文章总结： 随着AI推进企业数字化，软件供应链风险激增。国内厂商普遍依赖开源代码，实战演练中供应链攻击占比超三分之一。Shai-Hulud等新型威胁展示了代码在AI加持下的自我传播能力。建议管理者将供应链风险评估纳入日常工作，以防范系统性风险。 综合评分： 83 文章分类： 供应链安全,安全建设,漏洞分析

安全锐见：组织或者企业管理层应当把供应链风险纳入网络安全日常管理工作

原创

JUN哥 JUN哥

君说安全

2026年2月4日 06:18 贵州

前言

组织或者企业管理层应当把供应链风险纳入网络安全日常管理工作

分享网络安全知识，提升网络安全认知！

让你看到达摩克利斯之剑的另一面！

“组织或者企业管理层应当把供应链风险纳入网络安全日常管理工作”****

大家好，我是Jun哥。

AI技术进步推进企业AI化的进程，而AI化的过程主要依赖的是供应链，因此供应链安全应当被组织重视起来，避免它成为阿喀琉斯之踵（Achilles’ Heel）。

当然，这话不是Jun哥说的，原文出自于国外安全圈子，但是Jun哥敏锐的感觉到，供应链安全赛道在AI的加持下，一定会带来很多新的风险，尤其是软件供应链的风险。

要知道，当前国内一些厂商所谓的AI大模型，其核心底层代码，大部分都来自开源或者在开源的基础上，加上自己的闭源代码。

拿来主义是国内科技行业的通病，网络安全厂商也不例外，所以这世界依旧是一个巨大的草台班子。

软件供应链中威胁，这几年无论是国内，还是国外，都存在威胁加剧的趋势，所以作为企业的管理者，尤其是IT管理或者安全管理，需要格外注意供应链安全，把供应链安全风险评估纳入日常工作考核也应当是首要任务之一。

 01  供应链安全为何成焦点

国际上一个主流的安全观点是：当今的应用基于众多组件，每个组件以及开发环境本身都构成了一个攻击面。⭐无论公司是内部开发代码还是依赖第三方供应商，CISO、安全专家和开发者都应特别关注软件供应链。

国内最近几年的实战攻防演练，暴露出来的风险，据统计三分之一以上都跟供应链有关系，某安全厂商VPN年年都被打穿，年年都要为VPN打补丁，相信很多小伙伴应该都知道，当然这也不是个案。

例如React2Shell、Shai-Hulud和XZ Utils等这些供应链漏洞，几乎属于软件供应链中的漏洞。其中，Shai-Hulud尤为突出，有安全专家认为，Shai-Hulud标志着供应链攻击“被动时代”的终结和“主动蠕虫”时代的开始。

Shai-Hulud 通过引入类似蠕虫的传播方法改变了游戏规则。一旦它落入开发者的机器，就会主动收集凭证（NPM 令牌、GitHub 机密）。它利用这些被盗凭证自动发布受害者管理的其他合法软件包的感染版本。

但Shai-Hulud与旨在保持隐蔽的间谍软件不同，Shai-Hulud 的变体包含“被静默开关”。如果检测到自己被屏蔽或被分析，就会尝试清除受害者的系统，彻底抹去自身所有痕迹。

这就是代码在AI的加持下能够自我调整的案例，是不是想一想都很可怕……

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：君说安全 JUN哥 JUN哥《安全锐见：组织或者企业管理层应当把供应链风险纳入网络安全日常管理工作》