在這個(gè)軟件定義世界的時(shí)代，一行被篡改的代碼、一個(gè)被污染的更新包、一個(gè)被植入的后門，一個(gè)被惡意注入的提示詞，都可能引發(fā)連鎖反應(yīng)，造成災(zāi)難性后果。數(shù)字供應(yīng)鏈正在成為攻擊者越來越青睞的突破口。

數(shù)字制品自身的安全缺陷，加上網(wǎng)絡(luò)威脅的持續(xù)升級(jí)，以及復(fù)雜多變的國際供應(yīng)環(huán)境，致使全球數(shù)字供應(yīng)鏈的安全態(tài)勢面臨前所未有的嚴(yán)峻挑戰(zhàn)。特別是，在人工智能技術(shù)應(yīng)用的背景下，供應(yīng)鏈風(fēng)險(xiǎn)進(jìn)一步隨著人工智能系統(tǒng)應(yīng)用蔓延到了各個(gè)行業(yè)。據(jù)OWASP調(diào)研顯示，目前LLM（大語言模型）“供應(yīng)鏈風(fēng)險(xiǎn)”的嚴(yán)重性已經(jīng)從2023年的第5位上升到了現(xiàn)在的第3位。

安全牛《數(shù)字供應(yīng)鏈安全技術(shù)應(yīng)用指南報(bào)告（2025版）》將從系統(tǒng)脆弱性、外部威脅、國際環(huán)境、政策監(jiān)管4方面對(duì)全球數(shù)字供應(yīng)鏈安全的發(fā)展態(tài)勢進(jìn)行說明。

態(tài)勢一：數(shù)字供應(yīng)鏈自身風(fēng)險(xiǎn)暴露面持續(xù)擴(kuò)大

數(shù)字供應(yīng)鏈風(fēng)險(xiǎn)暴露面持續(xù)擴(kuò)大是數(shù)字供應(yīng)鏈風(fēng)險(xiǎn)日益嚴(yán)重的主要原因之一。典型的風(fēng)險(xiǎn)暴露面，如：軟件與應(yīng)用程序自身脆弱性、軟件生態(tài)系統(tǒng)復(fù)雜、數(shù)據(jù)風(fēng)險(xiǎn)暴露面。

圖片

首先，軟件與應(yīng)用程序中的漏洞和脆弱性是數(shù)字供應(yīng)鏈風(fēng)險(xiǎn)的根源，且在其生命周期中長期存在。漏洞的存在由多個(gè)根本性因素決定。一方面，軟件是人類開發(fā)的產(chǎn)物，人的思維活動(dòng)不可避免地會(huì)有疏漏與錯(cuò)誤，加上現(xiàn)代軟件系統(tǒng)日益復(fù)雜，代碼量巨大，開發(fā)周期的縮短等因素，使得開發(fā)人員往往難以在上線速度與安全保障之間做到完美平衡，從而埋下安全隱患；另一方面，隨著新技術(shù)、新架構(gòu)的不斷引入，如微服務(wù)、容器化、云原生等，攻擊面也相應(yīng)擴(kuò)大，帶來了新的風(fēng)險(xiǎn)挑戰(zhàn)。此外，即使是已經(jīng)發(fā)布多年的老舊系統(tǒng)，也可能在未來被發(fā)現(xiàn)存在未被察覺的漏洞，或因缺乏維護(hù)而成為攻擊者的目標(biāo)。因此，漏洞和脆弱性的存在幾乎是軟件生命周期中不可避免的常態(tài)。這也意味著，網(wǎng)絡(luò)安全將永遠(yuǎn)是一場“與時(shí)間賽跑”的過程，必須依靠持續(xù)的監(jiān)測、修補(bǔ)和防御機(jī)制來應(yīng)對(duì)不斷演化的威脅。

