新發布SkillSec:把 Skills 安全從惡意檢測,升維到能力審計SkillSec瞭解更多 →
趨勢洞察

AI 正在重寫軟件供應鏈,安全要怎麼跟上

安勢研究院·2026.06.18·2 分鐘閲讀

軟件的生產方式正在被 AI 重寫。過去一行行手寫的代碼,如今大量由模型生成;過去人工評估、謹慎引入的依賴,如今由 Agent 在工作流裏自動拉取。當生產速度發生數量級躍遷,安全如果還停留在「上線前掃一遍」,就會從守門人退化成事後審計。

三個正在失效的假設

傳統軟件成分分析建立在幾個隱含假設之上,而它們正在一個個被打破。

  • 依賴是人工引入的:開發者清楚自己加了什麼。但在 Agent 驅動的開發裏,依賴可能在一次自動重構中被悄悄替換。
  • 包名等於內容:聲明 requests 就是 requests。可仿冒包(typosquat)與被劫持版本讓「名字」不再可信。
  • 檢測與修復是兩個階段:先掃描、再排期、再修。可當代碼在分鐘級迭代時,這個回合根本來不及。

安全必須前移到「生產時刻」

答案不是更快地掃描,而是把安全能力嵌進生產回合本身。在開發者(或 Agent)寫下代碼的同一刻,完成檢測、給出可應用的修復、並即時迴歸驗證——讓「發現問題」和「解決問題」收斂進同一個回合。

當生產是實時的,安全也必須是實時的。事後清單永遠追不上實時生產。

從「清單」到「能力」

SBOM 解決了「我用了什麼」,但 AI 時代真正的問題是「它被啓用後能做什麼」。一個 Skill、一個 MCP Server、一個 Agent 工具,引入的不只是代碼,更是一組能力與權限。安全的下一站,是從靜態的成分清單,走向動態的能力審計。

這正是我們構建 CleanCode、CleanSource SCA 與 SkillSec 的出發點:讓安全跟得上 AI 重寫軟件的速度。

AI軟件供應鏈SCAAgent

相關閲讀

技術解讀

SBOM 不止是合規清單:從「我用了什麼」到「我能承受什麼」

很多團隊把 SBOM 當成一份交差用的清單。但真正有價值的 SBOM,是能驅動決策的:哪些漏洞可被利用、哪條依賴該先修、哪個許可證會帶來風險。