![]()
![]()
王惠蒞
文 | 中國電子技術標準化研究院 王惠蒞 上官曉麗 李琳*
軟件供應鏈是支撐數字經濟運轉的核心脈絡,涵蓋從需求分析、代碼開發、組件集成、軟件測試到部署運維、升級更新、退役廢棄的全生命周期,涉及開發方、開源社區、原廠商、第三方供應商、云服務商、終端用戶等多元主體。傳統軟件供應鏈安全風險主要集中于開源組件漏洞、第三方軟件后門等方面。隨著人工智能(AI)技術的應用,軟件供應鏈呈現出三大新特征:一是開發模式智能化,AI自動生成代碼、自主選擇依賴組件、驅動模型訓練與集成;二是組件依賴復雜化,AI系統需整合海量開源庫、預訓練模型、多源數據集,單一軟件可包含數萬量級外部依賴;三是數據模型一體化,數據、模型與代碼深度綁定,數據污染、模型投毒與代碼漏洞形成鏈式風險。這些新特征重構了軟件供應鏈的形態與邊界,數據投毒、模型后門、提示注入等新型攻擊頻發,疊加傳統供應鏈固有風險,使軟件供應鏈安全治理面臨前所未有的挑戰。
一、AI時代軟件供應鏈主要網絡安全風險
AI原生軟件供應鏈是以人工智能模型、算法、訓練數據、智能算力為核心資產,圍繞AI系統全生命周期形成的上下游產業鏈條,覆蓋數據采集標注、模型研發訓練、模型微調優化、模型封裝部署、智能推理服務、模型迭代銷毀全部環節。供應鏈參與主體包含數據服務商、算法研發團隊、預訓練模型開源社區、算力供應商、AI產品廠商、智能應用運營方、行業終端使用者。AI原生軟件供應鏈安全聚焦保護模型權重、核心算法、訓練數據集、專屬算力資源等AI特有資產,防范針對AI原生要素的篡改、竊取、投毒、濫用攻擊,保障AI系統決策可信、運行穩定、隱私合規、行為可控。
AI賦能的傳統軟件供應鏈以傳統軟件為本體,AI僅作為功能插件、開發工具、輔助能力而存在。AI時代軟件供應鏈核心載體為傳統程序軟件,主要包含源代碼、編譯程序、開源組件、中間件、操作系統、軟件配置文件等,形態穩定、結構清晰可解析,其運行邏輯總體較為固定,不具備典型AI系統的自主學習與動態演化能力。
(一)AI原生軟件供應鏈安全風險主要在于數據、模型、組件與生命周期管理
AI原生軟件供應鏈安全風險指在AI驅動的開發與部署全生命周期中,因模型、數據、工具及第三方組件的依賴關系引發的安全威脅,主要風險包括以下四類。
一是數據供應鏈風險。數據是AI模型的基礎,該風險主要包括:其一是訓練數據污染。攻擊者注入惡意數據、篡改數據標簽、植入后門觸發條件,導致模型性能下降或行為異常,且無法追溯數據來源與流轉路徑,難以排查污染源頭;其二是數據泄露與濫用。訓練數據、用戶數據被非法竊取,引發隱私泄露;其三是數據質量缺陷傳導。AI模型性能高度依賴數據質量,低質量數據會導致模型輸出結果失真,引發軟件功能異常、決策失誤。
二是模型供應鏈風險。模型是AI原生軟件供應鏈的核心載體,該風險主要包括:其一是模型后門。預訓練模型被植入隱蔽后門,攻擊者可通過特定指令觸發惡意行為;其二是模型投毒。模型微調注入惡意樣本,篡改模型功能;其三是模型泄露。模型權重、架構被非法竊取,引發知識產權泄露或被用于發起定向攻擊;其四是模型濫用。第三方模型服務存在權限管控漏洞,被非法調用發起惡意攻擊。
三是開源組件與工具鏈風險。AI軟件研發高度依賴開源組件、AI工具鏈(如代碼生成工具、自動化測試工具),該風險主要包括:其一是開源組件漏洞和知識產權。開源庫存在未修復的安全漏洞,被攻擊者利用或開源組件的許可證不合規;其二是工具鏈污染。AI工具被植入惡意代碼,生成含漏洞的軟件或模型;其三是依賴關系管理混亂。依賴關系復雜、版本更新不及時,易引發漏洞復用風險。
四是全生命周期安全管理風險。AI原生軟件供應鏈全生命周期安全管理也可能存在多重風險。該風險主要包括:其一是研發環節存在的AI生成代碼審核缺失、安全測試不到位等;其二是交付環節存在的軟件或模型完整性校驗缺失、傳輸過程被篡改等;其三是運維環節存在的AI系統安全監測不足、漏洞修復不及時等;其四是廢棄環節存在的數據、模型未徹底銷毀,引發殘留風險等。
(二)AI賦能的傳統軟件供應鏈安全風險主要在于代碼和程序
