AI供应链安全:市场尚未真正理解的风险

AI供应链安全:市场尚未真正理解的风险

AI供应链安全:市场尚未买单的那个问题 在云架构的讨论中,有一句话出现得越来越频繁:"这个模型来自AWS,是安全的。"这是一句简短的话,却隐含着一个分量极重的假设,任何负责任的审计人员都不应不加审视地让它轻易通过。 2026年6月25日,Forbes技术委员会发表了一篇由Harvendra Singh署名的文章。

Diego SalazarDiego Salazar2026年6月26日9 分钟
分享

AI供应链安全:市场尚未买单的那个问题

在云架构的讨论中,有一句话出现得越来越频繁:"这个模型来自AWS,是安全的。"这是一句简短的话,却隐含着一个分量极重的假设,任何负责任的审计人员都不应不加审视地让它轻易通过。

2026年6月25日,Forbes技术委员会发表了一篇由Harvendra Singh署名的文章。Singh是云工程与架构领域的技术交付经理。文章提出了一个观点,那些对人工智能大举采纳的组织目前还不愿意听到:这些组织的AI系统安全,并不能靠保障基础设施来解决。真正需要保障的,是那套基础设施所产生的决策。

这一区别表面上看是语义问题,但在操作层面,它彻底改变了整个控制模型、责任分配方式,进而改变了技术治理的全部成本架构。

作为一名商业可行性审计师,我的问题不是这一区分在智识上是否成立。它显然成立,且有据可查。真正的问题是:市场正在为解决这个问题买单,还是在为相信这个问题已经解决了买单?

云叙事从未提及的那个问题

多年来,大型云服务提供商的价值主张建立在一个扎实的论据之上:外包基础设施、降低运营风险、无摩擦地弹性扩展。对大多数组织而言,这个论据已足以支撑数亿美元级别的迁移决策。

然而这个论据从未考虑到:云将不仅仅承载服务器这样简单的东西,它将成为更复杂事物的容器——机器学习模型、向量数据库、提示词管道、自主智能体以及第三方推理服务。这些组件不是静态的,它们会学习、会随时间漂移,并产生真实影响业务流程的决策。

Singh在文章中对此做出了精准描述:一个集成了AI的云原生应用,可能正在消耗使用来源不明数据训练的外部模型、动态生成的提示词、第三方API以及实时自主决策的智能体。上述每一个组件,都以传统基础设施安全控制手段无法检测的方式,扩大了攻击面。

他引用的最具说明性的例子,是模型漂移(model drift)问题:一个AI系统可能会随时间逐渐改变其行为,而任何网络控制、防火墙或身份管理系统都无法检测到这种变化。这不是入侵行为,而是对自动化决策可信度的无声侵蚀。

这正是云叙事在商业演示中从未提及的那一点。云服务提供商出售的是关于可用性、延迟和基础设施合规性的确定性。他们并不出售对运行在该基础设施之上的模型行为的确定性。而正是在这里,存在着市场尚未完全内化的摩擦。

根据Forbes在认知供应链分析报告中汇集的估算,人工智能每年可能在全球供应链中释放1.3万亿至2万亿美元的价值。如果这一数字具有可信度,那么真正值得追问的不是组织是否应该采用AI,而是:在没有能力验证自动化决策可靠性的情况下,这些价值会被侵蚀掉多少。

采纳方案中缺席的那道摩擦

当我审查一份AI采纳战略时,我首先寻找的变量不是演示文稿里呈现的那个,而是那个根本没出现在上面的变量。

在我分析过的大多数案例中,那个缺席的变量是:部署后对AI系统行为的持续验证。各团队投入大量资源来集成模型,却没有以同等力度去监控:在上线八周之后,该模型是否仍在与业务目标保持一致的方式下运行。

Singh在文章中提出了一套旨在弥合这一缺口的实践方案:输出监控、自动化决策异常分析、提示词与工作流的持续验证,以及模型漂移追踪。这些实践合情合理,论证充分。问题在于,对于一个已经存在安全团队、数据团队、架构团队和业务团队各自为政的组织来说,这些实践没有一项是免费的,也没有一项易于落地。

这一新兴学科——Singh称之为AI供应链安全——的价值主张,要求对职能归属进行重新分配,而大多数组织目前并没有清晰的激励机制去推动这一变革。这并非因为这个提议本身有误,而是因为要求工程团队对其AI所产生的决策可靠性负责,等于要求他们承担一项当前既未被列入预算、也未纳入KPI、在组织架构图上也没有明确责任人的额外负担

Singh在文章中援引的Uber案例,正是因此而具有说明意义:面对一辆自动驾驶车辆引发的事故,"谁应该承担责任"这个问题,在组织层面并没有简单的答案。不是安全团队,不是数据团队,也不是基础设施团队。这是一种分散式的责任——而一旦这种分散没有结构支撑,最终就会变成无人负责。

