
随着AI深度渗透软件开发全链路,软件供应链的攻击边界持续拓宽,传统安全体系面临新挑战。AI并未颠覆软件安全的底层逻辑,却放大了既有漏洞的影响范围和攻击的隐蔽性,使数字供应链安全的紧迫性空前提升。
在此背景下,基于《2026中国AI安全产业发展调查报告》的产业调研成果,上海市信息安全行业协会与安在联合主办的《2026 AI安全 智在直播》系列活动正式启动。6月25日,系列直播首场以“AI颠覆软件安全?No!AI放大软件安全!”为主题,聚焦AI时代供应链安全、身份管理等核心场景展开深度对话。

本场直播由安在新媒体合伙人张威主持,悬镜安全CTO宁戈带来《以AI治理AI 新一代数字供应链安全治理体系》主题分享,并与中国移动高级安全专家唐双林展开圆桌讨论。三位嘉宾围绕AI coding安全、责任归属、攻防范式变化等议题进行了深度探讨。
张威在开场中指出,当前AI安全领域虽日新月异,但全行业普遍处于迷茫状态:甲方安全负责人缺乏系统获取产业研究动向的渠道,厂商则难以摸清企业真实需求,供需两端存在明显信息差。正是基于这一痛点,策划了此次系列活动,希望挖掘AI重塑安全市场下的新产业方向,推动重点场景实现技术突破。


AI时代,数字供应链正迎来全方位变革。年初Anthropic发布的模型展现出极强的漏洞挖掘与利用能力,给网络安全行业带来显著的技术冲击和风险警示。目前该类模型仍在持续迭代,国内多款大模型也已相继落地,并在漏洞挖掘智能体及相关技术上不断突破。与此同时,智能体的应用边界从早期编码辅助拓展至办公、生活等多元场景,行业正式迈入agentic AI发展阶段。
agentic AI具备动态性、自主性与协作性三大关键特征,拥有自主决策和多智能体协同能力。相较于传统AI,它新增了自主推理规划、工具调用、长短期记忆机制以及完整的执行流程,能力边界大幅拓展,但也导致传统安全工具难以适配新型风险点和风险面,造成普遍的防御失效。一套完整的agentic AI系统由外部交互层、核心治理与执行层、模型层及技能插件生态层构成,其记忆机制、权限体系、多智能体协作等特性,衍生出上下文投毒、人机信任滥用等新型风险。OWASP也已针对agentic AI发布十大风险榜单。
当前针对agentic AI的攻击中,供应链侧的风险最为突出。第三方技能仓库与开源社区存在大量可自由上传的技能资源,其中不乏被投毒的恶意技能,智能体加载后便会触发恶意执行行为;开源模型平台同样存在被投毒的恶意模型,加载后可能触发反序列化漏洞,直接执行内置恶意代码。整体来看,在涵盖大模型、智能体、MCP、技能等细分领域的风险体系中,供应链风险贯穿各环节,同时也伴随部分传统安全风险的延伸。
AI时代的供应链治理正面临三大关键挑战。第一是“看不清”,AI模型本身属于黑盒系统,其推理过程、工具调用细节、智能体内部运转逻辑对使用者不透明,同时影子AI的存在使底层模型归属难以追溯,治理者无法掌握完整的资产与运行信息。第二是“跟不上”,模型迭代与开发效率大幅提升,攻击方同样借助AI技术加快漏洞挖掘与利用,攻防节奏全面加快,传统安全响应的能力与效率难以匹配AI时代的速度。第三是“防不住”,AI催生了语义层面威胁、提示词注入等全新风险面,传统供应链侧的代码检测、组件扫描等防御手段,无法有效识别与防御这类新型威胁。
针对AI安全治理,行业已出现多款成熟理念与框架。其中Gartner提出的AI原生安全治理框架采用分层治理结构,在传统技术底座之上构建四层治理能力:底层聚焦运行环境安全,覆盖模型、计算资源等基础设施层面;第二层为数据安全治理;第三层聚焦模型与智能体运行时安全;最上层是全局合规治理体系,统筹全链路合规管控与治理能力建设。
基于原有软件供应链安全技术积累,悬镜安全延伸构建了AI原生安全治理与AI原生安全测试能力体系,布局涵盖AI Coding安全、AI原生安全测试、智能体运行时安全、AI供应链安全情报四大重点方向。
悬镜安全·数字供应链安全治理体系
