软件供应链安全标准体系。其核心以2021年发布的EO 14028行政令为顶层牵引,依托美国国家标准与技术研究院(NIST)传统供应链特别出版物等标准,叠加NIST《人工智能风险管理框架》(AI RMF 1.0)覆盖AI特有风险,创新推出AI软件物料清单(AI-SBOM)等专项规范,核心聚焦透明度、可追溯性、责任绑定。

NIST于2024年11月发布SP 800-161 Rev1《系统与组织网络安全供应链风险管理实践》,提出网络安全供应链风险管理模型,覆盖供应商评估、采购管控、开发安全、交付验证、运维监测全流程。标准划分为三级实践:基础、持续、强化,适用不同规模企业,明确了72项具体管控要求。同时,标准纳入AI供应链风险管理指引,新增第三方AI组件评估、模型完整性校验、数据溯源等条款。NIST SP 800-218《安全软件开发框架》(SSDF)直接响应EO14028要求,定义软件全生命周期安全实践,涵盖规划、开发、测试、发布、运维、废止6大阶段,明确24项核心任务,且适用AI辅助开发场景,新增生成式AI代码审查、AI插件安全管控、模型集成测试等要求,防范AI生成代码漏洞。NIST于2025年7月发布SP 1800-44,补充SSDF在AI辅助开发场景的落地细则,提供AI编码工具配置、生成代码审计清单、模型集成测试用例。

针对AI模型、数据、算法的黑盒特性与新型风险,NIST于2023年发布AI RMF 1.0,2024—2025年持续更新,成为AI供应链安全核心标准。AI RMF采用治理、映射、评估、管理四大核心功能,覆盖AI系统全生命周期,重点强化供应链安全。

在SBOM方面,国际上形成以软件包数据交换(SPDX)和CycloneDX为代表的两大开源标准体系,均为机器可读、开源免费。美国网络安全与基础设施安全局(CISA)要求联邦采购必须兼容两种格式之一,推动SBOM成为供应链“通用语言”。CISA《AI软件供应链安全指南》明确了AI系统中软件组件、模型、数据的协同防护要求,并要求企业同步维护传统SBOM与AI-SBOM,以实现“代码—模型—数据”全链路溯源。针对AI嵌入传统软件的场景,NIST联合CISA、OpenSSF发布多项专项指南,衔接传统标准与AI标准。此外,美国主流安全厂商(如Synopsys、Snyk、Microsoft)纷纷推出传统供应链安全工具、AI专用工具等,以满足NIST标准要求。

(二)欧盟:合规导向、全链管控、生态协同的规范体系

欧盟以法律强约束、风险分级管控、数据安全联动为核心,依托《网络弹性法案》(CRA)、《人工智能法案》(AI Act)、《网络和信息安全指令》(NIS2)指令等顶层法规,驱动欧洲电信标准化协会(ETSI)制定技术标准,构建了覆盖“传统软件、AI模型、训练数据、开源组件”全链路的软件供应链安全标准体系。其核心特征是合规强制化、责任全生命周期绑定、安全与伦理/隐私深度融合,尤其在AI供应链领域形成了全球首个官方基线安全标准(ETSI EN 304 223),并将SBOM强制嵌入AI系统合规要求。

ETSI于2025年发布TR 104 034《软件物料清单汇编》技术报告,明确SBOM的数据字段、格式要求、完整性校验机制、分发流程,兼容SPDX、CycloneDX国际主流格式。针对AI系统,标准细化AI-SBOM最低要素,强制包含模型唯一标识、模型版本、训练数据摘要、数据来源证明、依赖框架/组件版本、推理环境配置、安全审计记录。

