在這個軟件定義世界的時代，一行被篡改的代碼、一個被污染的更新包、一個被植入的后門，一個被惡意注入的提示詞，都可能引發連鎖反應，造成災難性后果。數字供應鏈正在成為攻擊者越來越青睞的突破口。

數字制品自身的安全缺陷，加上網絡威脅的持續升級，以及復雜多變的國際供應環境，致使全球數字供應鏈的安全態勢面臨前所未有的嚴峻挑戰。特別是，在人工智能技術應用的背景下，供應鏈風險進一步隨著人工智能系統應用蔓延到了各個行業。據OWASP調研顯示，目前LLM（大語言模型）“供應鏈風險”的嚴重性已經從2023年的第5位上升到了現在的第3位。

安全牛《數字供應鏈安全技術應用指南報告（2025版）》將從系統脆弱性、外部威脅、國際環境、政策監管4方面對全球數字供應鏈安全的發展態勢進行說明。

態勢一：數字供應鏈自身風險暴露面持續擴大

數字供應鏈風險暴露面持續擴大是數字供應鏈風險日益嚴重的主要原因之一。典型的風險暴露面，如：軟件與應用程序自身脆弱性、軟件生態系統復雜、數據風險暴露面。

首先，軟件與應用程序中的漏洞和脆弱性是數字供應鏈風險的根源，且在其生命周期中長期存在。漏洞的存在由多個根本性因素決定。一方面，軟件是人類開發的產物，人的思維活動不可避免地會有疏漏與錯誤，加上現代軟件系統日益復雜，代碼量巨大，開發周期的縮短等因素，使得開發人員往往難以在上線速度與安全保障之間做到完美平衡，從而埋下安全隱患；另一方面，隨著新技術、新架構的不斷引入，如微服務、容器化、云原生等，攻擊面也相應擴大，帶來了新的風險挑戰。此外，即使是已經發布多年的老舊系統，也可能在未來被發現存在未被察覺的漏洞，或因缺乏維護而成為攻擊者的目標。因此，漏洞和脆弱性的存在幾乎是軟件生命周期中不可避免的常態。這也意味著，網絡安全將永遠是一場“與時間賽跑”的過程，必須依靠持續的監測、修補和防御機制來應對不斷演化的威脅。

其次，數字供應鏈鏈條長，每一個環節都可能成為潛在的攻擊入口或攻擊跳板。隨著軟件開發的全球化、平臺化和服務化，現代數字供應鏈已經形成一個跨企業、跨地域、跨平臺的龐大生態系統，涉及開發、傳播和使用多個環節，參與方眾多。包括但不限于：內部開發團隊、外包開發商、云服務提供商（CSPs）、軟件包管理平臺、SaaS 應用服務商、渠道商與最終用戶等。這種跨組織、跨平臺的合作，不僅中間流轉環節增多，還增加了供應商的管理難度，很多開發商/開發基礎設施都處于無管理或弱管理狀態。開發企業為提升效率，開發過程中還會越來越多地采用云服務、自動化部署、SaaS平臺、自動化工具、API集成等開發方式，軟件構建越來越依賴開源組件、云基礎設施。軟件開發供應商和開源環境的依賴，導致整個數字供應鏈的復雜性和風險暴露面幾何級數擴大。任何一個環節的安全漏洞或管理不善，都可能會影響整個供應鏈的安全性。

再次，數據暴露面持續擴大，也是導致數字供應鏈風險嚴重的重要因素之一。隨著數字化轉型，數據成為驅動企業業務創新和競爭優勢的關鍵因素。而獲取高價值的數據也成為攻擊者的主要目標，尤其是在數據泄露、竊取和濫用的風險日益加劇的情況下，企業數字資產面臨著前所未有的數據安全挑戰。但企業由于云計算、物聯網、大數據平臺等技術的廣泛應用，自己的數據資產往往不再局限于本地或私有網絡，而是分布在多個公共或私有云環境之中；同時，由于數據價值的提升，跨系統、跨組織的數據流通常態化，數據的邊界逐漸模糊化。數據存儲的分布和數據流動性增強使得數據風險暴露面進一步擴大，任意一環的數據安全措施不到位，都可能導致數據泄露風險。

此外，數字供應鏈風險具有較強的隱蔽性和擴散性，除在存量軟、硬件系統中長期潛伏外，還會隨新應用開發、新技術迭代、新興場景落地持續蔓延。典型的如，人工智能技術開始落地應用之后，這一風險已迅速滲透至金融、醫療、交通等多個深度依賴AI系統的行業領域，衍生出復雜的新型安全威脅。據OWASP 2025年統計顯示，LLM（大語言模型）的“供應鏈風險”的嚴重性已經從2023年的第5位上升到了第3位。

態勢二：網絡攻擊目標逐漸從目標企業轉向供應鏈體系

過去，網絡攻擊往往針對某個企業或系統，以竊取數據、勒索資金或破壞業務為目的。但隨著企業網絡安全意識的提升和安全防護能力的增強，攻擊者開始尋找更高效、更隱蔽、回報更大的攻擊路徑。

