深度分析 發行管線失守:CI、OIDC 與 SLSA 如何讓惡意工件滑入 AI 生態 50天內四起供應鏈事件示警:TanStack、LiteLLM、Anthropic與OpenAI均出現發行或憑證缺口。核心在CI runner、OIDC信任邊界與發行包審查;SLSA簽章證明來源卻無法保證建置意圖。結果是惡意工件可透過合法流程流入生態,企業須強化發布閘道與運行時驗證。
