OpenSSF前總經理Brian Behlendorf：AI對開源的依賴愈深，將放大軟體供應鏈問題

他表示，當企業爭相導入生成式AI、大型語言模型與AI代理（Agent）應用時，這些創新的底層支撐技術，愈來愈多建立在開源生態系上。但是，AI產業對開源的高度依賴，也使得原本就存在的軟體供應鏈風險被全面放大。

他形容，開源軟體就像數位世界裡的「暗物質」（Dark Matter），雖然平時不容易被看見，卻支撐著現代軟體產業運作。根據相關研究，平均約74%的企業軟體程式碼來自開源元件，而96%的程式碼庫都包含開源套件。從作業系統、資料庫到雲端平臺與AI框架，開源早已成為軟體開發的預設選項。

但是這也意味著，一旦核心元件出現漏洞，其影響範圍往往遠超出單一產品或企業的範籌，影響之大難以估量。

從Log4j到XZ事件，開源供應鏈問題浮上檯面

回顧過去的幾起重大資安事件，軟體供應鏈已成為企業不可忽視的風險來源。

以2021年爆發的Log4Shell漏洞事件為例，由Apache基金會維護的Log4j是一套被廣泛使用的日誌記錄元件，該漏洞曝光後迅速波及大量企業系統。更值得注意的是，許多企業在第一時間甚至無法確認自身是否受到影響，因為根本並不清楚系統內部實際使用了哪些開源元件，曝露企業軟體的組成資訊缺乏透明度的問題。

另一個案例是2024年的XZ後門事件。攻擊者長期以正常貢獻者身分參與專案開發，逐步取得社群信任後獲得維護權限，最終成功將惡意程式碼植入核心套件中。幸運的是，漏洞在正式大規模部署前即被發現，但這個事件曝露開源社群治理與信任機制可能面臨挑戰。

Brian指出，這些案例反映的並非是單純的技術問題，而是整個開源供應鏈管理問題。過去依賴社群信任與開發者自律的模式，一旦面對國家級攻擊者或是高度組織化的供應鏈攻擊時，已顯得不足。

AI時代讓供應鏈風險「搭上火箭」

進入AI時代後，上述的問題又被進一步放大。

首先，AI產業高度依賴少數關鍵開源專案。以PyTorch為例，已成為大型語言模型訓練與推論的重要基礎設施；GitHub、Hugging Face等平臺也逐漸成為AI生態系的重要節點。一旦這些核心元件遭到攻擊，影響範圍可能遍及整個產業。

其次是，AI開發流程也新增了大量供應鏈環節。除了傳統軟體開發流程外，還有模型訓練、微調（Fine-tuning）、後訓練（Post-training）、RAG（Retrieval-Augmented Generation）、Agent框架等等，每個環節都可能成為新的攻擊面。

Brian直言，AI開發工具與框架正在快速發展，但許多專案仍處於發展初期，尚未建立成熟的安全治理機制。許多新進開發者對供應鏈安全議題也缺乏足夠認識，這使得風險進一步增加。

更值得關注的是，AI本身也可能成為漏洞擴散的新管道。如今愈來愈多開發者利用生成式AI協助撰寫程式碼，而這些模型大多以既有開源程式碼進行訓練。如果訓練資料中包含歷史漏洞或不安全的開發模式，AI就有可能將這些問題重新複製到新的應用程式中。

「過去存在的問題並沒有消失，而是在AI環境中被放大了」，Brian說。

從被動防禦轉向建立可信任供應鏈

面對AI時代的開源風險，Brian認為企業不能只關注漏洞修補，而必須建立完整的供應鏈治理能力。

他特別提到近年受到產業廣泛採用的SBOM軟體物料清單概念。透過建立軟體組成清單，企業才能掌握系統中實際使用的開源元件，在漏洞事件發生時快速評估影響範圍。

此外，OpenSSF近年也推動包括Scorecard、Sigstore與SLSA等工具與框架，希望建立更透明、更可供驗證的開源供應鏈管理機制。例如透過數位簽章確認套件來源，或以標準化方式驗證軟體建置流程是否符合安全要求。

另方面，AI也反過來協助提升開源安全，例如Anthropic的GlassWing計畫，利用大型語言模型分析開源專案中的潛在漏洞，短短數個月便產生超過2萬份漏洞報告，協助社群找出大量長期潛伏的安全問題。

不過，他認為真正的挑戰並不只是技術工具，而是資源投入。許多企業仰賴開源專案建立產品與服務，卻鮮少回饋資源給維護社群。未來若要建立可信任的AI基礎設施，企業除了導入開源，也應支持關鍵專案的安全改善工作，讓開源生態具備更長期、穩定的維運能力。

「自由軟體不等於免費安全」（Free software is not free security），Brian強調，開源已成為AI時代最重要的數位基礎設施，而建立安全可信的供應鏈，更是整個產業共同面對的課題。