行業新聞與博客

根據本週發佈的兩項新研究，四分之三的組織承認交付了存在漏洞的代碼，人工智能風險在供應鏈中不斷擴散。

Checkmarx 於 5 月 21 日發佈了新的數據，顯示 75% 的組織經常或有時會部署他們明知存在漏洞的代碼。

雖然比去年的 81%有所下降，但在人工智能模型日益強大，威脅行為者能夠以越來越高的效率發現和利用漏洞的情況下，這一比例仍然過高。

Checkmarx 聲稱，2018 年平均需要 840 天才能利用的漏洞，到 2026 年只需不到兩天即可利用。其 Checkmarx Zero 團隊的研究人員預測，到 2028 年，漏洞利用時間將縮短至一分鐘。

Checkmarx 副總裁 Eran Kinsbruner 認為，未經審查的 AI 生成的代碼是問題的重要組成部分。

“積壓問題不再是流程問題，而是數學問題，”她説。“人工智能生成的代碼速度已經超過了所有現有的人工修復模式。”

Checkmarx 強調的風險近期在其他地方也得到了印證。本週，Verizon 在其 數據泄露調查報告（DBIR） 中指出，在過去一年中，漏洞利用導致的初始訪問佔數據泄露事件的近三分之一（31%），高於去年DBIR 報告中的 20% 。

這表明，人工智能的對抗性使用可能是導致犯罪率上升的原因。

Verizon 的報告指出：“中等規模的威脅行為者研究或使用了 15 種不同的已記錄技術中的人工智能輔助，有些行為者甚至利用了多達 40 或 50 種技術。”

英國企業擔憂人工智能在供應鏈中的作用

這項研究結果與英國保險公司 QBE 本週發佈的一項獨立研究結果相吻合，該研究顯示，75% 的英國企業擔心供應商使用人工智能。

他們已經對可能發生的供應鏈事件保持高度警惕。 QBE 聲稱，在過去 12 個月內經歷過“網絡事件”的受訪者比例將從 2025 年的 53% 上升到 2026 年的 59%。今年，超過五分之一 (22%) 的受訪者表示，他們遭受的“全部或大部分”攻擊都與供應商有關。

然而，儘管存在擔憂，但 QBE 聲稱，只有 28%的 AI 使用企業採取措施評估或審核其第三方供應商的 AI 系統，而只有 35%的企業制定了正式的 AI 使用或治理政策。