AI 时代软件供应链面临重大安全危机:机密泄露激增 64%


JFrog 公司近日发布了《2025年软件供应链现状报告》,揭示了在人工智能(AI)迅速发展的背景下,软件供应链所面临的严峻安全挑战。根据该报告,研究团队通过对1400多名专业人士的调研,以及来自7000多家客户的数据分析,勾勒出了一幅令人为之担忧的安全图景。

报告指出,过去一年中,软件供应链的安全漏洞急剧增加,其中 “秘密” 或机密信息的曝光案例同比增长了64%,总计达到了惊人的25229例。这一数据表明,随着企业对机器学习(ML)模型的依赖加深,安全风险也在不断上升。尽管94% 的公司表示使用认证清单来管理 ML 模型,但其中37% 的公司仍依赖手动方式进行验证,显然这加大了安全隐患。

与此同时,2024年新增的安全漏洞(CVE)数量也高达33000个,相比2023年增加了27%。令人担忧的是,只有12% 的 CVE 被证实真的具有 “严重” 级别,这或许反映出评分系统存在 “膨胀” 现象,可能导致开发者面临不必要的修复压力和工作疲惫。

JFrog 的首席技术官 Yoav Landman 指出,尽管许多组织在积极采用公共 ML 模型推动创新,但缺乏自动化的工具链和治理流程使得安全管理愈加复杂。他呼吁,企业在快速发展的 AI 环境中,应加速自动化转型,以确保在提升创新潜力的同时,也能保障软件的安全性。

整体来看,当前的软件供应链安全问题不仅是技术上的挑战,更是企业管理与运营方式的考验。在 AI 时代,建立更为严密的安全防护措施,已经成为各大企业亟需面对的任务。


相關推薦

2024-01-07

者的强烈抵制。但在这个连 Linus 老大都说要做出改变的时代,不可思议的事情很有可能会发生。   二、Linux 6.12 将是下一个长期稳定版内核,预计 2024 年 12 月 1 日发布(除非 Linus 拒绝在美国感恩节假期后立即发布,这种情

2023-08-04

集性和用户输入的不可预测性,这种漏洞就会被放大。 供应链漏洞。LLM 应用程序生命周期可能会受到易受攻击的组件或服务的影响,从而导致安全攻击。使用第三方数据集、预训练的模型和插件会增加漏洞。 敏感信息泄露

2022-10-26

强软件治理与关键软件识别、开源操作系统的合规治理与供应链管理,由模块的架构位置确定其承上启下的作用、更换的代价,改善整体架构的复杂度与技术风险,从而保证业务场景和生产环境的平滑迁移与升级。 共话大迁移

2023-04-06

根据韩国媒体 Economist 的报道,出于担心可能发生的内部机密信息泄露,三星一直阻止其员工在工作场所使用 ChatGPT。不过从 3 月 11 日起,三星向其半导体部门的员工授予了 ChatGPT 的使用权限(其他部门仍被禁止)。可能是员工

2024-07-10

究主管 Keith McIntosh 表示: “60% 的客户服务和支持领导者面临着在其职能中采用 AI 的压力。但他们不能忽视对 AI 使用的担忧,尤其是当它可能意味着失去客户时。” 消费者对 AI 客服的最大担忧是,联系人工客服会变得越来越

2023-05-30

】AIGC 改变世界、从 ChatGPT 聊起 【圆桌二】加强软件供应链中的安全和信任: 为什么 SBOM、SLSA 和 Sigstore 是软件工程的未来 【圆桌三】Woman’s Power in Open Source 【圆桌四】不同角度谈开源及开源人才培养 【圆桌五】Gi

2022-11-30

系统,结果却再次遭到同样的勒索软件攻击者的攻击。 供应链漏洞:可以采取的步骤之一是审核其供应商和供应商使用的安全措施,以确保端到端供应链的安全。 网络钓鱼:网络钓鱼是企业所面临的主要威胁。对员工进行关

2023-06-20

BlackCat (ALPHV) 勒索软件团伙威胁称,计划公布从 Reddit 窃取的一些机密数据;除非 Reddit 支付赎金,或者改变其备受争议的 API 价格上涨措施。 今年 2 月份,Reddit 披露其系统因为一名员工遭到网络钓鱼攻击而被黑。此次网络钓鱼

2023-10-19

断和单边强制措施制造发展壁垒,恶意阻断全球人工智能供应链。 ——推动建立风险等级测试评估体系,实施敏捷治理,分类分级管理,快速有效响应。研发主体不断提高人工智能可解释性和可预测性,提升数据真实性和准确

2023-05-05

正的威胁。” 该报告基于对不同行业和地区的 500 多名软件开发人员和工程师的调查。结果指出,虽然开发人员比以往任何时候都更加努力解决技术债务、维护、协作和可扩展性方面的问题,但突如其来的 AI 繁荣意味着 Big Code

2023-03-28

席执行官 Sam Altman 也亲自发了推文,承认他们确实遭遇了重大问题,不过当时并没有公布问题的细节,只表示是一个开源库的错误导致的。 由于一个开源库的错误,我们在 ChatGPT 中出现了一个重大问题,现在已经发布了一

2022-05-19

。 这一系列做法引发国内用户、产业界对开源操作系统供应链安全隐患的担忧。相对于无国家社区、无商业公司控制的 Debian 社区来说,Ubuntu 及其衍生发行版、社区则面临着随时被“卡脖子”和“断供“的威胁,其系统安全在

2023-01-16

委员会主任李震宁,以《打造操作系统根社区,保障核心供应链安全》为主题,从中国操作系统创新体系、开源操作系统在中国面临的挑战、软件供应链安全、openKylin社区运营及建设目标等进行了多维度分享。开源作为数字经济

2023-10-25

OSC 请你来轰趴啦!1028 苏州源创会,一起寻宝 AI 时代 谷歌高级软件工程师、Chrome 开发者 Dale Curtis 在 Google Groups 发帖称,考虑到一些新的安全风险,桌面版 Chrome 浏览器中计划淘汰并移除对 Theora 视频编解码器的支持。“Theora