随着AI应用的规模不断扩大以及大语言模型(LLM)的商品化，开发者越来越多地承担起将人工智能(AI)和机器学习(ML)模型与软件更新或新软件一起打包的任务。虽然AI/ML在创新方面大有可为，但同时也加剧了人们的担忧，因为许多开发人员没有足够的带宽来安全地管理其开发。

　　安全漏洞可能无意中将恶意代码引入AI/ML模型，从而使威胁行为者有了可乘之机，引诱开发者使用开放源码软件模型变种，渗透企业网络并对组织造成进一步损害。甚至还有开发者越来越多地使用生成式AI来创建代码，却不知道自己生成的代码是否受到威胁的情况，这同样会导致安全威胁长期存在。因此，必须自一开始就对代码进行适当的审查，以主动降低软件供应链受到损害的威胁。

　　由于威胁行为者会想方设法利用AI/ML模型，威胁将持续困扰着安全团队。随着安全威胁的数量不断增加，规模不断扩大，在2024年开发者将更加重视安全性，并部署必要的保障措施，以确保其企业的弹性。

　　对于开发者来说，在软件生命周期初始阶段就考虑到安全性是一种相对较新的做法。通常情况下，二进制级别的安全性被认为只是“锦上添花”的存在。而威胁行为者会利用这种疏忽，寻找将ML模型武器化以对抗组织的途径，找出将恶意逻辑注入最终二进制文件的方法。

　　同样，许多开发者由于没有接受过必要的培训，无法在开发的初始阶段就将安全性嵌入到代码中。由此造成的主要影响在于，由AI生成并在开源存储库上训练的代码通常没有经过适当的漏洞审查，且缺乏整体安全控制来保护用户及其组织免受利用。尽管这可能会节省工作职能中的时间和其他资源，但开发者却在不知不觉中将其组织暴露在众多风险之下。一旦这些代码在AI/ML模型中实现，这些漏洞利用就会造成更严重的影响，而且有可能不会被发现。

　　随着AI的广泛应用，传统的开发者角色已不足以应对不断变化的安全环境。步入2024年，开发者也必须成为安全专业人员，从而巩固DevOps和DevSecOps不能再被视为独立工作职能的理念。通过从一开始就构建安全解决方案，开发者不仅能确保关键工作流的最高效率，还能增强对组织安全性的信心。

　　如果安全团队要在新的一年里对威胁保持警惕，那么ML模型的安全性就必须持续发展演进。然而，随着AI的大规模应用，团队不能在软件生命周期的后期才确定必要的安全措施，因为到那时，可能就真的为时已晚了。

　　组织内部负责安全方面的高层必须以“左移”的方式进行软件开发。通过坚持此方法，即能够自一开始就确保软件开发生命周期中所有组成部分的安全，并从整体上改善组织的安全情况。当应用到AI/ML时，左移不仅能确认外部AI/ML系统中开发的代码是否安全，还能确保正在开发的AI/ML模型不含恶意代码，且符合许可要求。

　　展望2024年及以后，围绕AI和ML模型的威胁将持续存在。如果团队要持续抵御来自威胁行为者的攻击并保护组织及其客户，确保自软件生命周期之始就考虑到安全性将是至关重要的。

　　JFrog Ltd.(纳斯达克股票代码：FROG)的使命是创造一个从开发人员到设备之间畅通无阻的软件交付世界。秉承“流式软件”的理念，JFrog软件供应链平台是统一的记录系统，帮助企业快速安全地构建、管理和分发软件，确保软件可用、可追溯和防篡改。集成的安全功能还有助于发现和抵御威胁和漏洞并加以补救。JFrog的混合、通用、多云平台可以作为跨多个主流云服务提供商的自托管和SaaS服务。全球数百万用户和7000多名客户，包括大多数财富100强企业，依靠JFrog解决方案安全地开展数字化转型。一用便知!如欲了解更多信息，请访问者关注我们的微信官方账号：JFrog捷蛙。

　　2月7日，阿里巴巴(NYSE：BABA;HKEX：9988)发布了截至2023年12月31日的2024财年第三财季财报(即自然年2023年Q4)。财报显示，公司该季度营收为2603.48亿元，同比增长5%;净利润为107.17亿元，较上年同期降77%。

　　上海车展正在火热进行中，一汽大众在2023上海车展中带来了ID家族的旗舰轿车产品，ID.7 VIZZION，新车基于MEB平台打造而来，预计将于今年下半年正式上市。

　　5月18日，为了帮助中小企业解决定为难、运营难、资金难、人才难、资源难等问题，杭州市市场营销协会组织多家专业机构联合举办“名企游学，走进上市公司”活动，通过学习交流赋能中小企业更好地完成转型升级。此次活动走进“A股互联网第一股”浙江网盛生意宝股份有限公司。

　　5月18日，由京东携手爱空间整装举办的京东装修自营业务新品发布会暨京东联合爱空间整装新品媒体见面会正式召开。