04月

01日

  • 软件供应链公司JFrog报告:AI技术扩张加剧软件供应链安全威胁,四重漏洞风险激增

    美东时间 2025 年 4 月 1 日消息,国际软件供应链公司 JFrog 发布的《2025软件供应链安全报告》指出,人工智能技术的广泛应用导致软件供应链安全威胁显著上升。报告披露,由常见漏洞(CVE)、恶意软件包、密钥泄露及人为配置错误构成的“四重安全风险”正威胁全球供应链安全。

    数据显示,2024 年公共 AI 模型托管平台 Hugging Face 新增超 100 万个模型和数据集,但恶意模型数量同步激增 6.5 倍。此外,研究中监测到 25,229 个公开密钥或令牌(同比增长 64%),其中 27% 仍处于活跃状态,极大增加企业渗透风险。

    报告警示,尽管 94% 的企业通过认证清单管理 AI 模型,但 37% 仍依赖人工维护,加剧安全漏洞风险。同时,仅 43% 的 IT 机构对代码和二进制文件实施双重安全扫描(较 2023 年下降 13%),暴露了低级威胁检测盲区。开源安全亦受挑战——超 70% 开发者直接从公共仓库下载高风险依赖包,年内新增 CVE 漏洞超 3.3 万个(同比增长 27%)。

    在 CVE 评分机制方面,目前仅 12% 被标记为“严重”的漏洞实际可被利用,凸显评分标准缺陷。此外,73% 的安全团队使用7种以上工具,分析认为过度复杂的防护策略反增系统性风险。报告呼吁行业需优化流程、加强供应链全生命周期自动化监控以应对 AI 时代的复合威胁。

意见反馈
返回顶部