在AI Coding安全方向,悬镜在传统SSD能力基础上完成了三方面拓展:一是AI代码安全护栏,针对AI生成代码占比持续提升的行业现状,将代码分析能力集成至AI安全工具中,在代码生成阶段或生成后即刻开展分析审计,实现“生成-风险发现-修复-回归验证”的快速闭环,从源头管控AI生成代码的安全隐患。二是AI漏洞挖掘,依托大模型与智能体技术发掘深层次安全问题,覆盖零日漏洞、业务逻辑漏洞等传统手段难以高效发现的场景。三是AI增强代码审计,基于SAST工具产出的漏洞结果,开展AI辅助代码审计与自动修复,大幅提升审计效率与修复精度。
AI原生安全测试是悬镜的重点布局方向,该体系被定义为AI ST,包含智能体审计、红队渗透、模型扫描、AI供应链情报预警四大模块。智能体审计聚焦智能体自身风险检测,重点针对Skills进行扫描,精准识别技能中的投毒风险、恶意工具、恶意代码及命令执行等隐患,并延伸至MCP等生态组件的安全检测。红队渗透采用黑盒测试方式,依据智能体技术原理模拟真实攻击路径,主动发现智能体与模型的深层风险。模型扫描对模型本身进行全方位风险评估,涉及模型配置风险、不安全模型检测、模型成分与亲缘关系识别等内容。AI供应链情报预警则基于AI BOM资产清单与成分分析结果,匹配并推送精准的供应链安全情报,实现风险的精准触达。
在AI漏洞挖掘领域,悬镜正在自研专属漏洞挖掘智能体,采用多智能体循环架构,执行流程涵盖规划、搜索、分析推理、验证、漏洞修复等全环节,依托大模型调用各类安全工具,并将工具输出结果反哺后续推理分析,形成完整的自动化漏洞挖掘闭环,可高效发现深层次的代码安全问题。
智能体运行时安全层面,悬镜构建了集AI资产发现、权限管理、行为拦截和行为审计于一体的完整能力体系。其中行为审计包含全链路追踪与工具调用审计,实现对智能体执行全过程的风险感知与管控,弥补运行阶段的安全防护空白。
AI供应链安全情报方面,悬镜在原有组件漏洞、投毒风险等供应链情报基础上,进一步拓展至AI模型风险、上下游基础组件与框架风险,以及AI插件、Skills、MCP等生态风险。情报生产流程涵盖多源数据收集、安全专家研判和AI智能体自动化处理,最终输出至产品端与客户端,为客户提供实时风险预警。
在落地路径上,悬镜的AI原生安全测试能力贯穿智能体全生命周期:引入阶段进行模型文件检测、第三方模型配置核查与投毒风险识别;开发设计阶段实施技能审计与智能体源代码审计;部署测试阶段进行红队渗透测试,验证技能与执行过程风险;运行管理阶段持续监控执行链路与工具调用行为,实现全周期安全管控。
整体而言,AI时代的数字供应链安全治理需围绕三个关键方向构建能力。一是源头治理,聚焦供应链侧入口管控,涵盖第三方模型、训练数据集、MCP与技能生态、AI BOM管理等环节,从源头把控风险。二是主动治理,以攻促防,通过智能体审计、AI漏洞挖掘、AI红队验证等手段主动出击,以攻击者视角评估模型与智能体的真实风险。三是情报驱动,依托高速迭代的安全情报快速响应新型投毒、漏洞及其他AI侧风险,匹配AI时代的攻防节奏。三者共同构成AI时代数字供应链安全的完整治理体系,也是悬镜安全当前技术布局与产品落地的底层逻辑。


话题一:AI生成的代码漏洞与人工编写的代码漏洞本质上是否存在差异,未升级的传统代码扫描检测工具是否无法有效检测AI生成代码的漏洞?
宁戈:AI生成代码的漏洞本质上仍属于常规代码漏洞范畴,并未超出CWE定义的漏洞类型。相关学术研究通过测试大量AI生成的代码仓库也证实,其漏洞类型与传统人工代码的漏洞类型基本一致。
二者漏洞的核心差异体现在产生原因上。人工代码出现漏洞,多源于开发者的认知盲区、业务理解偏差、项目历史包袱或开发赶工等因素;AI生成代码的漏洞,主要受模型上下文分析能力、模型自身能力限制影响,AI生成代码以训练语料与当前上下文的合理性为导向,并非基于完整的安全威胁模型与权限边界考量进行输出,因此常出现局部逻辑合理、但在整体业务流程中存在安全风险的漏洞。
传统代码检测工具并未完全失效,依然能够覆盖显性的、规则层面的基础漏洞。针对业务逻辑、深层漏洞利用等复杂安全问题,则可结合AI检测能力作为补充,企业应综合搭配使用两类工具。
话题二:从甲方视角来看,AI供应链安全最棘手的问题是技术底层检测难还是管理层面的责任边界不清,AI生成代码出现安全问题后责任应如何划分?