供應鏈攻擊是一種帶內攻擊，不易被發現，并且具有潛伏性強、影響面廣、回報效率高的特點。為提高攻擊效率、獲取更大的影響范圍和更多的經濟利益，網絡攻擊者的攻擊目標正逐漸從單點突破演化為鏈式滲透。這種轉向不僅僅是目標選擇的變化，更體現了攻擊者對網絡生態系統信任結構、依賴關系和價值鏈脆弱點的深度理解與利用。

• 首先，攻擊供應鏈中的某一個薄弱環節（如第三方軟件供應商），可能就能間接控制多個企業，攻擊者通過供應鏈攻擊可以獲得更大的經濟利益或戰略情報。
• 其次，企業之間在供應鏈中存在較高的信任程度，攻擊者通過被信任的合作伙伴植入惡意代碼，更容易繞過傳統防御機制。一次成功的供應鏈攻擊，能造成多個行業或國家的廣泛影響，而攻擊路徑復雜，溯源難度極大。

典型的供應鏈攻擊手段，有：軟件更新污染、第三方依賴篡改、CI/CD流程劫持、外包/合作方入侵、云服務/API污染等。

當前，供應鏈攻擊已成為網絡安全領域最具戰略性、破壞性和隱蔽性的攻擊手段之一。攻擊目標遷移的趨勢也揭示了：在高度互聯的數字生態中，沒有企業是“孤島”。每一個看似“邊緣”的節點，都可能成為撬動整個體系的突破口。因此，構建韌性強、透明度高、協同防御能力強的供應鏈安全體系，已經成為數字時代的必答題。

態勢三：新型、復合型數字供應鏈攻擊層出不窮

數字供應鏈生態系統的影響因素錯綜復雜，安全威脅的廣度與深度遠超傳統認知。除篡改軟件包，構建惡意軟件向目標企業的上游供應商或開發合作方實施后門注入、開源代碼投毒等常見的供應鏈攻擊外，新型、復合型數字供應鏈攻擊手段正以更隱蔽、更具破壞性的方式不斷涌現，讓企業在安全防護中陷入被動局面。 

利用新技術創新：攻擊者開始利用人工智能與自動化工具提升攻擊效率與精準度。例如，通過AI模型分析目標企業供應鏈的薄弱環節，自動生成定制化攻擊腳本，針對特定供應商的開發流程漏洞，實施 “智能投毒”。攻擊者還會模擬正常業務流量，對供應鏈中的 API 接口進行自動化滲透測試，一旦發現安全漏洞，便迅速植入惡意代碼。這種攻擊方式具有極強的隱蔽性，企業的傳統安全防護系統很難及時察覺。

攻擊手段組合：復合型攻擊手段的出現，進一步加劇了數字供應鏈的安全風險。攻擊者常常將多種攻擊方式結合使用，形成“組合拳”。此類攻擊往往跨越開發、測試、部署等多個生命周期環節，綜合利用網絡漏洞、系統權限、社會工程等多種技術與非技術手段，呈現出跨階段、跨平臺、跨身份、跨組織的顯著特征。攻擊者通過長期潛伏，精心布局攻擊鏈條，使惡意代碼或漏洞得以在供應鏈各環節間隱蔽傳播，企業現有的安全檢測與阻斷機制難以實現有效防御。例如，間接式供應鏈攻擊通過迂回滲透目標企業的次級供應商或合作伙伴，以“跳板”形式規避直接防御；“分段式投毒攻擊”將惡意行為拆解為多個看似正常的操作步驟，在供應鏈不同階段分步植入風險；“人-機”供應鏈攻擊結合社會工程學與技術滲透，通過欺騙企業員工或供應鏈合作伙伴，獲取關鍵權限后實施系統性破壞。這種攻擊方式橫跨網絡攻擊、人為滲透等多個領域，涉及供應鏈多個環節，大大增加了攻擊成功的概率和企業溯源、防范的難度。

向新興場景延伸：隨著物聯網設備在供應鏈中的廣泛應用，攻擊目標不斷向新興場景延伸。攻擊者可針對供應鏈中的智能傳感器、工業控制器等物聯網設備，利用其固件漏洞植入惡意程序，篡改設備采集的數據或控制設備運行狀態。比如，在物流運輸環節，惡意攻擊者篡改智能貨柜的溫濕度傳感器數據，誤導企業對貨物存儲環境的判斷，導致貨物損壞，同時借此擾亂企業的供應鏈管理系統，引發一系列連鎖反應。

更值得警惕的是，攻擊者還會利用政策與標準的差異，在國際數字供應鏈中尋找漏洞。不同國家和地區在數據隱私保護、網絡安全監管等方面的政策法規存在差異，攻擊者會針對這些差異，選擇監管相對薄弱的地區作為攻擊跳板或數據中轉站。例如，通過在某些數據監管寬松的地區設立虛假的 “供應商” 公司，向目標企業提供惡意數字制品，既規避了安全審查，又增加了企業追蹤溯源的難度，使得數字供應鏈安全管理變得更加復雜。