其次，數(shù)字供應(yīng)鏈鏈條長，每一個(gè)環(huán)節(jié)都可能成為潛在的攻擊入口或攻擊跳板。隨著軟件開發(fā)的全球化、平臺(tái)化和服務(wù)化，現(xiàn)代數(shù)字供應(yīng)鏈已經(jīng)形成一個(gè)跨企業(yè)、跨地域、跨平臺(tái)的龐大生態(tài)系統(tǒng)，涉及開發(fā)、傳播和使用多個(gè)環(huán)節(jié)，參與方眾多。包括但不限于：內(nèi)部開發(fā)團(tuán)隊(duì)、外包開發(fā)商、云服務(wù)提供商（CSPs）、軟件包管理平臺(tái)、SaaS 應(yīng)用服務(wù)商、渠道商與最終用戶等。這種跨組織、跨平臺(tái)的合作，不僅中間流轉(zhuǎn)環(huán)節(jié)增多，還增加了供應(yīng)商的管理難度，很多開發(fā)商/開發(fā)基礎(chǔ)設(shè)施都處于無管理或弱管理狀態(tài)。開發(fā)企業(yè)為提升效率，開發(fā)過程中還會(huì)越來越多地采用云服務(wù)、自動(dòng)化部署、SaaS平臺(tái)、自動(dòng)化工具、API集成等開發(fā)方式，軟件構(gòu)建越來越依賴開源組件、云基礎(chǔ)設(shè)施。軟件開發(fā)供應(yīng)商和開源環(huán)境的依賴，導(dǎo)致整個(gè)數(shù)字供應(yīng)鏈的復(fù)雜性和風(fēng)險(xiǎn)暴露面幾何級(jí)數(shù)擴(kuò)大。任何一個(gè)環(huán)節(jié)的安全漏洞或管理不善，都可能會(huì)影響整個(gè)供應(yīng)鏈的安全性。

再次，數(shù)據(jù)暴露面持續(xù)擴(kuò)大，也是導(dǎo)致數(shù)字供應(yīng)鏈風(fēng)險(xiǎn)嚴(yán)重的重要因素之一。隨著數(shù)字化轉(zhuǎn)型，數(shù)據(jù)成為驅(qū)動(dòng)企業(yè)業(yè)務(wù)創(chuàng)新和競爭優(yōu)勢的關(guān)鍵因素。而獲取高價(jià)值的數(shù)據(jù)也成為攻擊者的主要目標(biāo)，尤其是在數(shù)據(jù)泄露、竊取和濫用的風(fēng)險(xiǎn)日益加劇的情況下，企業(yè)數(shù)字資產(chǎn)面臨著前所未有的數(shù)據(jù)安全挑戰(zhàn)。但企業(yè)由于云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)平臺(tái)等技術(shù)的廣泛應(yīng)用，自己的數(shù)據(jù)資產(chǎn)往往不再局限于本地或私有網(wǎng)絡(luò)，而是分布在多個(gè)公共或私有云環(huán)境之中；同時(shí)，由于數(shù)據(jù)價(jià)值的提升，跨系統(tǒng)、跨組織的數(shù)據(jù)流通常態(tài)化，數(shù)據(jù)的邊界逐漸模糊化。數(shù)據(jù)存儲(chǔ)的分布和數(shù)據(jù)流動(dòng)性增強(qiáng)使得數(shù)據(jù)風(fēng)險(xiǎn)暴露面進(jìn)一步擴(kuò)大，任意一環(huán)的數(shù)據(jù)安全措施不到位，都可能導(dǎo)致數(shù)據(jù)泄露風(fēng)險(xiǎn)。

此外，數(shù)字供應(yīng)鏈風(fēng)險(xiǎn)具有較強(qiáng)的隱蔽性和擴(kuò)散性，除在存量軟、硬件系統(tǒng)中長期潛伏外，還會(huì)隨新應(yīng)用開發(fā)、新技術(shù)迭代、新興場景落地持續(xù)蔓延。典型的如，人工智能技術(shù)開始落地應(yīng)用之后，這一風(fēng)險(xiǎn)已迅速滲透至金融、醫(yī)療、交通等多個(gè)深度依賴AI系統(tǒng)的行業(yè)領(lǐng)域，衍生出復(fù)雜的新型安全威脅。據(jù)OWASP 2025年統(tǒng)計(jì)顯示，LLM（大語言模型）的“供應(yīng)鏈風(fēng)險(xiǎn)”的嚴(yán)重性已經(jīng)從2023年的第5位上升到了第3位。

