生成式AI之下，软件供应链安全的升级迫在眉睫

随着生成式AI和大语言模型技术的快速发展和广泛应用，尤其是在软件供应链安全领域，AI与软件供应链的深度融合催生了新的安全课题。

根据JForg公司研究团队发布的全球软件供应链安全报告显示，90%的受访者表示他们的扫描工具支持AI；90%的受访者在某种程度上支持AI的工具来协助安全扫描或修复；有32%的企业受访者表示大部分人可以使用Copilot等AI工具协助代码生成，但是因为ChatGPT产生的代码可能存在漏洞，超过半数的人认为这一行为有风险。

核心关键主要集中在两个方面：AI伴生安全和AI赋能安全

AI伴生安全侧重于由于AI技术应用直接产生的新的安全隐患以及其对既有供应链安全环境的影响。

AI技术在软件供应链安全中的风险一方面主要是来自AI技术的脆弱性、对数据的依赖性等自身缺陷原因带来的问题，属于AI的内生安全。另一方面来自AI技术本身的脆弱性被利用而引起的其他领域安全问题，影响AI的合规使用，并涉及人身安全、隐私保护等，属于AI的衍生安全。

（1）AI的内生安全涉及：

基础设施安全，用于支撑AI运行的硬件设施、云平台及网络环境的稳定性，以及深度学习框架及依赖的三方包的安全性。

算法及模型安全，AI模型可能遭受对抗样本攻击、模型窃取、后门注入等威胁，影响其正确执行供应链任务的能力。

数据安全，AI对于大量数据的高度依赖使得数据安全变得尤为重要，包括数据完整性、真实性、可用性等方面。

（2）AI衍生安全包括：

新形式的安全威胁，随着AI能力提升，供应链中可能会出现新型攻击手段，比如针对AI系统的针对性攻击，或者利用AI进行社会工程学攻击等。

伦理道德及社会责任，AI决策过程的透明度、可解释性不足可能导致不公平贸易行为或加剧供应链中的不平等现象，这也是安全保障的一个重要维度。

AI赋能安全指的是AI技术被应用于优化、强化或保障软件供应链安全的各个环节，包括安全防护、安全检测和漏洞挖掘等。

AI为数字供应链安全提供了智能化的风险管控手段，增强了整体的安全态势感知能力，有效提高了供应链抵御内外部安全威胁的能力。AI对数字供应链安全的赋能体现在对传统安全技术的增强，包括以下场景：

（1）AI赋能安全防护

随着数字化社会的发展，新型网络攻击正规模化、自动化地威胁各行业网络安全。AI技术与网络安全防御的深度融合已成为应对这一挑战的趋势，并致力于构建智能化的网络安全运营体系。AI在网络安全防御中的应用主要体现在以下几个方面：

智能安全漏洞防御，通过机器学习和深度学习技术，实现对复杂网络系统中安全漏洞的自动检测和快速修复，有效提升防御效能。

智能安全态势感知，提高数据处理效率，增强对海量网络安全情报的关联分析能力，智能检测并预警潜在威胁，形成全面的威胁情报库，以打造智能防御体系。

智能安全运营，实现人工智能与安全运营流程的融合，极大提升了自动化水平和响应效率，实现了从预防、检测到响应、预测和恢复等环节的全流程智能化管理。

智能网络攻击溯源，结合AI技术，能够准确、高效地追踪溯源网络攻击行为，绘制攻击路径，归类攻击者信息，提供关键的防护决策依据。

（2）AI赋能安全检测

AI技术在网络安全威胁检测领域的应用日益广泛且深入，涵盖了恶意代码检测、恶意流量检测、恶意域名检测、威胁情报提取以及敏感信息识别等多个方面：

恶意代码检测，利用静态分析提取特征签名和规则，进行恶意代码识别。采用动态分析监控运行时行为，发现异常行为模式作为检测依据。应用机器学习和深度学习技术构建智能检测模型，提升自动化水平并实现模型自动更新优化。

恶意流量检测，构建基于历史数据的异常检测模型，利用统计学方法和无监督学习算法（如孤立森林、ABOD）发现异常流量。提取多维度流量特征（单包特征、统计特征、序列特征等），通过逻辑回归、LGBM、xgboost等机器学习算法建立分类检测模型。直接将网络流量数据转化为图像或时间序列形式，使用CNN、RNN、Transformer等深度学习算法构建分类检测模型。