態勢四：供應鏈自身風險暴露面持續擴大

數字制品已經成為各國數字經濟發展的重要支撐，特別是在數字經濟全球化的大背景下，各國和地區對數字供應鏈的依賴程度都與日俱增。然而，地緣沖突、利益博弈、科技競爭等因素，使數字供應鏈成為貿易國之間相互制裁、打壓的關鍵手段。原本推動全球數字經濟駛入高速發展軌道的“引擎”，變成了“大國外交”的博弈工具，對數字供應鏈的穩定性與安全性構成更嚴峻的威脅。

1.貿易制裁不斷加碼

以“國家安全”為由，對特定國家或企業實施貿易禁運、經濟封鎖，打亂原有供應鏈布局，迫使企業重新調整全球資源配置。如，某國以“國家安全”為名，不僅系統性構建對華科技封鎖體系，將華為、中興等眾多中國高科技企業列入“實體清單”。近日還推出更激進的全球半導體管制措施，核心條款明確“全球任何地方使用華為昇騰AI芯片均違反美國出口管制規定”，違者將面臨制裁。

2.前沿技術封鎖持續升級

部分國家憑借技術霸權，通過出口管制、投資審查等手段，限制高端芯片、人工智能算法、加密技術等關鍵數字技術與產品的跨境流動。如，嚴格限制高性能AI芯片對華出口，針對半導體和制藥行業啟動“232 調查”，限制中國科研機構訪問 dbGaP、NIH 等核心數據庫等等。

3.以政治沖突為目的跨境供應鏈攻擊愈演愈烈

攻擊者利用各國法律監管差異與供應鏈的跨國特性，對軟件開發、硬件制造、數據的供應環節實施供應鏈入侵，如篡改軟件包、植入惡意代碼、實施數據竊取等，嚴重威脅著關鍵信息基礎設施穩定運行和國家安全。

典型跨境供應鏈攻擊事件

1. NotPetya勒索病毒事件：

2017年6月27日，NotPetya勒索病毒在短時間內迅速席卷歐洲。烏克蘭受到的攻擊最為嚴重，境內地鐵、電力公司、電信公司、切爾諾貝利核電站、銀行系統等多個國家設施均遭感染導致運轉異常。近年來，俄羅斯與烏克蘭沖突，又進一步引發歐美對俄實施嚴厲制裁，包括禁止向俄羅斯出口高端芯片和軟件服務。

2. 黎巴嫩尋呼機爆炸事件

2024年9月17日，黎巴嫩首都貝魯特以及東南部和東北部多地的手持尋呼機發生爆炸，造成大量人員受傷。9月18日下午，黎巴嫩多地再次發生通信設備爆炸事件，設備包括尋呼機、對講機以及無線通信設備等。截至9月21日，兩起事件合計已造成39人死亡、約3000人受傷。這一事件展示了以色列多年來對真主黨通訊、后勤及采購系統的深度滲透。

大國之間貿易和外交政策的變化使數字供應鏈安全充滿各種不確定性。如何在動蕩的國際環境中保障數字供應鏈安全，也已成為當前各國政府、企業乃至整個國際社會亟待解決的重大課題。

態勢五：全球數字供應鏈安全合規與監管日趨嚴格

為應對數字制品供應活動中的各類風險挑戰，各個國家和地區都在強化信息通信技術中硬件、軟件、服務以及數據跨境流動的安全管控。安全合規已經躍升成為全球數字供應活動中的核心治理議題。其監管范圍和監管要求都在不斷變化：

• 監管范圍：從傳統的電子產品與硬件設備，擴展到應用軟件、硬件固件、平臺服務、數據等泛數字制品范疇。
• 監管要求：從單點安全轉向鏈條治理，數字制品供應商一方面要確保交付制品網絡安全合規、許可合規、成分透明、數據安全，同時還要接受各類嚴苛的供應商安全審查（如生產環境、生產過程、生產體系）。 

總體來看，全球數字供應鏈安全合規和監管日趨嚴格。跨國科技企業需要遵循不同市場的法規、指令和標準，數字制品和服務“出海”也面臨前所未有的合規性挑戰。在嚴格的供應鏈安全監管環境下，供應商的各類違規事件（如許可兼容違規、數據安全違規、系統安全違規等）也已經屢見不鮮。特別是在數據安全合規方面，據 Gartner 預測，到 2025 年全球企業在數字合規領域的成本支出將突破 1.2 萬億美元。

從系統脆弱性、外部威脅、國際環境、政策監管等維度的分析來看：數字供應鏈安全正在由傳統的技術問題演化為戰略性、系統性的全球治理難題，整體發展趨勢呈現出高度復雜化、系統化和國際化的嚴峻態勢。