該類供應鏈風險以傳統軟件固有風險為主體,疊加少量AI嵌入衍生風險。傳統風險包含代碼漏洞、組件劫持、程序后門、編譯篡改、配置錯誤、版本惡意替換、代碼注入攻擊;AI衍生風險來自AI生成代碼漏洞、AI插件劫持、智能運維指令越權等。供應鏈脆弱點集中在代碼編寫、組件引用、程序打包、接口調用等傳統軟件開發環節,模型黑盒、數據投毒等AI特有風險并非主流威脅。
二、AI時代軟件供應鏈網絡安全標準建設現狀
AI時代軟件供應鏈已從傳統的“代碼和依賴庫”演進為“模型、數據、算力、開源生態”的復合體系,安全風險呈指數級上升。針對上述網絡安全風險,全球監管框架逐步構建成型。美國通過行政令《改善國家網絡安全》(EO 14028)與NIST SP 800-218強制推行安全軟件開發框架(SSDF);歐盟以《人工智能法案》(AI Act)與ETSI EN 304 223確立AI安全基線;我國依托《中華人民共和國網絡安全法》《中華人民共和國數據安全法》等,強化供應鏈溯源能力與產品安全可信建設。軟件物料清單(SBOM)已逐步在行業推廣,機器學習物料清單(MLBOM)正在快速普及,用于追蹤模型權重、訓練數據與第三方依賴。網絡安全標準作為AI時代軟件供應鏈治理體系中的重要環節,發揮了基礎性、規范性和引導性的作用。
(一)美國:政策驅動、標準引領、工具配套的成熟體系
美國憑借政策強制驅動、標準規范引領、公私協同落地的模式,構建了較為成熟的AI時代軟件供應鏈安全標準體系。其核心以2021年發布的EO 14028行政令為頂層牽引,依托美國國家標準與技術研究院(NIST)傳統供應鏈特別出版物等標準,疊加NIST《人工智能風險管理框架》(AI RMF 1.0)覆蓋AI特有風險,創新推出AI軟件物料清單(AI-SBOM)等專項規范,核心聚焦透明度、可追溯性、責任綁定。
NIST于2024年11月發布SP 800-161 Rev1《系統與組織網絡安全供應鏈風險管理實踐》,提出網絡安全供應鏈風險管理模型,覆蓋供應商評估、采購管控、開發安全、交付驗證、運維監測全流程。標準劃分為三級實踐:基礎、持續、強化,適用不同規模企業,明確了72項具體管控要求。同時,標準納入AI供應鏈風險管理指引,新增第三方AI組件評估、模型完整性校驗、數據溯源等條款。NIST SP 800-218《安全軟件開發框架》(SSDF)直接響應EO14028要求,定義軟件全生命周期安全實踐,涵蓋規劃、開發、測試、發布、運維、廢止6大階段,明確24項核心任務,且適用AI輔助開發場景,新增生成式AI代碼審查、AI插件安全管控、模型集成測試等要求,防范AI生成代碼漏洞。NIST于2025年7月發布SP 1800-44,補充SSDF在AI輔助開發場景的落地細則,提供AI編碼工具配置、生成代碼審計清單、模型集成測試用例。
針對AI模型、數據、算法的黑盒特性與新型風險,NIST于2023年發布AI RMF 1.0,2024—2025年持續更新,成為AI供應鏈安全核心標準。AI RMF采用治理、映射、評估、管理四大核心功能,覆蓋AI系統全生命周期,重點強化供應鏈安全。
在SBOM方面,國際上形成以軟件包數據交換(SPDX)和CycloneDX為代表的兩大開源標準體系,均為機器可讀、開源免費。美國網絡安全與基礎設施安全局(CISA)要求聯邦采購必須兼容兩種格式之一,推動SBOM成為供應鏈“通用語言”。CISA《AI軟件供應鏈安全指南》明確了AI系統中軟件組件、模型、數據的協同防護要求,并要求企業同步維護傳統SBOM與AI-SBOM,以實現“代碼—模型—數據”全鏈路溯源。針對AI嵌入傳統軟件的場景,NIST聯合CISA、OpenSSF發布多項專項指南,銜接傳統標準與AI標準。此外,美國主流安全廠商(如Synopsys、Snyk、Microsoft)紛紛推出傳統供應鏈安全工具、AI專用工具等,以滿足NIST標準要求。
(二)歐盟:合規導向、全鏈管控、生態協同的規范體系
歐盟以法律強約束、風險分級管控、數據安全聯動為核心,依托《網絡彈性法案》(CRA)、《人工智能法案》(AI Act)、《網絡和信息安全指令》(NIS2)指令等頂層法規,驅動歐洲電信標準化協會(ETSI)制定技術標準,構建了覆蓋“傳統軟件、AI模型、訓練數據、開源組件”全鏈路的軟件供應鏈安全標準體系。其核心特征是合規強制化、責任全生命周期綁定、安全與倫理/隱私深度融合,尤其在AI供應鏈領域形成了全球首個官方基線安全標準(ETSI EN 304 223),并將SBOM強制嵌入AI系統合規要求。
