Categoria

Supply Chain

Pagina 1 di 1

Supply Chain: l'ecosistema AI è il nuovo target preferito degli attaccanti

L'ecosistema AI è diventato un target di supply chain attack: modelli pubblicati su Hugging Face con backdoor, librerie Langchain/LlamaIndex con transitive dependencies che nessuno audita, update automatici via Renovate che portano in produzione codice che nessuno ha letto. La supply chain AI è la parte più vulnerabile delle pipeline.

In questa categoria scrivo di supply chain security AI: pinning dei modelli con hash verificato, audit ricorrente di Langchain/LlamaIndex e transitive deps, integrity check su artefatti scaricati, gestione del rischio di package squatting su PyPI e npm, criteri per scegliere modelli/librerie affidabili.

Se hai pipeline AI in produzione e non sai cosa stai eseguendo davvero, parliamone. Oppure scopri il mio percorso.

Cybersecurity Avanzata Supply Chain AI Code Security DevSecOps LLM Automation

Supply chain security di applicazioni AI: pinning dei modelli, audit di Langchain e LlamaIndex, integrity checks

Supply chain security di applicazioni AI: pinning dei modelli, audit di Langchain e LlamaIndex, integrity checks L'ecosistema AI è diventato un target di supply chain attack: modelli pubblicati su Hugging Face con backdoor, librerie Langchain/LlamaIndex con transitive dependencies non audit-abili, update automatici che introducono drift di comportamento. Ti mostro la strategia di hardening che applico: pinning dei modelli a digest SHA-256 (non tag), audit automatico delle dipendenze via Snyk/Dependabot, integrity checks su ogni deploy, separazione di ambienti con policy di network egress controllato. Continua a leggere
Ultima modifica: