美东时间 2025 年 4 月 1 日消息，国际软件供应链公司 JFrog 发布的《2025软件供应链安全报告》指出，人工智能技术的广泛应用导致软件供应链安全威胁显著上升。报告披露，由常见漏洞（CVE）、恶意软件包、密钥泄露及人为配置错误构成的“四重安全风险”正威胁全球供应链安全。

数据显示，2024 年公共 AI 模型托管平台 Hugging Face 新增超 100 万个模型和数据集，但恶意模型数量同步激增 6.5 倍。此外，研究中监测到 25,229 个公开密钥或令牌（同比增长 64%），其中 27% 仍处于活跃状态，极大增加企业渗透风险。

报告警示，尽管 94% 的企业通过认证清单管理 AI 模型，但 37% 仍依赖人工维护，加剧安全漏洞风险。同时，仅 43% 的 IT 机构对代码和二进制文件实施双重安全扫描（较 2023 年下降 13%），暴露了低级威胁检测盲区。开源安全亦受挑战——超 70% 开发者直接从公共仓库下载高风险依赖包，年内新增 CVE 漏洞超 3.3 万个（同比增长 27%）。

在 CVE 评分机制方面，目前仅 12% 被标记为“严重”的漏洞实际可被利用，凸显评分标准缺陷。此外，73% 的安全团队使用7种以上工具，分析认为过度复杂的防护策略反增系统性风险。报告呼吁行业需优化流程、加强供应链全生命周期自动化监控以应对 AI 时代的复合威胁。