OpenSSF Brian Behlendorf:AI 對開源依賴愈深,將放大軟體供應鏈問題

OpenSSF Brian Behlendorf:AI 對開源依賴愈深,將放大軟體供應鏈問題

2026/06/08

OpenSSF 前總經理 Brian Behlendorf 於 COMPUTEX 論壇指出,AI 並未帶來新型資安威脅,而是放大既有開源供應鏈風險,企業必須加強軟體供應鏈治理。

OpenSSF(開放原始碼安全基金會)前總經理 Brian Behlendorf 受邀在 COMPUTEX 活動論壇中發表深度演講,指出 AI 浪潮讓開源軟體的重要性攀上新高,但也使軟體供應鏈安全問題變得更加嚴峻。他強調,AI 並未帶來新型資安威脅,而是將既有的開源供應鏈風險「放大」到前所未見的規模。

開源軟體在現代科技基礎建設中扮演核心角色。從 Linux 作業系統、Kubernetes 容器編排、Python/JavaScript 程式語言到 TensorFlow/PyTorch AI 框架,幾乎所有 AI 應用都建立在開源基礎之上。然而開源生態的協作性質也帶來安全挑戰——任何貢獻者都可能無意或惡意引入漏洞,下游使用者卻往往不知情。Log4j 漏洞、XZ 後門事件、PyTorch 供應鏈攻擊等知名案例都證明這項風險的真實性。

Behlendorf 的核心論點是:AI 並未創造全新的資安攻擊面,但放大了開源依賴的潛在風險。具體機制包含幾個層面:第一,AI 開發大量依賴開源框架與函式庫,任何 AI 應用都間接繼承這些開源元件的所有安全風險;第二,AI 模型本身(特別是開源模型如 Llama、Mistral)也成為新的供應鏈節點,可能被植入後門或偏見;第三,AI 工具加速軟體開發節奏,使企業更難跟上每個依賴元件的安全更新;第四,AI 輔助攻擊者可運用同樣工具識別開源軟體的弱點,攻防節奏加速。

從產業面看,Behlendorf 的觀察呼應幾個正在發生的趨勢。第一,企業對軟體物料清單(SBOM,Software Bill of Materials)的需求大幅增加,要追蹤每個依賴元件的版本與安全狀態;第二,OpenSSF、Linux Foundation 等開源治理組織獲得更多企業資金支持,強化開源生態的安全標準;第三,Microsoft、Google、AWS 等大型雲端業者深度參與開源安全治理,提供工具、資金、人才支援;第四,政府監管(如美國 SBOM 強制要求、歐盟 CRA 網路韌性法案)將供應鏈安全提升至國家層級議題。

對企業 CISO 與資安團隊而言,Behlendorf 的提醒是重要的策略指引。在 AI 浪潮中享受開源紅利的同時,必須建立完整的供應鏈治理體系,包含元件追蹤、漏洞監控、自動化更新、合規查核等多層機制。能否在 AI 時代維持軟體供應鏈安全,將是企業數位韌性的核心競爭力。