这种责任的模糊性,才是阻碍AI安全实践走向成熟的真实摩擦所在。问题不在于对这一挑战缺乏认识,也不在于缺少工具,而在于:缺少一个手握预算、拥有授权并需要对结果负责的责任人。

为什么安永分析师的判断还不够有力

支撑Singh文章的田野调查数据,与安永(EY)分析师的预测相互印证——后者预计在未来十二至十八个月内,智能体AI(即能够自主发起行动的AI系统)将在供应链领域实现规模化采用。如果这一预测属实,安全方面的紧迫性只会更高,而不是更低。

自主智能体不是一个生成建议的模型,而是一个无需人工干预便可自行执行这些建议的系统。在供应链场景中,这可能意味着调配库存、重新谈判供应商条款,或者实时制定定价决策。在这种情境下,一个存在缺陷或偏差的决策所造成的财务影响,绝非微不足道。

云原生计算基金会(Cloud Native Computing Foundation)作为现代应用架构领域的权威参考组织,已经在为这一场景制定具体的技术实践:针对AI镜像和机器学习模型的软件物料清单(SBOM)、在各团队间每次流转时对模型进行扫描,以及通过模型签名机制确保只有经过验证的模型才能进入生产环境。这些实践将DevSecOps模型延伸到了AI模型管道之中。

但是,技术实践的可获得性与市场是否愿意为实施这些实践买单,是两回事。而正是在这里,对这一叙事进行商业可行性分析变得复杂起来。

问题不在于这些提议在技术上是否成立,而在于采纳模式本身。 工具存在,框架存在,风险论据存在。目前还不够清晰的是:那个拥有权威、预算和足够紧迫感的组织买家——一个能够将这些实践转化为具有问责指标的操作规范的人——在哪里。

在我所观察到的大多数组织中,AI采纳由承受着快速出成果压力的工程团队或业务单元主导;AI治理则由安全部门尝试承担,而安全部门历来运转在一个更慢的节奏之上。这两种节奏之间的落差,恰恰催生了Singh所描述的那些场景:模型在没有来源审计的情况下被部署,提示词管道在没有持续验证的情况下运行,第三方服务在"供应商知名,模型便安全"的假设下被集成进来。

安永分析师预测智能体AI在十八个月内实现采用,看的是技术的速度。而那个缺失的分析是:在这些采纳案例中,有多少会从第一个迭代周期起就纳入持续验证控制,又有多少会在做出最初的自动化决策十八个月之后,才将其作为一个补救项目来处理。

那个还没有名字的买家

企业安全技术的采纳中,有一个反复出现的规律:工具先行,治理随后,拥有真实授权的买家在一次事件发生之后才会出现。

网络边界安全在大规模数据泄露之后走向成熟。软件供应链安全在SolarWinds和Log4j事件之后实现了规模化推广。AI模型治理的成熟,将会发生在某个具有影响力的组织因自动化决策出现偏差而产生有据可查、公开可查的财务或法律后果之后。

这并不是在否定Singh的论点,而是在为其提供背景。他所描述的这一学科,具备扎实的技术基础和无懈可击的风险逻辑。然而除了金融服务或医疗健康等高度监管的行业之外,它目前还缺少那个在事件发生之前就带着紧迫感主动上门的组织买家。

这样的买家在市场上存在,但分布并不均匀。他可能是一家已受到监管机构施压的金融机构中的首席信息安全官,可能是一家制造企业的平台架构师——曾亲历一个自动化智能体做出的库存决策导致了账面损失,也可能是一家科技公司的法务团队,开始预判其AI系统自主做出的决策所带来的责任风险。

对这类买家而言,模型行为的持续验证、来源审计、AI组件的签名与扫描,这些提议具有切实的价值和迫切的财务驱动力。而对其余大部分市场而言,这仍然是一场架构层面的讨论,在与能见度更高、预算更充裕的优先事项的竞争中处于下风。

Singh关于云原生安全未来走向的核心论断,在技术层面是正确的:董事会将来要问的问题,不是服务器是否安全,而是他们是否能够信任AI系统所做出的决策。这个问题将催生一个真实的市场,有真实的买家和真实的预算。但文章没有解答的问题——也是市场目前同样没有解答的问题——是:谁拥有在损失出现之前就提出这个问题的组织授权。

面向云原生环境的AI安全架构,并非一种走在时代前面的超前叙事。它是一种结构性需求,其采纳速度一如既往地由激励压力而非风险清晰度所主导。那些率先解答"谁是责任人、预算在哪里、授权从何而来"这三个问题的组织,将获得一种难以复制的运营优势。那些等待事件发生的组织,将以这类决策唯一的偿还方式来付出这笔代价:事后偿还,并附带远超必要程度的摩擦成本。

分享

你可能还感兴趣