Chainguard 为 AI 智能体依赖安全提供统一入口

随着 AI 编码助手和自主智能体大幅加速软件开发，它们也带来了一个大多数组织尚未准备好的安全问题：机器速度下的依赖泛滥。

Chainguard CEO Dan Lorenc 向 The New Stack 表示，编码智能体存在盲点。它们的训练数据通常滞后一年以上，这意味着当它们拉取库时，默认会选择老旧且往往不安全的版本——不是因为粗心，而是因为它们只知道这些。随着越来越多的生产代码由智能体编写，这种模式会快速累积风险。

“当你要求智能体生成代码时，它的训练窗口通常是一年前的，”Lorenc 说，“所以它默认使用这些库的旧版本，因为这就是它训练的内容。你可以让智能体更新代码，但这比人们试图加快速度需要更多时间和精力。”

攻击者也在用 AI

与此同时，Lorenc 表示攻击者越来越多地使用 AI 自身——不是意外编写有漏洞的包，而是以人类研究员需要数天的规模和速度来发现并利用配置错误。

他提到最近 Trivy 项目的入侵事件说明了这一威胁。攻击者部署智能体系统性地识别数十个 GitHub 组织中的已知配置错误，自动化了原本需要数小时手动挖掘的工作。

“几周前 Trivy 项目发生了一次重大入侵，”Lorenc 说，“攻击者仅通过让智能体去寻找这些已知配置错误，就入侵了数十个其他 GitHub 组织。人类可能需要七个小时的工作和挖掘。我们看到越来越多的 AI 赋能攻击。”

根据 Sonatype 的年度软件供应链报告，仅 2025 年就有近 45.5 万个恶意包涌入 npm、PyPI 和 Maven Central。Chainguard 表示，平均容器携带超过 600 个已知 CVE，生产环境中 89% 的容器镜像包含已知漏洞。

开源统一入口

为解决这一问题，Chainguard 周二宣布推出 Chainguard Repository，这是一个统一、默认安全的开源制品仓库。该产品为开发者——以及与他们一起编写代码的 AI 智能体——提供了一个单一的、受管控的端点，用于拉取开源库、容器、操作系统包和虚拟机，并在消费点强制执行可配置的安全策略。

从今天起，Chainguard Repository 已针对 JavaScript 投入生产，为客户提供超过 7 万个 Chainguard 构建的 npm 包。这些库在符合 SLSA Level 3 的环境中构建，设计上消除了 99.7% 的恶意软件。对于作为后备从上游 npm 注册表提供的包，七天的冷却期策略会过滤掉研究社区在该窗口期内识别的恶意软件。

冷却期困境

然而，Lorenc 表示冷却期策略有其局限性。这种方法最初出现在 Snyk 研究中，显示等待一周可以避开大多数恶意软件，但它面临一个结构性问题：如果每个人都采用它，攻击者只需调整时间线。

“如果每个人都这样做，那么它的效果就会降低，你不得不等待更长时间，”Lorenc 告诉 The New Stack，“而且有时你在此之前就需要软件。如果某个东西存在关键 CVE，你不能等七天才能获得新版本。你就像在被一只熊追赶的同时试图抓住另一只。”

处理生产依赖中关键 CVE 的组织不能总是等待一周才能获得修补版本。Chainguard 的解决方案是可配置的例外，允许安全团队为关键修复绕过冷却期，同时在所有其他地方保持默认态势。

超越安全的治理

治理用例不仅限于安全。Lorenc 指出，随着 Chainguard 库覆盖范围的扩大，一些客户现在使用策略控制仅仅是为了管理可用包的数量——不是出于安全原因，而是为了工程纪律。

“我们有很多客户，现在库太多了，实际上太多了，他们希望能够控制开发者获取哪些库，”Lorenc 说，“也许你不需要 17 个不同的数据库客户端或 32 个不同的日期时间解析器。”

Chainguard 正在展望一个时代，届时无论是开发者还是他们的 AI 工具都不能被期望自行做出安全的依赖选择。Chainguard Repository 可以替换或集成现有的制品管理器，如 Artifactory、Cloudsmith 和 Nexus，并补充像 Snyk 和 Sonatype 这样的 SCA 扫描工具，这些工具识别漏洞但不提供干净版本。

“这是一个单一节点，你可以将所有客户端直接指向它，我们将控制进入其中的内容，”Lorenc 说，“你可以设置任何你需要的策略。”

自我强化的安全

随着 Chainguard 的 AI 驱动工厂从源代码重建更多包，使用该仓库的组织的安全态势会自动改善，无需配置更改或代码更新。Lorenc 表示，他认为这是关键的架构转变：与其事后扫描问题，不如在消费点强制执行安全。

Lorenc 还指出了 AI 技能劫持（AI Skill Hijacking）作为一个新兴威胁向量，行业才刚刚开始看到。虽然 MCP 劫持仍处于早期阶段，但对 AI 技能生态系统的攻击——如 skills.sh 这样的平台，智能体在运行时动态拉取工具——已经在规模上发生。

“我们现在看到很多 AI 技能劫持，”Lorenc 说，“如果你不安全地部署这些工具，它们会在运行时拉取任何它们觉得合适的工具。几周前 OpenClaw 的技能生态系统发生了一次大规模攻击。这就是人们分享 OpenClaw 工作流的方式。”

下一步计划

今年晚些时候，Chainguard Repository 将扩展到 Python 和 Java 库、容器镜像、操作系统包和虚拟机。计划发布的额外策略控制包括 CVE 阻止，防止拉取已知关键漏洞的制品；许可证强制执行，将制品限制在批准的许可证；以及生命周期结束预防，在未维护的依赖进入生产环境前拒绝它们。Chainguard Repository 现已可用。