软件供应链安全风险溯源:从开源到OpenAI的演变与应对
硅谷“快速行动,打破常规”的信条将增长置于一切之上。不幸的是,这种速度也导致软件供应链漏洞的快速引入。从开源软件库到人工智能编码助手,这些工具虽然能够实现快速创新,但也为网络犯罪分子提供了可乘之机。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
从开源库到人工智能驱动的编码助手,以速度为导向的开发正在引入新的第三方风险,而威胁行为者正日益利用这些风险。
硅谷“快速行动,打破常规”的信条将增长置于一切之上。不幸的是,这种速度也导致软件供应链漏洞的快速引入。从开源软件库到人工智能编码助手,这些工具虽然能够实现快速创新,但也为网络犯罪分子提供了可乘之机。
第三方风险一直存在,但并非始终备受关注。过去十年,勒索软件占据了新闻头条,也牵动着网络安全领导者的心。近年来,国家级威胁和日益增长的网络战风险逐渐凸显。然而,无论其动机或运作方式如何,软件供应链中的漏洞都是网络攻击的理想目标。
SolarWinds 的数据泄露事件敲响了警钟,提醒人们注意第三方风险的危险性。即使你的防御措施再严密,如果上游服务提供商拥有通往企业内部的安全通道,一切也无济于事。Log4J 的Log4Shell漏洞则揭示了第三方风险如何在开源软件库中滋生,而这些开源软件库已被广泛采用并集成到企业服务中。漏洞一旦被披露,攻击者便立即展开扫描。
最近,网络攻击者将目光转向了人工智能编码助手及其产生的虚假响应,例如,他们会错误地识别出一个并不存在的软件库。当攻击者识别出一个虚假的软件库时,他们会注册一个同名的恶意二进制文件。开发者会在不知情的情况下将这些恶意软件集成到他们的代码中。网络安全研究人员将这种攻击称为“恶意域名抢注”(slopsquatting)。
因此,DevOps和网络安全都需要更加积极主动地识别和应对这些风险。DevOps将此称为“左移”,网络安全称之为“防暴预警”。可见性是这种方法的基础。
第三方风险的遗留问题
第三方风险并非新鲜事。供应链攻击的案例至少可以追溯到二十年前。例如,2003年就有人试图在Linux内核中植入后门,此事臭名昭著。然而,直到2020年SolarWinds数据泄露事件发生后,各组织才开始真正重视第三方风险。
SolarWinds的数据泄露事件是一起由俄罗斯高级持续性威胁 (APT) 组织实施的精心策划的供应链攻击。受感染的软件更新向18,000 名客户推送了恶意后门,使攻击者能够访问包括数十个美国联邦机构在内的高价值目标。
一年后,Log4J的一个漏洞Log4Shell引发了一场重大的供应链安全危机。Log4J是Java 生态系统中一个流行的开源日志库,被嵌入到数亿个应用程序和设备中。在运营技术 (OT) 环境中,此类漏洞的问题尤为严重,因为这些环境包含关键业务资产和难以甚至无法修复的遗留技术。
许多组织利用开源软件库来加速创新并降低成本,但对于Log4J而言,这种便利却以软件暴露在风险之中为代价。在Log4Shell漏洞披露后的几周内,各组织争相查找哪些供应商在其解决方案中集成了Log4J,而供应商则不得不向客户保证一切都在掌控之中,并推出补救计划。
请不要破坏我的好心情。
“Vibe编码”已成为生成式人工智能领域一款引人注目的“杀手级应用”。据GitHub统计,过去一年中,97%的开发者都使用过人工智能工具。然而,过度依赖人工智能生成的代码会给代码库带来安全漏洞。
学术研究人员发现,在16种领先的代码生成工具中,19%的推荐软件包并不存在,43%的虚构软件包每次都重复出现。
恶意攻击者正主动发现这些虚构的软件包,并抢先注册同名恶意代码。Python软件基金会的一位开发者将这种攻击称为“slopsquatting”(拼写错误抢注),因为它与网络域名抢注或拼写错误抢注非常相似。
例如,恶意软件“ccxt-mexc-futures”在公共软件仓库PyPl上被注册并下载超过1000次。该恶意软件修改了用于加密货币交易的关键操作;然而,鉴于Shai-Hulud蠕虫最近在PyPl上成功传播,抢注域名很可能成为未来发起高调蠕虫攻击的一种途径。
在企业之外,在攻击发生之前
这些第三方风险案例之间存在诸多差异。SolarWinds数据泄露事件是一起针对性极强的供应链攻击,凸显了供应链完整性问题。Log4J漏洞在当时被认为是迄今为止披露的最广泛漏洞,这也凸显了供应链可观测性的必要性。而域名抢注攻击的出现则要求对人工智能辅助编码进行更严格的监管。