唐双林:AI供应链安全同时存在管理责任边界与技术检测两方面的问题。管理层面遵循“谁主管谁负责、谁运营谁负责、谁使用谁负责”的核心原则,代码上线前研发人员承担第一界面主体责任,安全团队承担对应监督管理责任。责任划分标准不因代码生成方式发生改变,不能将安全问题的责任推卸给AI开发工具,只有明确安全责任边界,才能推动各环节主体重视对应的安全风险。
技术层面确实存在检测难度提升的问题。AI生成代码自带的不可解释性、幻觉问题,以及智能体、技能模块存在的投毒风险等,都属于AI应用带来的新型安全问题,这类问题具备较强隐蔽性,传统的供应链安全检测工具无法通过正则匹配方式有效识别。
同时AI供应链的生命周期参与元素更多,涵盖模型、数据集、第三方开源组件、AI生成依赖库等环节,整体链条更长、资产可控性更低,进一步加大了安全检测的难度。目前安全厂商已初步具备相应的技术应对能力,后续检测工具也会持续完善,只有同步解决管理责任归属与技术检测难题,才能有效防范AI供应链安全风险。
话题三:AI的出现是否颠覆了传统网络攻防范式,攻防领域因此产生了哪些变化?
宁戈:AI对网络攻防的影响属于能力延伸,并未形成完全的范式颠覆。在漏洞挖掘场景中,漏洞类型与核心挖洞经验与传统攻防保持一致,只是将过往的攻防经验沉淀到智能体或模型当中,把原本由人工执行的环节替换为AI执行。
传统攻防的核心思路与风险发现手段并未发生本质改变,AI智能体调用的资产发现、端口扫描、风险函数识别等工具,仍属于行业常规工具,依托的都是已有的攻防知识体系。整体来看,当前AI与传统攻防仍处于互相结合的状态,并未实现完全的颠覆。
话题四:企业使用AI coding工具时,若大模型生成的代码存在问题,是否可以追责大模型厂商?
唐双林:用于生成代码的大模型本质属于开发工具,属性与传统编程IDE、编译器一致。传统开发工具的编译环节同样可能出现错误,但此类场景下直接追责工具厂商并不具备合理性,同理也不能简单因代码质量问题直接归责于大模型。
只有采购商用大模型时,可通过合同与厂商明确约定代码质量安全要求,例如生成代码需满足无中高危漏洞的标准,同时约定漏洞响应时效、安全事件处置与影响消减责任等条款,后续可依据协议向厂商主张对应责任,而这类约定会相应提升大模型的采购成本。
除直接追责大模型厂商外,也可通过第三方保险机构为研发的软件产品承保,以保险理赔的方式实现风险转移,达成损失弥补的效果。
话题五:向领导汇报AI给软件供应链安全带来的增量风险时,应选取哪三个硬性量化指标?
唐双林:第一个指标为单位代码漏洞检出率。统计传统人工编写代码的行数与渗透测试检出的漏洞总量,测算出每行代码的安全漏洞检出率;采用相同的测算方式对多组AI生成代码样本开展渗透测试并计算对应数值,通过二者对比可量化AI应用后代码整体漏洞数量的增减,直观体现代码安全质量的差异。
第二个指标为漏洞等级分布占比。分别统计人工编写代码与AI生成代码中高危、中危、低危漏洞的占比结构,重点对比高危漏洞的比例变化,以此衡量AI生成代码的风险严重程度,明确不同等级安全风险的分布差异。
第三个指标为第三方依赖组件安全性。核查AI生成代码引入的第三方组件、依赖库的版本安全情况,对照人工开发时的安全选型标准,评估AI对供应链组件的安全把关能力,量化AI在软件供应链环节带来的安全风险变化。
话题六:企业降本增效背景下,不采购新安全工具、仅靠强化现有流程能否覆盖AI coding带来的增量风险,不买新工具就必然会出安全问题吗?