態(tài)勢二：網(wǎng)絡(luò)攻擊目標(biāo)逐漸從目標(biāo)企業(yè)轉(zhuǎn)向供應(yīng)鏈體系

過去，網(wǎng)絡(luò)攻擊往往針對(duì)某個(gè)企業(yè)或系統(tǒng)，以竊取數(shù)據(jù)、勒索資金或破壞業(yè)務(wù)為目的。但隨著企業(yè)網(wǎng)絡(luò)安全意識(shí)的提升和安全防護(hù)能力的增強(qiáng)，攻擊者開始尋找更高效、更隱蔽、回報(bào)更大的攻擊路徑。

供應(yīng)鏈攻擊是一種帶內(nèi)攻擊，不易被發(fā)現(xiàn)，并且具有潛伏性強(qiáng)、影響面廣、回報(bào)效率高的特點(diǎn)。為提高攻擊效率、獲取更大的影響范圍和更多的經(jīng)濟(jì)利益，網(wǎng)絡(luò)攻擊者的攻擊目標(biāo)正逐漸從單點(diǎn)突破演化為鏈?zhǔn)綕B透。這種轉(zhuǎn)向不僅僅是目標(biāo)選擇的變化，更體現(xiàn)了攻擊者對(duì)網(wǎng)絡(luò)生態(tài)系統(tǒng)信任結(jié)構(gòu)、依賴關(guān)系和價(jià)值鏈脆弱點(diǎn)的深度理解與利用。

圖片

• 首先，攻擊供應(yīng)鏈中的某一個(gè)薄弱環(huán)節(jié)（如第三方軟件供應(yīng)商），可能就能間接控制多個(gè)企業(yè)，攻擊者通過供應(yīng)鏈攻擊可以獲得更大的經(jīng)濟(jì)利益或戰(zhàn)略情報(bào)。
• 其次，企業(yè)之間在供應(yīng)鏈中存在較高的信任程度，攻擊者通過被信任的合作伙伴植入惡意代碼，更容易繞過傳統(tǒng)防御機(jī)制。一次成功的供應(yīng)鏈攻擊，能造成多個(gè)行業(yè)或國家的廣泛影響，而攻擊路徑復(fù)雜，溯源難度極大。

典型的供應(yīng)鏈攻擊手段，有：軟件更新污染、第三方依賴篡改、CI/CD流程劫持、外包/合作方入侵、云服務(wù)/API污染等。

當(dāng)前，供應(yīng)鏈攻擊已成為網(wǎng)絡(luò)安全領(lǐng)域最具戰(zhàn)略性、破壞性和隱蔽性的攻擊手段之一。攻擊目標(biāo)遷移的趨勢也揭示了：在高度互聯(lián)的數(shù)字生態(tài)中，沒有企業(yè)是“孤島”。每一個(gè)看似“邊緣”的節(jié)點(diǎn)，都可能成為撬動(dòng)整個(gè)體系的突破口。因此，構(gòu)建韌性強(qiáng)、透明度高、協(xié)同防御能力強(qiáng)的供應(yīng)鏈安全體系，已經(jīng)成為數(shù)字時(shí)代的必答題。

態(tài)勢三：新型、復(fù)合型數(shù)字供應(yīng)鏈攻擊層出不窮

數(shù)字供應(yīng)鏈生態(tài)系統(tǒng)的影響因素錯(cuò)綜復(fù)雜，安全威脅的廣度與深度遠(yuǎn)超傳統(tǒng)認(rèn)知。除篡改軟件包，構(gòu)建惡意軟件向目標(biāo)企業(yè)的上游供應(yīng)商或開發(fā)合作方實(shí)施后門注入、開源代碼投毒等常見的供應(yīng)鏈攻擊外，新型、復(fù)合型數(shù)字供應(yīng)鏈攻擊手段正以更隱蔽、更具破壞性的方式不斷涌現(xiàn)，讓企業(yè)在安全防護(hù)中陷入被動(dòng)局面。 