2025年12月,ETSI正式发布ETSI EN 304 223 V2.1.1《人工智能安全——AI模型和系统的基线网络安全要求》,成为全球首个官方AI系统基线安全标准,核心聚焦AI供应链安全,覆盖深度神经网络与生成式AI系统,是《人工智能法案》中高风险系统合规要求的具体落地。标准采用全生命周期管控逻辑,覆盖安全设计、安全开发、安全部署、安全维护、安全废止五大阶段,明确13项核心安全原则,其中供应链安全管理、数据安全与完整性、模型安全与可信性、透明性与可解释性等6项原则直接聚焦AI供应链安全。该标准参考ISO/IEC 27001(信息安全管理体系)、NIST AI RMF(美国AI风险管理框架)、OWASP AI Exchange(AI安全最佳实践)、MITRE ATLAS(AI安全威胁框架)等国际框架,兼顾国际兼容性与欧盟特色;配套发布ETSI TR 104 128《保障人工智能(SAI)人工智能模型和系统的网络安全指南》,针对大模型、金融AI等6类典型场景提供落地细则,降低企业合规难度。

针对AI供应链中开源框架、开源模型泛滥的风险,欧盟网络和信息安全局(ENISA)制定了《开源组件安全指南》,要求开源组件/模型需经过安全审核、漏洞扫描、后门检测、许可证合规验证,建立开源组件安全数据库,防范开源投毒风险。针对AI伦理问题,ETSI联合欧盟伦理委员会发布《AI伦理安全标准》,要求AI供应链兼顾无偏见、公平性、可解释性,防范训练数据偏见传导至模型决策,与AI安全标准形成“安全+伦理”双重管控。

此外,欧洲银行管理局(EBA)发布《金融AI供应链安全指南》,强化模型风险评估、数据防篡改、交易溯源要求。ENISA发布《关键基础设施AI安全指南》,对接NIS2指令,要求AI系统具备高可用性、抗攻击性、供应链韧性。ETSI EN 304 223与医疗器械法规(MDR)联动,要求医疗AI模型通过专项安全认证,训练数据需符合医疗隐私保护要求。

(三)国际标准化组织与国际电工委员会:统筹协调、通用基础、融合探索

国际标准化组织与国际电工委员会(ISO/IEC)聚焦“通用基础标准+AI融合标准”,推动全球标准协同,减少碎片化。

ISO/IEC 5962:2021《信息技术SPDX规范V2.2.1》(目前正在修订)定义了软件包数据交换格式。ISO/IEC 27001新增供应链安全控制项,覆盖供应商评估、外包管控、第三方服务安全。ISO/IEC 27036《供应商关系信息安全》系列则覆盖软硬件及服务供应链安全。ISO/IEC 20243:2023(O-TTPS)《可信技术供应商标准》则聚焦恶意篡改、伪造、后门、供应链植入攻击,强调组件来源验证、完整性哈希等方面。

在AI融合标准方面,ISO/IEC JTC1/SC27在研的ISO/IEC FDIS 27090《网络安全人工智能应对人工智能系统的安全威胁与失陷》,则明确了AI特有的供应链安全威胁,并提出了AI-SBOM、第三方AI组件管控、训练数据安全、对抗测试、供应链弹性等相关安全指南。

(四)中国:政策先行、国标主导、行业推广

为应对AI时代供应链攻击、数据投毒、模型后门等安全风险,我国加快构建适配AI场景的软件供应链安全治理体系,《中华人民共和国网络安全法》《中华人民共和国数据安全法》《国务院关于产业链供应链安全的规定》《人工智能生成合成内容标识办法》《人工智能拟人化互动服务管理暂行办法》等对人工智能、产业链供应链提出安全要求,软件供应链安全标准和人工智能安全标准等国标成体系推进。

在传统软件供应链安全标准方面已基本形成体系。2024年11月实施的《网络安全技术软件供应链安全要求》(GB/T 43698—2024)贯穿软件开发、交付、运维、废止全流程,覆盖风险管理、组织管理、供应活动管理三大维度,包含72项具体指标。《网络安全技术软件产品开源代码安全评价方法》(GB/T 42744—2024),规范开源组件筛选、漏洞检测、风险评估流程。《网络安全技术软件物料清单数据格式》(GB/T 47020—2026)参考SPDX、CycloneDX并适配国内需求,解决格式不统一、数据不完整问题。