恶意域名检测，基于域名字符串特征，运用文本分类技术（如Igran、LSTM、Transformer）识别DGA生成域名及仿冒钓鱼网站域名。分析域名请求解析记录数据，提取多维度特征构建有监督机器学习分类模型以精准判定恶意域名。结合网站内容特征，爬取网页信息并构建检测分类模型以确定含有不良信息或恶意代码的网站。

威胁情报提取，针对非结构化文本中的漏洞描述信息，使用深度学习模型如BERT、UIE等进行命名实体识别，提取软件名称和版本等关键情报。运用HAN、CasRel、TPLinker、UIE等关系抽取模型，匹配识别出的实体以获取完整的漏洞影响范围。

敏感信息识别，超越传统关键词匹配方法，利用词嵌入、文档嵌入向量结合距离度量（如余弦距离）与聚类算法，批量识别语义相似的敏感文档。在社交网络环境下，分别针对文本和图片构建多模态敏感信息识别模型，并通过融合算法进行最终判定。

（3）AI赋能漏洞挖掘

AI技术能根据已知或未知漏洞自动生成利用代码，用于验证漏洞可利用性、评估修复效果以及自动探索系统中的未知安全漏洞。主要应用于如下场景：

用于验证漏洞的可达性，当一个漏洞发现并报告给厂商或开发者时，AI可以用于自动生成针对该漏洞的利用代码，以验证漏洞的实际利用效果，并确认其是否会导致系统被攻击。

用于评估漏洞的修复效果，利用AI重新生成利用代码，以测试修复后的系统是否仍然容易受到攻击。这种方式，可以评估修复措施的质量，并助开发者或厂商确保漏洞己经得到适当的修复。

用于自动化的安全漏洞挖掘，通过AI生成大量的输入和攻击适配器，探索目标系统或应用程序中的未知漏洞。通过尝试不同的输入和攻击方式，可以发现和生成新的漏洞利用代码，进一步帮助安全研究人员发现和修复系统中的潜在缺陷。

在整个软件开发过程中，忽视质量的而追求AI速度的优先性可能会带来严重后果，甚至决定企业成败。用AI的方式治理AI或许才是正解。

比如，国内知名DevSecOps领域厂商悬镜安全主要围绕其核心的“AI智能代码疫苗”技术展开，通过将AI技术深度融入软件开发生命周期的各个环节，实现从开发到运营的全流程安全赋能。

比如 源鉴SCA快速扫描数字应用和容器镜像中存在的各类开源风险，基于LLM大模型，实现AI自动化分析开源许可证风险，帮助企业全面了解许可证法律合规问题。且提供AI成分分析能力，快速检测AI生成代码。规避其潜在安全风险。

灵脉SAST从源头识别安全风险，帮助企业解决软件开发过程中的安全缺陷、质量缺陷和编码规范缺陷，确保研发团队高质量交付。提供快速检测能力，检测速度可达百万行/小时。基于AI大模型智能聚类分析，检测结果精确，各语言误报率不超过15%，漏报率不超过13%。

灵脉PTE自动化渗透测试平台，借助先进的AI算法不断进行“智力”成长和逻辑推理决策，以贴近实际人工的方式，持续性全方位的对给定目标进行从信息收集到漏洞利用的渗透测试，从而降低人力成本，提高测试效率。

云脉XSBOM数字供应链安全情报预警平台，基于AI安全大数据云端分析能力，实时对全球数字供应链安全漏洞、投毒情报进行动态监测，并交叉验证风险，使用专业的情报发布标准，确保漏洞情报快速可靠。

同时可以联动赋能SCA、IAST、SAST、RASP、PTE和ASPM等敏捷安全工具，增强从代码开发到上线运营的全周期安全风险监控和响应能力，实现全面安全保障。

夫子ASPM开发安全态势管理平台实现DevSecOps全流程安全一站式管理，借助AI赋能算法，ASPM平台可实现漏洞数据统一收集和格式化；通过漏洞风险的综合关联分析，确定修复优先级。通过运用安全运营指标数据看板，帮助组织快速识别和定位应用中需要优先处理的风险点，并结合平台提供的修复方案进行快速闭环修复。