宁戈:不采购新的安全工具并非必然引发安全问题,实际风险程度取决于企业AI的应用场景与使用深度。
普通编码场景下,强化后的现有流程可覆盖部分增量风险,但Agent开发与使用环节存在语义层面、新型暴露面等全新风险点,这类风险此前未被传统工具覆盖,现有管控流程无法有效应对。
当AI coding应用程度较高时,代码生成规模会大幅增长,仅依靠现有流程会在检测自动化程度、风险发现准确率与管控效率上出现明显短板,难以适配大规模代码的安全管控需求。
话题七:采购时,厂商用哪种场景演示最像忽悠,而什么极端测试能真正证明其技术实力?
唐双林:采购评估安全产品时,首先会参考Gartner象限等国际权威数据及国内安在新媒体等机构发行的评价榜单,以此圈定候选厂商。
在最终选型阶段,核心关注的是产品的实际检测能力和误报率,即能否发现问题且误报尽可能低。最有效的验证方式是采用极端测试。
具体操作是将自身脱敏的真实业务代码交由多家厂商进行实测,直接对比其发现的安全风险数量和误报情况。更进一步,还可以要求不同厂商提供各自的代码样本进行交叉测试,利用厂商间的竞争关系,促使其使出全力,从而直观暴露各家的真实能力边界。最终,综合检测率、误报率等多个指标,并结合预算成本,做出采购决策。
话题八:传统信息安全职业还有什么好的方向?若进军AI安全行业需要什么技能?
唐双林:在安全技术创新领域,尤其是AI安全方向,是当前一个兼具新兴价值与实践意义的选择。大型国企近年大力倡导创新,安全领域同样需要以新技术应对新风险。实际工作中,会围绕数据投毒、对抗样本攻击、提示词注入等AI特有的攻防课题展开研发,研究成果直接用于武装自身业务中的AI模型,确保其原生安全,这种由内部创新团队主导的模式与业务贴合最为紧密。
聚焦安全技术创新,还能有效转变安全部门常被视为“背锅侠”的被动处境。做纯粹的安全管理容易陷入“不扣分”的被动局面,而投身创新能带来新技术、新方案乃至标杆案例。由此可申请国家科技进步奖项或优秀案例,在为公司考核加分的同时,团队和个人的荣誉成果也随之增加。安全不再是累赘,反而成为增加工作亮点的助益,因此该方向值得深入涉猎和长期发展。
话题九:未来一两年,AI在软件供应链安全领域是会停留在辅助提效,还是能进化到自主决策式防御?
唐双林:未来一两年仍将以辅助提效为主,但逐步向自主决策式防御演进是必然趋势。
核心卡点在于AI的一些根本性难题尚未解决。首先是不可解释性与幻觉问题,这在目前仍是世界级难题。完全依赖AI存在不可控性,例如WAPS Top 10已将智能体的不可控性列为安全风险,年初Meta AI智能体删除邮件等事件也充分说明,一旦赋予AI操作权限,任何缺陷都可能造成难以预料的后果。
另一个关键障碍是责任边界难以界定。安全问题必须将责任落实到人,不可能由AI或工具来承担。既然由人负责,就必须由人控制AI,让AI辅助决策,最终由人承担责任。因此,短期内必然是AI辅助人决策的模式,随着技术成熟和配套机制完善,再逐步向AI自主决策的方向演进。
话题十:为降低Token费用使用代理中间商,但在Coding过程中发现请求被投毒,有何解决方法?
宁戈:解决思路主要聚焦在智能体运行层面进行防护。
具体可在模型返回阶段设置卡点与检测机制,或是在代码生成过程中乃至生成后进行干预。目前部分智能体产品已提供可操作的节点,利用这些节点能够植入审计与分析能力,从而识别和拦截风险代码。
此外,还可结合投毒情报进行匹配与关联分析,进一步增强对投毒行为的发现能力。整体而言,防护的核心窗口在于生成过程中和生成后这两个环节。


《2026 AI安全 智在直播》是由上海市信息安全行业协会与安全新媒体安在联合主办的系列直播活动,围绕AI安全领域供应链安全、身份管理、风险转移与治理合规等核心场景,邀请行业专家展开深度对话。
本场聚焦AI时代安全责任边界,从非人身份管理切入,讲清“谁该为AI背锅”。

主题
谁是AI?AI是谁?谁需安全?保谁安全?
时间
6月30日(周二)19:00-20:30
主持人
张威 安在新媒体合伙人、安在新榜出品人
分享嘉宾
茆正华 派拉软件研发总监
分享议题
《AI智能体访问控制体系落地分享》
圆桌嘉宾
刘歆轶 非夕机器人信息安全总监


夜雨聆风
