应用安全企业Sparrow 11日在首尔龙山九树Premier RocaUs酒店举行年度客户活动“SAI 2026（Sparrow Application Insight 2026）”，围绕开源软件和AI编程快速普及背景下的软件供应链安全风险进行分析，并介绍了公司的应对思路。

在题为“变化中的供应链安全环境与企业应对策略”的特邀演讲中，供应链安全研究会委员长Lee Man-hee回顾了全球供应链监管的最新变化，并介绍了技术演进带来的攻击面扩张，以及近期出现的供应链威胁。

他还分享了Claude Mythos等最新AI模型的特点及其带来的启示，并指出，随着AI技术持续发展，漏洞挖掘速度明显提升，企业需要提升安全可视性，并在开发全周期建立自动化安全测试体系。

Sparrow首席执行官Jang Il-su表示，生成式AI生成的代码与大量开源软件包混合使用，正给企业带来可视性不足、许可证合规风险以及漏洞响应滞后等管理难题。为应对这些问题，企业需要扩大软件物料清单（SBOM）的管理范围，将AI模型和AI生成代码纳入统一、透明的追踪体系。

他进一步表示，生成后的SBOM还应加入数字签名，以验证其完整性，同时提升SBOM交换链路两端的可视性，从而构建可信的软件供应链安全生态。

除上述内容外，会议还介绍了AI开发环境下软件开发安全的落地策略、Sparrow核心路线图，以及基于实际案例梳理的开发安全事故模式与成因。

在“生成式AI编程安全威胁与应对方案”环节，Sparrow指出，随着Vibe Coding兴起，开发环境正在快速变化，但生成式AI仍可能产出存在安全隐患的代码。对此，公司提出AI编程安全方案“Model Context Protocol（MCP）”，主张将安全校验前置到代码生成阶段。

Sparrow表示，开发者可在不打断现有开发流程的前提下，借助MCP提升代码安全性。公司计划将已在SAI 2026上亮相的MCP于近期正式发布，并希望借此帮助客户在快速变化的AI开发环境中尽可能缩小安全盲区，构建安全、可信的软件供应链。