报告行业投资评级 * 本报告为行业研究报告，未对具体公司或行业给出明确的“买入/卖出/持有”等投资评级，其核心是揭示AI原生时代数字供应链安全领域面临的严峻挑战与市场机遇 [1][2][87] 报告的核心观点 * **核心趋势**：随着Agentic AI的规模化应用，数字供应链攻击正加速向AI原生生态纵深演进，呈现出“传统包管理器+AI原生载体”双轨渗透的鲜明趋势 [2][87] * **核心挑战**：2025年开源供应链投毒攻击进入高发期，攻击范围扩大化、技术手段智能化、对抗方式多样化，对开源生态的信任基石构成严重冲击 [2][85] * **核心风险**：AI模型文件、MCP Server、Agent Skill等新型资产成为供应链投毒的新载体，提示词注入、恶意语义误导等AI原生安全风险凸显 [2][10][14] * **核心建议**：防御端需构建基于“AI原生安全+DevSecOps敏捷安全+多模态SCA+开源供应链情报预警”技术的新一代数字供应链安全治理体系，实现从源头到运行时的全生命周期防护 [79][84][87] 根据相关目录分别进行总结 供应链投毒攻击态势 * **2025年投毒包总量激增**：悬镜安全情报中心在2025年总共识别 **56,928** 个存在真实恶意行为的投毒包，总量相较于2024年（约 **3.6万** 个）显著提升 **58%** [4] * **投毒攻击分布集中**：**NPM** 公共仓库的代码投毒占比超过 **92%**，是主要攻击目标；**PyPI** 仓库因加强安全防护，2025年投毒占比为 **4.49%**，相较2024年呈轻微下降趋势 [4] * **AI模型平台成为新目标**：**HuggingFace** 已成为恶意模型投放的主要平台，超过 **940** 个模型文件被攻击者实施投毒 [4] * **主要攻击方式**：恶意代码内嵌执行是最常用方式，占比 **51.58%**；系统命令执行占比 **31.13%**；针对AI生态的提示词注入攻击成为新型攻击方式之一 [9][10][11] * **主要恶意行为**：信息窃取攻击占比最高，达 **83.8%**，目标包括系统凭证、浏览器Cookie、数字钱包数据及各类业务令牌（如Github Token、云服务密钥等） [13][14] 供应链投毒案例分析 * **AI模型文件投毒**：攻击者利用Python pickle模块反序列化特性，将恶意代码嵌入模型文件（如HuggingFace平台的`model.pkl`文件），当开发者使用`torch.load()`加载时会静默执行反向Shell等恶意代码 [16][17] * **Agent MCP Server提示词注入**：攻击者在MCP Server的工具描述中植入伪装成系统指令的恶意提示词（如`<SYSTEM_DIRECTIVE>`标签），诱导AI应用执行非预期操作，如篡改文件 [22] * **Agent Skill恶意指令投毒**：第三方Skill市场缺乏严格审查，成为高危攻击面。例如，OpenClaw Skill市场**3,325**个包中检测出**452**个高危恶意Skill包，其指令文档直接嵌入恶意指令，操纵AI Agent执行远程植入木马、窃密等操作 [23][24] * **VSCode插件市场投毒**：攻击者发布伪装插件（如`codex-ai-pro`），在插件激活函数中植入定时器，远程下载并执行恶意木马程序（如`Lightshot.dll`） [29][34][37][39] * **Python仓库投毒与规避技术**： * **伪装劫持**：攻击者利用相似包名（如`pytensorlite`伪装`pytensor`）诱导安装，进而窃取浏览器和数字钱包（如Exodus、Atomic）的敏感数据 [40][44][48] * **绕过检测**：利用Python可执行ZIP压缩包（含`__main__.py`）的特性分发恶意代码，以躲避初级静态检测 [52][56] * **NPM仓库投毒与高级对抗**： * **间接依赖攻击**：通过在`package.json`中引用托管在外部高信誉平台（如谷歌云存储）的恶意依赖包，绕过传统静态检测和NPM官方扫描 [62] * **动态混淆执行**：`chai-`系列恶意包从远程C2服务器拉取高度混淆的JS代码动态执行，无文件落盘，难以静态分析，主要功能是窃取系统信息、浏览器凭证和加密货币钱包数据 [65][67][70] * **时间门控后门**：恶意组件（如`winston-loggerex`）植入基于特定时间触发的后门，在设定时间（如2025-10-13）后才从远程地址下载并执行恶意代码 [74] 供应链投毒治理建议 * **多模态SCA审查**：需引入支持“源码-二进制-运行时”全链路场景的多模态SCA检测能力，覆盖传统资产及AI生态热点资产（模型文件、MCP、Skill等），构建深层防御体系 [79] * **全生命周期SBOM管理**：需构建动态、透明的SBOM（软件物料清单），在软件构建、测试、部署等各环节实时更新，并联动投毒情报进行精准响应和全局溯源 [80] * **联动供应链投毒情报预警**：建议接入第三方权威情报源，构建“情报—SBOM—DevSecOps”三位一体联动机制，将安全情报深度融入开发、编译、运行全阶段，实现实时预警和风险阻断 [81][83] * **AI原生安全治理**： * **供应链资产安全**：对模型、数据集等建立全流程管控，优先选择安全文件格式（如`safetensors`），在模型加载前进行安全扫描，并在开发流水线中嵌入AI驱动的原生安全审查 [84] * **运行时动态防御**：针对提示词注入、外部工具滥用等场景，实施环境隔离与权限最小化，防范运行时恶意行为 [84] 总结与展望 * **攻击态势展望**：未来，利用混淆保护绕过静态扫描、反调试、反沙箱检测，甚至利用LLM生成低特征投毒代码等对抗手段将成为常态 [85] * **防御体系展望**：SBOM将从静态清单升维为与供应链安全情报共生演进的核心数据资产，驱动投毒治理向体系化、自动化、精准化的积极免疫响应升级 [86] * **行业方向展望**：AI智能时代，需构建融合“AI原生安全、DevSecOps敏捷安全、多模态SCA、开源供应链情报预警”的新一代数字供应链安全治理体系，以守护从传统软件到AI原生供应链的全生命周期安全 [87]