Što je AI lanac opskrbe?
AI sustavi rijetko su izgrađeni od nule — oslanjaju se na temelje modele (OpenAI, Anthropic, Meta), open-source okvire (PyTorch, LangChain), biblioteke embedanja, javno dostupne skupove podataka i oblačne AI servise. Svaka od ovih ovisnosti je potencijalni vektor napada ili rizik neusklađenosti.
Ključni rizici lanca opskrbe AI
Otrovane ovisnosti: zlonamjerni Python paketi koji imitiraju legitimne AI knjižnice. Kompromitiran HuggingFace: otrovani modeli objavljeni na popularnim repozitorijima. Ranjivi API-ji: trećestranački AI API-ji s lošim sigurnosnim praksama. Licencni rizici: open-source modeli s restriktivnim licencama koji ograničavaju komercijalnu upotrebu.
Best practices
Upravljanje AI lancem opskrbe zahtijeva: SBOM (Software Bill of Materials) za AI komponente, verificiranje modela hashevima, praćenje licenci, redovite sigurnosne revizije ovisnosti, izoliranu evaluaciju novih modela u sandboxu, i jasnu politiku prihvatljivih AI servisa treće strane.