在AI安全标准方面已形成顶层设计并逐步推进。2025年9月发布的《人工智能安全治理框架》2.0版,提出“可信应用、防范失控”原则,将供应链安全纳入AI风险治理核心,覆盖模型研发、训练数据、第三方组件、推理服务等环节。2025年9月实施的强制性国标《网络安全技术人工智能生成合成内容标识方法》(GB 45438—2025),要求AI生成代码、文档等内容必须添加标识,防范虚假信息与恶意代码传播。《新闻行业大规模预训练模型语言模型安全性要求》(在研)规定了新闻行业大规模预训练模型语言模型安全性的总体原则与安全框架、语料与训练数据安全、模型内生安全、生成内容安全、标识与溯源安全等。此外,全国网络安全标准化技术委员会已就人工智能计算平台安全、机器学习算法、生成式人工智能服务安全、生成式人工智能数据标注安全等方面发布国标,并正在逐步推进智能体安全、应用分类分级、生成代码服务安全等相关标准。

三、AI时代软件供应链网络安全标准建设探索

目前,国内外AI时代软件供应链安全标准建设均以全生命周期管控、风险分级分类、责任明确化为核心逻辑,覆盖数据、模型、组件、应用等核心环节,聚焦SBOM/AI-BOM管理、开源组件治理、数据安全、模型安全、漏洞管控等重要方面,采用“政策强制、标准规范、行业推广”的落地模式,优先在党政部门、关键信息基础设施等重点行业领域推进。但美国、欧盟标准化体系相对成熟,安全标准较为完善,我国AI安全标准体系建设起步较晚,多项标准仍在制定中。同时,美国、欧盟在国际标准制定方面较为积极,我国在AI软件供应链安全方面尚需加强力量。

(一)完善标准体系,强化AI专项标准供给

构建“国家标准统筹、行业标准细化、团体标准补充”的三级标准体系。加快制定生成式AI安全、模型安全、数据投毒防护、提示注入防护、AI生成代码审核等专项国家标准;明确模型后门检测、数据污染识别、越狱攻击防护的技术指标、检测方法与评估规范;出台SBOM/AI-BOM管理规范,覆盖模型权重、架构、训练数据、依赖组件等要素,实现全链路溯源。构建全生命周期标准管控体系,筑牢关键环节防线。积极参与ISO、IEC、ITU等国际组织AI供应链安全标准制定,结合我国AI产业优势,主导制定符合我国产业实际的国际标准。

(二)强化标准落地,提升企业合规能力

加强标准宣传与培训,开展多层次、多形式的标准宣传培训普及AI供应链安全风险与标准化治理价值,推出标准化落地指南、简易合规工具包,降低落地门槛。支持国内安全企业研发AI供应链标准化工具,具体包括:SBOM/AI-BOM生成工具、模型漏洞扫描工具、数据污染检测工具、提示注入防护工具、AI生成代码审核工具;推动工具与标准深度适配,实现标准要求“工具化、自动化、智能化”;建立工具认证机制,确保工具合规、安全、可靠。分行业分规模推进标准落地,打造标准化示范标杆,输出可复制、可推广的落地经验。

(三)健全监管协同机制,营造标准化治理良好环境

建立跨部门协同监管机制,明确相关方安全责任。创新智能化监管手段。构建AI软件供应链安全监管平台,整合企业标准落地数据、SBOM/AI-BOM数据、漏洞数据、溯源数据;利用大数据、AI技术,实现实时监测、风险预警、智能研判、溯源分析。联合高校、科研机构、企业、行业组织,开展标准关键技术、工具研发、风险评估等协同攻关。发挥行业组织作用,制定行业自律公约,引导企业自觉遵守安全标准;推动企业间安全信息共享、漏洞协同处置、应急联动,构建“企业自治、行业自律、社会监督”的共治格局。(李琳系本文通信作者)

(本文刊登于《中国信息安全》杂志2026年第6期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。