圖片

利用新技術(shù)創(chuàng)新：攻擊者開始利用人工智能與自動(dòng)化工具提升攻擊效率與精準(zhǔn)度。例如，通過AI模型分析目標(biāo)企業(yè)供應(yīng)鏈的薄弱環(huán)節(jié)，自動(dòng)生成定制化攻擊腳本，針對(duì)特定供應(yīng)商的開發(fā)流程漏洞，實(shí)施 “智能投毒”。攻擊者還會(huì)模擬正常業(yè)務(wù)流量，對(duì)供應(yīng)鏈中的 API 接口進(jìn)行自動(dòng)化滲透測試，一旦發(fā)現(xiàn)安全漏洞，便迅速植入惡意代碼。這種攻擊方式具有極強(qiáng)的隱蔽性，企業(yè)的傳統(tǒng)安全防護(hù)系統(tǒng)很難及時(shí)察覺。

攻擊手段組合：復(fù)合型攻擊手段的出現(xiàn)，進(jìn)一步加劇了數(shù)字供應(yīng)鏈的安全風(fēng)險(xiǎn)。攻擊者常常將多種攻擊方式結(jié)合使用，形成“組合拳”。此類攻擊往往跨越開發(fā)、測試、部署等多個(gè)生命周期環(huán)節(jié)，綜合利用網(wǎng)絡(luò)漏洞、系統(tǒng)權(quán)限、社會(huì)工程等多種技術(shù)與非技術(shù)手段，呈現(xiàn)出跨階段、跨平臺(tái)、跨身份、跨組織的顯著特征。攻擊者通過長期潛伏，精心布局攻擊鏈條，使惡意代碼或漏洞得以在供應(yīng)鏈各環(huán)節(jié)間隱蔽傳播，企業(yè)現(xiàn)有的安全檢測與阻斷機(jī)制難以實(shí)現(xiàn)有效防御。例如，間接式供應(yīng)鏈攻擊通過迂回滲透目標(biāo)企業(yè)的次級(jí)供應(yīng)商或合作伙伴，以“跳板”形式規(guī)避直接防御；“分段式投毒攻擊”將惡意行為拆解為多個(gè)看似正常的操作步驟，在供應(yīng)鏈不同階段分步植入風(fēng)險(xiǎn)；“人-機(jī)”供應(yīng)鏈攻擊結(jié)合社會(huì)工程學(xué)與技術(shù)滲透，通過欺騙企業(yè)員工或供應(yīng)鏈合作伙伴，獲取關(guān)鍵權(quán)限后實(shí)施系統(tǒng)性破壞。這種攻擊方式橫跨網(wǎng)絡(luò)攻擊、人為滲透等多個(gè)領(lǐng)域，涉及供應(yīng)鏈多個(gè)環(huán)節(jié)，大大增加了攻擊成功的概率和企業(yè)溯源、防范的難度。

向新興場景延伸：隨著物聯(lián)網(wǎng)設(shè)備在供應(yīng)鏈中的廣泛應(yīng)用，攻擊目標(biāo)不斷向新興場景延伸。攻擊者可針對(duì)供應(yīng)鏈中的智能傳感器、工業(yè)控制器等物聯(lián)網(wǎng)設(shè)備，利用其固件漏洞植入惡意程序，篡改設(shè)備采集的數(shù)據(jù)或控制設(shè)備運(yùn)行狀態(tài)。比如，在物流運(yùn)輸環(huán)節(jié)，惡意攻擊者篡改智能貨柜的溫濕度傳感器數(shù)據(jù)，誤導(dǎo)企業(yè)對(duì)貨物存儲(chǔ)環(huán)境的判斷，導(dǎo)致貨物損壞，同時(shí)借此擾亂企業(yè)的供應(yīng)鏈管理系統(tǒng)，引發(fā)一系列連鎖反應(yīng)。

