JFrog 推出“影子 AI 检测”功能，助力企业应对软件供应链中的隐性 AI 风险

12 月 6 日，JFrog 宣布在其软件供应链平台中新增“影子AI检测”功能，旨在帮助企业可视化并控制开发流程中不受管控的 AI 模型和 API 调用。此举旨在应对日益严峻的安全、合规及风险暴露问题，这些问题源于团队在缺乏组织监督的情况下通过非正式的方式采用了“影子 AI”集成方案。

这项新引入的功能可以自动扫描和清点组织内部使用的AI模型和外部 API 网关，包括未经授权的工具，如 OpenAI、Anthropic 等第三方服务提供商。由此，企业可以实现集中化治理，执行安全和合规政策，定义授权访问路径，跟踪使用情况，并维护完整的审计追踪记录。

在随附的新闻稿中，JFrog 机器学习副总裁兼首席技术官 Yuval Fernbach 将这一功能描述为对 AI 采用中日益增长的盲点的回应。他表示，影子 AI 检测“强化了 JFrog 在保障 AI 供应链全方位安全方面的领导地位，帮助企业安全、负责任地运用 AI。”

此项功能的发布时机值得注意：随着企业越来越多地将 AI 嵌入到应用程序和工作流程中——这种融合往往迅速且缺乏集中化管控策略——不受管控、不安全或不合规的 AI 使用风险持续增加。影子 AI 不仅关乎安全，它还可能导致监管问题、数据泄露和供应链漏洞。JFrog 认为，必须将用于软件包和依赖项的治理机制扩展到 AI 模型和 AI 驱动的交互。

有了这个新功能，JFrog 对其平台的定位将不再是传统的工件仓库，而是一个组织软件和 AI 供应链的统一记录系统。注册使用该功能的组织将更有能力确保符合全球 AI 相关法规，如即将到来的欧盟 AI 法案、美国不断演进的前沿 AI 透明度规则，以及 NIS2 和其他网络弹性框架下的新兴指南。

JFrog 并非唯一探索在这一领域使用 AI 概念的公司。ModelOp Center被设计为一个“AI 控制塔”，为组织内的所有 AI（内部模型、第三方供应商模型、生成式 AI 解决方案等）提供生命周期管理和治理。它支持新 AI 用例的注册、风险评估、政策执行、审计追踪和持续监控。与典型的 MLOps 或数据平台不同，它们侧重于模型训练、部署或数据管道，而 ModelOp 则明确针对治理、合规性和企业范围的监督。

Aurva是另一个聚焦安全的平台，为 AI/ML 系统提供实时监控和可观察性，其中包括代理工作负载和基于 API 的 AI 模型调用。根据供应商的说法，AIOStack提供了“深入的、内核级别的可见性和控制”，能帮助检测未经授权的数据访问、潜在的数据泄露和 AI 代理的可疑行为。Aurva 将自己定位为一个提供“影子 AI 可见性”的工具，使组织能够发现其环境中脱离管控或未经授权的 AI 使用，这与 JFrog 希望通过影子 AI 检测实现的目标非常相似。

影子 AI 检测将作为现有 JFrog AI Catalog 的一部分推出，预计 2025 年会正式发布。

原文链接：

https://www.infoq.com/news/2025/12/jfrog-shadow-ai-detection/