>> 懸鏡-互聯(lián)網(wǎng)安全行業(yè):2025開源供應(yīng)鏈投毒分析技術(shù)報告-260226
| 上傳日期: |
2026/2/26 |
大小: |
3265KB |
| 格式: |
pdf 共26頁 |
來源: |
|
| 評級: |
-- |
作者: |
蔡智強,寧戈,王越 |
| 行業(yè)名稱: |
互聯(lián)網(wǎng) |
| 下載權(quán)限: |
無限制-登錄即可下載 |
|
|
供應(yīng)鏈投毒攻擊態(tài)勢 在2025年,懸鏡安全情報中心通過持續(xù)監(jiān)控全網(wǎng)主流開源生態(tài)平臺和Agentic AI生態(tài)社區(qū),對潛藏惡意代碼風險的投毒包(涉及開源組件、IDE擴展插件、AI模型、Agent MCP及Agent Skill工具等)進行供應(yīng)鏈安全智能審查,總共識別56928個存在真實惡意行為及攻擊意圖的投毒包,總量相較于2024年(約為3.6w)顯著提升58%。其中NPM公共倉庫的代碼投毒占比超過92%。Pypi公共倉庫由于在2024年遭受集中式投毒后加強平臺安全防護機制(啟用賬戶雙因子認證等措施),2025年P(guān)ypi倉庫投毒占比為4.49%,相較2024年呈現(xiàn)輕微下降趨勢。AI模型托管平臺HuggingFace已成為惡意模型投放的主要平臺,超過940多個模型文件被攻擊者實施投毒。此外,針對IDE擴展市場(以VSCode為主)、Ruby及Go生態(tài)的投毒攻擊也日趨頻繁
|
|