这里的一个共同主题是需要提高透明度。供应链中软件依赖关系的复杂性使得漏洞和风险的监控变得困难。DevOps 需要“左移”,在风险方面更加积极主动和透明,以便网络安全团队能够在风险被利用之前(即防患于未然)识别并修复这些风险。
组织可以通过软件物料清单 (SBOM) 来审核软件的来源,从而跟踪每个依赖项的出处和版本。静态应用程序安全测试 (SAST) 和动态应用程序安全测试 (DAST) 可以识别可能被攻击者利用的漏洞。同样,可见性是这种方法的关键。组织需要首先建立全面的资产清单,以便评估特定应用程序对业务的影响。
网络安全团队还可以监控攻击或行动指标 (IOA),例如异常的系统行为或新的连接。识别此类行为异常是人工智能的理想应用场景,因为机器学习擅长模式识别和异常行为检测。
对于人工智能编码助手,开发者需要意识到其存在的风险,例如账户身份验证和输入验证方面的缺陷。开发者应在提示信息中嵌入安全措施,例如多因素身份验证 (MFA) 锁定和输入清理。此外,如今比以往任何时候都更加重要的是,必须进行人工审核和应用程序安全测试。
相关攻略
从求“代养虾”到一键开箱:腾讯 WorkBuddy AI 智能助理正式上线 效率升级的浪潮来得如此之快。就在前几天,全网还在热议如何获取并安装那只爆火的“AI 小龙虾”——OpenClaw,而今天,腾讯官方就正式推出了即开即用的企业级 AI 助手解决方案:WorkBuddy。可以说,它为所有职场人提
OpenClaw “隔夜失忆” 症候群:你的 AI 助手为什么第二天不认识你了? 作者:一个被 OpenClaw 折磨了三个月的老用户日期:2026-03-08 故事从一个崩溃的早晨开始 前一天晚上,你和 OpenClaw 的配合堪称完美。 你让它帮忙写个“EvoCap”项目,它不仅立刻响应,还花了
OpenClaw:全网爆火的“养龙虾”,究竟是何方神圣? 最近,一个叫做“养龙虾”的话题在技术圈里火了起来。别误会,这说的可不是水产养殖,而是一款名为 OpenClaw 的开源AI智能体工具的民间昵称。它是一款主打本地部署的AI自动化工具,今天咱们就来彻底盘一盘它。 一、先搞懂:OpenClaw 到
3月31日消息,据媒体报道,蚂蚁灵波科技开源大规模RGB-D深度数据集LingBot-Depth-Dataset。此前,社区中一直缺少大规模真实场景拍摄的深度数据集。现有公开数据集普遍存在规模有限、
3月31日消息,近日,百度文心衍生模型PaddleOCR在GitHub上的Star数突破73 3K,首次超越谷歌旗下开源OCR标杆产品Tesseract OCR(73 2K),成为全球Star数最高
热门专题
热门推荐
一、角色创建与职业选择 进入《刀剑缭乱》的江湖,一切从打造你的专属角色开始。首先,你可以依据个人偏好,自由设定角色的性别,并精细调整面部特征、发型等外观细节,这将是未来你在游戏中独一无二的视觉名片。 随后面临的关键决策是职业选择,它将深远影响你的游戏体验。若你热爱正面交锋、感受刀刀到肉的战斗激情,强
塔防精灵联动九品芝麻官:进京御状活动全面通关攻略 《塔防精灵》与经典喜剧《九品芝麻官》的联动活动第二话“进京御状”现已正式开启。想要成功告御状、赢取丰厚回报,必须依靠巧妙策略。本次挑战为双人合作模式,玩家需先加入一个联盟方可参与。规则的核心很简单:挑战的关卡波次越高,最终获取的奖励就越好。接下来,我
魔兽世界12 0升级路上必拿坐骑全收集指南 魔兽世界12 0练级可获取坐骑完整列表 在《魔兽世界》12 0的资料片中,升级过程本身就是一次绝佳的坐骑收藏体验。从创建角色进入新手区域开始,玩家就有机会获得专属坐骑。完成初始地区的特定剧情任务链后,你将能够解锁一只风格独特的陆行鸟。尽管它的基础移动速度并
王者荣耀海月海之女神皮肤特效全解析 海月全新“海之女神”皮肤,堪称零氪与微氪法师玩家的赛季惊喜。皮肤整体采用深邃的蓝绿色调,融入鲜明的深海神话主题,从踏浪托月的登场动画,到遍布魔鬼鱼、水母与海螺元素的技能特效,品质打磨相当精致。最吸引人的是,它可从勇者品质免费晋升为史诗品质,特效视觉效果通透且不干扰
掌握鹅鸭杀全地图任务点分布,是提升游戏胜率、成为高玩的关键一步。 阴森地下室任务详解 地下室是多个关键任务的刷新区域。进入地下室后,优先查看入口处的大型箱子,这里高频刷新“检查保险丝”等核心任务。深入内部,在角落的管道附近常能发现“修理管道”的交互点。同时,楼梯周边也是任务热点,经常出现“清理垃圾”