ETSI于2025年發布TR 104 034《軟件物料清單匯編》技術報告,明確SBOM的數據字段、格式要求、完整性校驗機制、分發流程,兼容SPDX、CycloneDX國際主流格式。針對AI系統,標準細化AI-SBOM最低要素,強制包含模型唯一標識、模型版本、訓練數據摘要、數據來源證明、依賴框架/組件版本、推理環境配置、安全審計記錄。
2025年12月,ETSI正式發布ETSI EN 304 223 V2.1.1《人工智能安全——AI模型和系統的基線網絡安全要求》,成為全球首個官方AI系統基線安全標準,核心聚焦AI供應鏈安全,覆蓋深度神經網絡與生成式AI系統,是《人工智能法案》中高風險系統合規要求的具體落地。標準采用全生命周期管控邏輯,覆蓋安全設計、安全開發、安全部署、安全維護、安全廢止五大階段,明確13項核心安全原則,其中供應鏈安全管理、數據安全與完整性、模型安全與可信性、透明性與可解釋性等6項原則直接聚焦AI供應鏈安全。該標準參考ISO/IEC 27001(信息安全管理體系)、NIST AI RMF(美國AI風險管理框架)、OWASP AI Exchange(AI安全最佳實踐)、MITRE ATLAS(AI安全威脅框架)等國際框架,兼顧國際兼容性與歐盟特色;配套發布ETSI TR 104 128《保障人工智能(SAI)人工智能模型和系統的網絡安全指南》,針對大模型、金融AI等6類典型場景提供落地細則,降低企業合規難度。
針對AI供應鏈中開源框架、開源模型泛濫的風險,歐盟網絡和信息安全局(ENISA)制定了《開源組件安全指南》,要求開源組件/模型需經過安全審核、漏洞掃描、后門檢測、許可證合規驗證,建立開源組件安全數據庫,防范開源投毒風險。針對AI倫理問題,ETSI聯合歐盟倫理委員會發布《AI倫理安全標準》,要求AI供應鏈兼顧無偏見、公平性、可解釋性,防范訓練數據偏見傳導至模型決策,與AI安全標準形成“安全+倫理”雙重管控。
此外,歐洲銀行管理局(EBA)發布《金融AI供應鏈安全指南》,強化模型風險評估、數據防篡改、交易溯源要求。ENISA發布《關鍵基礎設施AI安全指南》,對接NIS2指令,要求AI系統具備高可用性、抗攻擊性、供應鏈韌性。ETSI EN 304 223與醫療器械法規(MDR)聯動,要求醫療AI模型通過專項安全認證,訓練數據需符合醫療隱私保護要求。
(三)國際標準化組織與國際電工委員會:統籌協調、通用基礎、融合探索
國際標準化組織與國際電工委員會(ISO/IEC)聚焦“通用基礎標準+AI融合標準”,推動全球標準協同,減少碎片化。
ISO/IEC 5962:2021《信息技術SPDX規范V2.2.1》(目前正在修訂)定義了軟件包數據交換格式。ISO/IEC 27001新增供應鏈安全控制項,覆蓋供應商評估、外包管控、第三方服務安全。ISO/IEC 27036《供應商關系信息安全》系列則覆蓋軟硬件及服務供應鏈安全。ISO/IEC 20243:2023(O-TTPS)《可信技術供應商標準》則聚焦惡意篡改、偽造、后門、供應鏈植入攻擊,強調組件來源驗證、完整性哈希等方面。
在AI融合標準方面,ISO/IEC JTC1/SC27在研的ISO/IEC FDIS 27090《網絡安全人工智能應對人工智能系統的安全威脅與失陷》,則明確了AI特有的供應鏈安全威脅,并提出了AI-SBOM、第三方AI組件管控、訓練數據安全、對抗測試、供應鏈彈性等相關安全指南。
(四)中國:政策先行、國標主導、行業推廣
為應對AI時代供應鏈攻擊、數據投毒、模型后門等安全風險,我國加快構建適配AI場景的軟件供應鏈安全治理體系,《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《國務院關于產業鏈供應鏈安全的規定》《人工智能生成合成內容標識辦法》《人工智能擬人化互動服務管理暫行辦法》等對人工智能、產業鏈供應鏈提出安全要求,軟件供應鏈安全標準和人工智能安全標準等國標成體系推進。
