据www.dqindia.com报道,印度企业AI采用率飙升,但软件供应链安全能力严重滞后——近65%的组织缺乏恶意软件包检测能力,71%未部署容器安全工具,安全盲区在AI深度嵌入开发流程过程中急剧扩大。
AI加速渗透,治理能力严重脱节
印度企业正以史无前例的速度部署AI技术。据JFrog《2026软件供应链安全状况白皮书》显示,AI模型、编码助手、智能代理框架及机器学习库已广泛嵌入本地开发流水线。然而,组织对AI治理计划的信心与实际可控性之间出现显著断层。报告指出,印度在受调市场中暴露出最突出的软件供应链“盲点”之一,其根本症结在于:AI正从应用层技术转变为软件供应链的底层基础设施组件。
安全工具缺口触目惊心
- 65%的印度企业无法识别恶意软件包;
- 71%未使用容器安全工具;
- 全球npm恶意包数量在2025年激增451%,而npm已是全球使用最广的企业级JavaScript包生态;
- 2025年全球新披露CVE漏洞超48,000个,同比上升20%;
- 其中部分增长被归因于AI生成代码重复引入经典缺陷,包括跨站脚本(XSS)、SQL注入及缺失授权控制。
AI验证负担反升:工程师51%时间用于审查
报告揭示一个反直觉现象:AI并未减少开发工作量,而是重构了工作重心。印度DevSecOps团队目前将51%的工作时间投入于AI生成代码的审查、验证与加固。53%的印度工程师将AI输出仅视为初稿,坚持逐行人工审核;另有11%选择完全重写AI生成的修复方案。这一趋势表明,安全责任正从“编写安全代码”转向“验证机器输出是否安全”——而AI引入漏洞的速度,往往快于人工识别与修复周期。
“治理幻觉”普遍存在
报告提出“掌控幻觉”(illusion of mastery)概念,直指治理表象与实质控制间的巨大落差:97%的组织声称已建立经认证的AI模型治理计划,但仅59%能在生产环境中实现全链路资产溯源可见性;更关键的是,48%的企业仍需耗时一周或更久才能生成审计就绪的合规证据。同样,在影子AI(unsanctioned AI)管理方面,印度虽以60%的自动化检测率位居各调研区域首位,但仍有40%组织完全依赖人工排查,无法实时识别开发者环境中未经批准的AI工具。
模型仓库成最大攻击面
软件供应链结构正在发生根本性迁移。2025年,Hugging Face平台发布约1.4百万个新AI制品,占该研究追踪全部新增软件包的58%。模型注册中心(model registries)已成为企业环境中规模最大的第三方组件来源。研究人员已在公共仓库中发现495个含活跃载荷的恶意AI模型,可执行凭据窃取、命令执行及反向Shell操作;另识别出969个恶意AI-Agent技能,专为劫持开发者环境与自动化工作流而设计。这些数据证实,AI制品本身已成为软件供应链中最活跃、最隐蔽的新风险载体。
本文编译自海外媒体报道,由 SCI.AI 编辑团队整理发布。