更值得警惕的是，攻擊者還會(huì)利用政策與標(biāo)準(zhǔn)的差異，在國際數(shù)字供應(yīng)鏈中尋找漏洞。不同國家和地區(qū)在數(shù)據(jù)隱私保護(hù)、網(wǎng)絡(luò)安全監(jiān)管等方面的政策法規(guī)存在差異，攻擊者會(huì)針對(duì)這些差異，選擇監(jiān)管相對(duì)薄弱的地區(qū)作為攻擊跳板或數(shù)據(jù)中轉(zhuǎn)站。例如，通過在某些數(shù)據(jù)監(jiān)管寬松的地區(qū)設(shè)立虛假的 “供應(yīng)商” 公司，向目標(biāo)企業(yè)提供惡意數(shù)字制品，既規(guī)避了安全審查，又增加了企業(yè)追蹤溯源的難度，使得數(shù)字供應(yīng)鏈安全管理變得更加復(fù)雜。

態(tài)勢四：供應(yīng)鏈自身風(fēng)險(xiǎn)暴露面持續(xù)擴(kuò)大

數(shù)字制品已經(jīng)成為各國數(shù)字經(jīng)濟(jì)發(fā)展的重要支撐，特別是在數(shù)字經(jīng)濟(jì)全球化的大背景下，各國和地區(qū)對(duì)數(shù)字供應(yīng)鏈的依賴程度都與日俱增。然而，地緣沖突、利益博弈、科技競爭等因素，使數(shù)字供應(yīng)鏈成為貿(mào)易國之間相互制裁、打壓的關(guān)鍵手段。原本推動(dòng)全球數(shù)字經(jīng)濟(jì)駛?cè)敫咚侔l(fā)展軌道的“引擎”，變成了“大國外交”的博弈工具，對(duì)數(shù)字供應(yīng)鏈的穩(wěn)定性與安全性構(gòu)成更嚴(yán)峻的威脅。

圖片

1.貿(mào)易制裁不斷加碼

以“國家安全”為由，對(duì)特定國家或企業(yè)實(shí)施貿(mào)易禁運(yùn)、經(jīng)濟(jì)封鎖，打亂原有供應(yīng)鏈布局，迫使企業(yè)重新調(diào)整全球資源配置。如，某國以“國家安全”為名，不僅系統(tǒng)性構(gòu)建對(duì)華科技封鎖體系，將華為、中興等眾多中國高科技企業(yè)列入“實(shí)體清單”。近日還推出更激進(jìn)的全球半導(dǎo)體管制措施，核心條款明確“全球任何地方使用華為昇騰AI芯片均違反美國出口管制規(guī)定”，違者將面臨制裁。

2.前沿技術(shù)封鎖持續(xù)升級(jí)

部分國家憑借技術(shù)霸權(quán)，通過出口管制、投資審查等手段，限制高端芯片、人工智能算法、加密技術(shù)等關(guān)鍵數(shù)字技術(shù)與產(chǎn)品的跨境流動(dòng)。如，嚴(yán)格限制高性能AI芯片對(duì)華出口，針對(duì)半導(dǎo)體和制藥行業(yè)啟動(dòng)“232 調(diào)查”，限制中國科研機(jī)構(gòu)訪問 dbGaP、NIH 等核心數(shù)據(jù)庫等等。

3.以政治沖突為目的跨境供應(yīng)鏈攻擊愈演愈烈

攻擊者利用各國法律監(jiān)管差異與供應(yīng)鏈的跨國特性，對(duì)軟件開發(fā)、硬件制造、數(shù)據(jù)的供應(yīng)環(huán)節(jié)實(shí)施供應(yīng)鏈入侵，如篡改軟件包、植入惡意代碼、實(shí)施數(shù)據(jù)竊取等，嚴(yán)重威脅著關(guān)鍵信息基礎(chǔ)設(shè)施穩(wěn)定運(yùn)行和國家安全。

典型跨境供應(yīng)鏈攻擊事件

1. NotPetya勒索病毒事件：

2017年6月27日，NotPetya勒索病毒在短時(shí)間內(nèi)迅速席卷歐洲。烏克蘭受到的攻擊最為嚴(yán)重，境內(nèi)地鐵、電力公司、電信公司、切爾諾貝利核電站、銀行系統(tǒng)等多個(gè)國家設(shè)施均遭感染導(dǎo)致運(yùn)轉(zhuǎn)異常。近年來，俄羅斯與烏克蘭沖突，又進(jìn)一步引發(fā)歐美對(duì)俄實(shí)施嚴(yán)厲制裁，包括禁止向俄羅斯出口高端芯片和軟件服務(wù)。