在傳統軟件供應鏈安全標準方面已基本形成體系。2024年11月實施的《網絡安全技術軟件供應鏈安全要求》(GB/T 43698—2024)貫穿軟件開發、交付、運維、廢止全流程,覆蓋風險管理、組織管理、供應活動管理三大維度,包含72項具體指標。《網絡安全技術軟件產品開源代碼安全評價方法》(GB/T 42744—2024),規范開源組件篩選、漏洞檢測、風險評估流程。《網絡安全技術軟件物料清單數據格式》(GB/T 47020—2026)參考SPDX、CycloneDX并適配國內需求,解決格式不統一、數據不完整問題。
在AI安全標準方面已形成頂層設計并逐步推進。2025年9月發布的《人工智能安全治理框架》2.0版,提出“可信應用、防范失控”原則,將供應鏈安全納入AI風險治理核心,覆蓋模型研發、訓練數據、第三方組件、推理服務等環節。2025年9月實施的強制性國標《網絡安全技術人工智能生成合成內容標識方法》(GB 45438—2025),要求AI生成代碼、文檔等內容必須添加標識,防范虛假信息與惡意代碼傳播。《新聞行業大規模預訓練模型語言模型安全性要求》(在研)規定了新聞行業大規模預訓練模型語言模型安全性的總體原則與安全框架、語料與訓練數據安全、模型內生安全、生成內容安全、標識與溯源安全等。此外,全國網絡安全標準化技術委員會已就人工智能計算平臺安全、機器學習算法、生成式人工智能服務安全、生成式人工智能數據標注安全等方面發布國標,并正在逐步推進智能體安全、應用分類分級、生成代碼服務安全等相關標準。
三、AI時代軟件供應鏈網絡安全標準建設探索
目前,國內外AI時代軟件供應鏈安全標準建設均以全生命周期管控、風險分級分類、責任明確化為核心邏輯,覆蓋數據、模型、組件、應用等核心環節,聚焦SBOM/AI-BOM管理、開源組件治理、數據安全、模型安全、漏洞管控等重要方面,采用“政策強制、標準規范、行業推廣”的落地模式,優先在黨政部門、關鍵信息基礎設施等重點行業領域推進。但美國、歐盟標準化體系相對成熟,安全標準較為完善,我國AI安全標準體系建設起步較晚,多項標準仍在制定中。同時,美國、歐盟在國際標準制定方面較為積極,我國在AI軟件供應鏈安全方面尚需加強力量。
(一)完善標準體系,強化AI專項標準供給
構建“國家標準統籌、行業標準細化、團體標準補充”的三級標準體系。加快制定生成式AI安全、模型安全、數據投毒防護、提示注入防護、AI生成代碼審核等專項國家標準;明確模型后門檢測、數據污染識別、越獄攻擊防護的技術指標、檢測方法與評估規范;出臺SBOM/AI-BOM管理規范,覆蓋模型權重、架構、訓練數據、依賴組件等要素,實現全鏈路溯源。構建全生命周期標準管控體系,筑牢關鍵環節防線。積極參與ISO、IEC、ITU等國際組織AI供應鏈安全標準制定,結合我國AI產業優勢,主導制定符合我國產業實際的國際標準。
(二)強化標準落地,提升企業合規能力
加強標準宣傳與培訓,開展多層次、多形式的標準宣傳培訓普及AI供應鏈安全風險與標準化治理價值,推出標準化落地指南、簡易合規工具包,降低落地門檻。支持國內安全企業研發AI供應鏈標準化工具,具體包括:SBOM/AI-BOM生成工具、模型漏洞掃描工具、數據污染檢測工具、提示注入防護工具、AI生成代碼審核工具;推動工具與標準深度適配,實現標準要求“工具化、自動化、智能化”;建立工具認證機制,確保工具合規、安全、可靠。分行業分規模推進標準落地,打造標準化示范標桿,輸出可復制、可推廣的落地經驗。
(三)健全監管協同機制,營造標準化治理良好環境
建立跨部門協同監管機制,明確相關方安全責任。創新智能化監管手段。構建AI軟件供應鏈安全監管平臺,整合企業標準落地數據、SBOM/AI-BOM數據、漏洞數據、溯源數據;利用大數據、AI技術,實現實時監測、風險預警、智能研判、溯源分析。聯合高校、科研機構、企業、行業組織,開展標準關鍵技術、工具研發、風險評估等協同攻關。發揮行業組織作用,制定行業自律公約,引導企業自覺遵守安全標準;推動企業間安全信息共享、漏洞協同處置、應急聯動,構建“企業自治、行業自律、社會監督”的共治格局。(李琳系本文通信作者)
(本文刊登于《中國信息安全》雜志2026年第6期)
![]()
![]()
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.