標籤

供應鏈安全

供應鏈安全關注軟體從開發、打包到發布各環節的信任鏈，像是簽章驗證、npm 套件、sourcemap 外洩與第三方工具風險。對 AI 工具與桌面應用來說，任何一個流程出錯都可能把原始碼、憑證或部署細節暴露出去。

7 篇文章

IBM、Red Hat 投入 50 億美元守護開源 AI 安全

IBM 與 Red Hat 推出 Project Lightwell，砸 50 億美元把 AI 用在開源安全、漏洞驗證與修補分發，先從企業供應鏈下手。

我拆微軟這套 agentic stack，重點不是模型，是把 Linux、開源標準與治理一起當成 AI 基礎設施。

AI-agent CLI 已經成為新的供應鏈攻擊面，因為掃描器擅長找惡意檔案，卻抓不到會誤導代理行為的指令界面。

OpenAI 發現 macOS App 驗證流程有第三方工具問題，強調沒有資料外洩。這次事件看的是軟體簽章、供應鏈與桌面版 AI app 的信任鏈。

Claude Code 的 npm sourcemap 疑似把完整源碼帶出來。這次不是入侵，而是發布流程出包，直接把 AI 編程 CLI 的細節攤開。

Anthropic 因打包失誤讓 Claude Code 原始碼短暫外洩到 npm，超過 51.2 萬行、近 2,000 個 TypeScript 檔案曝光，也把 AI 軟體供應鏈風險攤在陽光下。

OpenClaw曝出1184個惡意技能包，23萬+實例暴露公網。本文拆解風險、漏洞、擴充生態與防護清單，給開發者可直接落地的檢查重點。