2. 黎巴嫩尋呼機(jī)爆炸事件

2024年9月17日，黎巴嫩首都貝魯特以及東南部和東北部多地的手持尋呼機(jī)發(fā)生爆炸，造成大量人員受傷。9月18日下午，黎巴嫩多地再次發(fā)生通信設(shè)備爆炸事件，設(shè)備包括尋呼機(jī)、對(duì)講機(jī)以及無線通信設(shè)備等。截至9月21日，兩起事件合計(jì)已造成39人死亡、約3000人受傷。這一事件展示了以色列多年來對(duì)真主黨通訊、后勤及采購系統(tǒng)的深度滲透。

大國之間貿(mào)易和外交政策的變化使數(shù)字供應(yīng)鏈安全充滿各種不確定性。如何在動(dòng)蕩的國際環(huán)境中保障數(shù)字供應(yīng)鏈安全，也已成為當(dāng)前各國政府、企業(yè)乃至整個(gè)國際社會(huì)亟待解決的重大課題。

態(tài)勢五：全球數(shù)字供應(yīng)鏈安全合規(guī)與監(jiān)管日趨嚴(yán)格

為應(yīng)對(duì)數(shù)字制品供應(yīng)活動(dòng)中的各類風(fēng)險(xiǎn)挑戰(zhàn)，各個(gè)國家和地區(qū)都在強(qiáng)化信息通信技術(shù)中硬件、軟件、服務(wù)以及數(shù)據(jù)跨境流動(dòng)的安全管控。安全合規(guī)已經(jīng)躍升成為全球數(shù)字供應(yīng)活動(dòng)中的核心治理議題。其監(jiān)管范圍和監(jiān)管要求都在不斷變化：

• 監(jiān)管范圍：從傳統(tǒng)的電子產(chǎn)品與硬件設(shè)備，擴(kuò)展到應(yīng)用軟件、硬件固件、平臺(tái)服務(wù)、數(shù)據(jù)等泛數(shù)字制品范疇。
• 監(jiān)管要求：從單點(diǎn)安全轉(zhuǎn)向鏈條治理，數(shù)字制品供應(yīng)商一方面要確保交付制品網(wǎng)絡(luò)安全合規(guī)、許可合規(guī)、成分透明、數(shù)據(jù)安全，同時(shí)還要接受各類嚴(yán)苛的供應(yīng)商安全審查（如生產(chǎn)環(huán)境、生產(chǎn)過程、生產(chǎn)體系）。 
  

圖片

總體來看，全球數(shù)字供應(yīng)鏈安全合規(guī)和監(jiān)管日趨嚴(yán)格。跨國科技企業(yè)需要遵循不同市場的法規(guī)、指令和標(biāo)準(zhǔn)，數(shù)字制品和服務(wù)“出海”也面臨前所未有的合規(guī)性挑戰(zhàn)。在嚴(yán)格的供應(yīng)鏈安全監(jiān)管環(huán)境下，供應(yīng)商的各類違規(guī)事件（如許可兼容違規(guī)、數(shù)據(jù)安全違規(guī)、系統(tǒng)安全違規(guī)等）也已經(jīng)屢見不鮮。特別是在數(shù)據(jù)安全合規(guī)方面，據(jù) Gartner 預(yù)測，到 2025 年全球企業(yè)在數(shù)字合規(guī)領(lǐng)域的成本支出將突破 1.2 萬億美元。

從系統(tǒng)脆弱性、外部威脅、國際環(huán)境、政策監(jiān)管等維度的分析來看：數(shù)字供應(yīng)鏈安全正在由傳統(tǒng)的技術(shù)問題演化為戰(zhàn)略性、系統(tǒng)性的全球治理難題，整體發(fā)展趨勢呈現(xiàn)出高度復(fù)雜化、系統(tǒng)化和國際化的嚴(yán)峻態(tài)勢。