「流動軟件」公司、JFrog軟件供應鏈平台(可信軟件構件、二進制文件及人工智能資產的記錄系統)的開發商JFrog有限公司(納斯達克:FROG),今日公布其《2026年軟件供應鏈安全現狀報告》的調查結果。這次報告揭示企業軟件風險空前加速,威脅行為者將攻擊範圍從傳統套件註冊中心擴展至人工智能模型註冊中心及開發者工具,在現有軟件治理框架中造成盲點。
JFrog行政總裁兼聯合創辦人施洛米·本·海姆表示:「每間企業都在其軟件供應鏈中加入人工智能,這增加了惡意行為者的攻擊面。我們的報告顯示,攻擊者不再僅僅是突破傳統防禦,他們正積極將推動現今人工智能開發的可信模型、註冊中心及代理工具武器化。『掃描與希望』的時代已經結束。」他續指:「機構需要一個單一事實來源,從進入管道到部署至生產環境的整個過程,治理每個二進制文件、每個模型及每個人工智能代理技能。這正是JFrog旨在提供的。」
人工智能治理差距真實存在,並為企業機構帶來高昂代價。JFrog《2026年軟件供應鏈安全報告》顯示,惡意npm套件激增451%,人工智能代理技能成為新的攻擊面;97%的機構聲稱實施人工智能治理,但53%仍從已發現惡意負載的公共註冊中心提取模型。閱讀報告,了解如何從被動修補轉向真正跟上人工智能速度的治理優先框架。 AP圖片
隨著人工智能從實驗階段轉變為重塑軟件供應鏈的結構性力量,機構發現報告的安全信心與其基礎設施中累積的風險之間存在日益擴大的差距。這次報告引用JFrog平台管理逾182億個構件(按年增長136%)的數據、JFrog安全研究團隊的原始漏洞研究,以及全球1,508名安全及DevOps專業人員的調查,揭示其所謂的「掌控的幻象」,即感知到的安全性與日益增加的供應鏈風險現實之間日益擴大的差距。
主要調查結果包括:
JFrog安全研究副總裁沙查爾·梅納什表示:「業界正抱持錯誤的安全感。漏洞數量不斷增加,但真正的威脅在於威脅行為者在代碼尚未存在之前,劫持我們的CI/CD管道及開發者工具。」他強調:「轉向自動化、平台原生的治理已不再是可選項,這是保護創建、批准及分發現今軟件的智能系統的唯一途徑。」
JFrog技術總監兼聯合創辦人約阿夫·蘭德曼指出:「人工智能不僅改變了軟件的編寫方式,亦增加了零日漏洞被利用,以及惡意軟件供應鏈攻擊被開發及分發的速度及規模。」他續稱:「為保持領先,機構需要自動化治理,管理進入機構的每個軟件資產,無論是由代理或開發者引入,並持續監控包含這些資產的每個發布。競爭已不再是誰首先發現零日漏洞,因為該資訊會在數分鐘內被公開。關鍵在於誰能大規模強化其軟件供應鏈,以確保機構安全。」
欲了解這次報告的全部調查結果,以及機構如何彌補人工智能治理差距,可參閱《JFrog 2026年軟件供應鏈安全現狀報告》。JFrog安全及開發者專家亦將舉行網絡研討會,題為「掌控的幻象:彌補2026年人工智能治理差距」,詳細說明在人工智能時代保護軟件供應鏈的挑戰、威脅及必要行動。
關於JFrog
JFrog有限公司(納斯達克:FROG)是統一的DevOps、DevSecOps、DevGovOps及MLOps平台的開發商,旨在創建一個從開發到生產,無摩擦地交付可信軟件的世界。在「流動軟件」願景的推動下,JFrog平台是一個軟件供應鏈記錄系統,旨在協助機構快速且大規模地構建、管理、治理及分發安全軟件。整體安全功能有助於識別、保護及修復威脅和漏洞。通用、混合、多雲的JFrog平台可作為主要雲服務供應商的SaaS服務及自行託管。全球數百萬用戶及約6,600間機構,包括大部分財富100強企業,均依賴JFrog解決方案,在人工智能時代安全地實現數碼轉型。
(美聯社)
