对出海智能制造企业来说，这个问题比互联网软件更复杂。一个产品背后，往往同时涉及固件、嵌入式软件、云平台、App、第三方 SDK 和供应商交付件，链条长、版本多、生命周期也更长。

今天装一个“代码审查 Skill”、 明天装一个“自动运维 Skill”、 后天再装一个“浏览器操作 Skill”。听起来很美好，但问题也来了：

2026年5月25日，国家网络与信息安全信息通报中心、公安部网安局通报了近期全球主流 JavaScript 软件包管理平台 npm 遭“沙虫”（Shai-Hulud）供应链投毒攻击事件，涉及 echarts-for-react、@antv、TanStack 等多个系列 NPM 组件。

2026年5月20日，在“超聚变探索者大会2026”的解决方案生态研讨会上，超聚变正式发布 FusionOS 26 AI原生操作系统，墨菲安全作为超聚变的深度合作伙伴，赋能其AI原生操作系统的建设，同时在多领域与超聚变展开合作并取得不错成果，获评“聚智·同行伙伴”。

2025 年，明确存在恶意行为的开源包超过 5 万个；蠕虫化投毒事件能在 24 小时内波及上万仓库；NVD 中 30% 以上的影响范围标注存在错误或缺失，直接扫描修复只会把研发淹没在误报里；漏洞从公开披露到攻击者开始利用，窗口已从"天"压缩至"小时"级。

在企业安全建设不断走向体系化、经营化的当下，越来越多安全团队开始面临同一个现实问题：安全工作做了很多，但很难用管理层听得懂、业务方愿意配合、组织内能够持续复用的方式表达出来。

在企业安全治理中，有一个场景非常普遍：SCA 工具扫出来几十个漏洞，安全团队整理成工单派给研发，研发打开一看，一堆 CVE 编号和 CVSS 评分，完全看不懂，不知道该改哪里，更不知道改了会不会出问题。

过去20年，我们经常会听到大家讨论：企业安全部门/从业者长期面临着不出事不被重视、出事了又要背锅、推进安全治理的工作不被业务部门认可，久而久之安全从业者可能都开始怀疑很多工作是否真正有价值。

2025年，新增开源漏洞42万+条，日均超过1,000个；59,000+个恶意投毒组件被识别，增幅超50%；53%的企业代码库存在许可证冲突；攻击者5天内开始扫描，企业修复却平均需要55天。

导语：当大多数开发者和安全团队仍把注意力集中在NPM、PyPI等传统组件仓库时，攻击者已经悄然开辟了新的“蓝海”。2月28日，墨菲安全研究院发布了《2025年度软件供应链投毒风险研究报告》。报告中明确指出，攻击边界正从传统仓库向更广泛的开发者生态“外延”。其中，IDE...

从报告中发现，2025年，软件供应链投毒已不再是小概率的边缘风险。据墨菲安全研究院公布的数据来看，2025全年监测到的投毒包总量突破 59,000 个，同比2024年增长超过 50%。

2025年，开源软件供应链投毒威胁持续升级，全年识别到的投毒包总量突破59,000个，相较2024年增幅超过50%，日均新增投毒包逾200个。

12月4日，React 与 Next.js 官方披露了两个与 React Server Components（RSC）相关的远程代码执行严重漏洞：CVE-2025-55182（React） 与 CVE-2025-66478（Next.js），其根因都是由于react-server-dom系列的三个实验性对Flight协议的反序列化实现不当，这些组件用于处...

Joomla 在海外使用较多，是一套使用 PHP 和 MySQL 开发的开源、跨平台的内容管理系统(CMS)。Joomla 4.0.0 至 4.2.7 版本中的 ApiRouter.php#parseApiRoute 在处理用户的 Get 请求时未对请求参数有效过滤，导致攻击者可向 Joomla 服务端点发送包含 public=true 参数的...

Spring Cloud Gateway 是Spring Cloud 生态中的API网关，包含限流、过滤等API治理功能。Spring官方在2022年3月1日发布新版本修复了Spring Cloud Gateway中的一处代码注入漏洞。当actuator端点开启或暴露时，可以通过http请求修改路由，路由中包含的恶意filter参数会...

如今，软件供应链安全问题已经成为一个全球性的难题。根据数据统计，2017年全球遭受网络攻击的公司比例已经达到了93％，其中很大一部分是由于软件供应链安全问题导致的。而在中国，据统计，2019年全国共发生了2.7万起网络安全事件，其中不乏因软件供应链安全问题而导...

2023年2月16日，首届ICT软件供应链安全治理论坛暨信息通信软件供应链安全社区第二届成员大会在北京成功举办，多位业界顶级专家与工业和信息化部网络安全管理局相关领导出席，为现场观众分享了关于软件供应链可持续性与安全治理行业的前瞻与思考。

近日，OpenAI推出的ChatGPT通过强大的AIGC（人工智能生产内容）能力让不少人认为AI的颠覆性拐点即将到来，基于AI将带来全新的软件产品体验，而AI也将会成为未来软件供应链中非常重要的一环。

系列简介：漏洞真实影响分析是墨菲安全实验室针对热点漏洞的分析系列文章，帮助企业开发者和安全从业者理清漏洞影响面、梳理真实影响场景，提升安全应急响应和漏洞治理工作效率。

1月5日，有开发者在 twitter 中发文称遭遇了名为 chalk-next 的组件投毒事件，该组件存在收集配置信息和删除本地文件的恶意逻辑，当前 NPM 仓库已经下线了该组件。