文章总结： 本文提出基于AgenticAI的软件供应链自主防御框架，融合LLM语义推理、强化学习与多智能体协作，通过LangChain及MCP协议对接CI/CD环境，实现对注入、配置错误等威胁的实时感知与自动缓解，并利用区块链保证审计可信。实验显示该框架在检测准确率、响应时延及资源消耗上均优于传统溯源与规则基线，验证了构建自抗性安全体系的可行性。 综合评分： 92 文章分类： 供应链安全,AI安全,安全建设,解决方案,漏洞分析

【论文速读】| 用于软件供应链安全自主防御的Agentic AI：从溯源到漏洞缓解

原创

知识分享者

安全极客

2026年1月8日 17:35 北京

基本信息

原文标题：Agentic AI for Autonomous Defense in Software Supply Chain Security: Beyond Provenance to Vulnerability Mitigation

原文作者：Toqeer Ali Syed, Mohammad Riyaz Belgaum, Salman Jan, Asadullah Abdullah Khan, Saad Said Alqahtani

作者单位：伊斯兰大学（麦地那，沙特阿拉伯）；阿拉伯开放大学巴林分校（A’Ali，巴林）

关键词：软件供应链安全，Agentic AI，多智能体，LLM推理，强化学习，区块链安全账本，持续集成/持续部署（CI/CD），主动防御

原文链接：https://arxiv.org/abs/2512.23480

开源代码：暂无

论文要点

论文简介：本论文聚焦于应对日益严重的软件供应链安全威胁，尤其是在可信开发与交付流程被攻击者利用的现实背景下，现有的传统溯源和完整性验证手段（如SLSA、SBOM、in-toto）主要事后追溯和溯源能力，缺乏主动、实时的漏洞发现与防御功能。作者提出了一种基于Agentic AI（智能体人工智能）的自主软件供应链安全防御框架，将大语言模型（LLM）推理、强化学习（RL）和多智能体协作相结合，设计专用安全Agent，并通过LangChain和LangGraph实现智能体编排与协同，使用Model Context Protocol（MCP）对接真实CI/CD环境，全程行动与观测记录于区块链安全账本以保证完整性与可审计性。在仿真和真实GitHub Actions与Jenkins环境中，框架能够有效检测和缓解注入攻击、不安全反序列化、访问控制失效、配置错误等主流威胁，实验结果显示其在检测准确率、缓解时延以及操作开销等方面优于传统的规则、溯源及强化学习单一基线，证明了Agentic AI推动自防御、主动的软件供应链安全体系的可行性和价值。

研究目的：当前软件供应链已成为数字生态系统中最关键却易受攻击的环节。近年来如SolarWinds、XZ Utils等著名事件显示，攻击者能够利用可信的开发与交付流程，向数千下游系统渗透恶意组件。这些攻击在软件生产（代码贡献、依赖集成、流水线执行等）过程中被引入，现有的溯源与透明度机制只能在事后进行验证，并不能主动阻断或缓解威胁。当前的主流工具大多反应迟缓，无法在构建前拦截异常，也难以在快速演化的攻击面前自适应调整。这一局限凸显了对能够在开发流程中自主感知、学习、推断和应对的新型智能防御机制的迫切需求。

Agentic AI 以其目标导向和自反性能力，为实现具备感知、认知、决策和行动闭环的主动型防御系统，提供了新的范式。本论文旨在跳出静态溯源和被动响应的框架，构建可持续学习和自适应决策的Agentic AI防御体系，实现对软件供应链全生命周期的实时风险管控与主动安全保障。

研究贡献：

• 提出了Agentic AI驱动的自主软件供应链防御框架，将自适应的安全Agent体系引入整个供应链生命周期，突破传统溯源模型的被动局限，实现了对动态威胁（如注入、不安全配置等）的主动感知与即时缓解。
• 融合LLM语义推理与强化学习，实现安全决策的智能化与可解释性。大语言模型用于多阶段供应链语义关联分析和攻击模式溯源，强化学习赋予安全Agent自适应策略优化能力，在安全和业务连续性之间动态权衡。
• 多智能体协作机制与LangChain、LangGraph技术结合，支撑各Agent分工与决策流转，提升了系统的协作性、可扩展性与处理复杂场景的能力。
• 创新性地引入MCP协议与区块链安全账本实现标准化外部交互与操作透明审计，保证了溯源性和不可否认性，为安全事件回溯和治理提供强有力支撑。
• 在仿真及现实CI/CD环境（GitHub Actions和Jenkins）中进行系统性实验评估，全面证明了框架在检测率、响应时延、资源消耗等方面优于主流基线方法，推动了“自抗性供应链安全”的落地实践。

引言

随着现代数字生态日益复杂，软件供应链已成为其中最为重要却同时极易受攻击的薄弱环节。近期频发的重大安全事件（如SolarWinds供应链事件、XZ Utils后门攻击等）充分暴露了供应链攻击的高隐蔽性与大规模破坏潜力。攻击者能够借道受信任的开发和交付流程，将恶意代码、被篡改依赖、脆弱配置等注入到软件生命周期的早期，从而影响下游成千上万的系统。这些威胁已不限于已部署的软件，更多是在研发、构建或交付环节“种下”，使得传统依赖于事后完整性验证、人工代码审查或静态签名的防线变得越来越被动和脆弱。虽然SLSA、SBOM、in-toto等供应链安全框架能够提供一定程度的溯源、可追溯和工件验证能力，但在实际研发流水线面对异常依赖、恶意注入或配置漂移等动态风险时，这些机制的干预能力极为有限，往往要等到产物生成、交付甚至下游被攻击后才发现并追溯问题。现有工具普遍缺乏实时、前置、主动的异常检测与风险响应能力，难以满足现代敏捷开发和DevSecOps安全持续性的需求。

基于上述挑战，亟需新的安全范式，能够在“事前”甚至“事中”阶段持续学习、灵活适应复杂攻防环境，实现对整个开发—集成—交付链路的主动、智能、持续防护。Agentic AI（智能体人工智能）以其感知-认知-决策-行动闭环和目标导向自学习能力，为实现新一代自主供应链防御奠定了理论和方法基础。相较固定规则的传统自动化方案，Agentic AI能够在动态环境下探索新型威胁模式，优化策略、解释行动并自动调优安全策略。在本论文中，作者提出了一种基于Agentic AI的供应链安全防御框架，方案中融合了LLM驱动语义推理、强化学习赋能自适应决策、多智能体协作和区块链可信账本，为流水线中的不同环节（代码、依赖、配置、集成、部署）均配置专有安全Agent，实现实时威胁监控、异常隔离、修复和审计闭环。特别是在持续集成/持续部署（CI/CD）复杂流水线中，各Agent可自动互通、协作、感知与干预，推动安全从单点溯源进化到全链路自防御，并在实验层验证其在准确率、时延和可操作性等方面的优越性。这一创新实践为未来构建自抗性的、安全可信的软件生产与交付生态提供了重要理论基础与技术路线。

研究背景

软件供应链安全已成为近年学术界和产业界的研究热点，众多系统级威胁和事故推动了对供应链溯源、依赖验证、工件签名等基础设施的完善。最早的研究集中在依赖关系信任管理、工件完整性保护和元数据溯源，如SLSA、SBOM、in-toto等标准和机制广泛应用于产物验证和溯源追踪。这类方案普遍保障了工件的链路合法性与可追溯性，但往往停留在静态、被动、验收后追责的层面，缺乏对动态威胁环境的前瞻性响应能力。同时，部分研究关注软件供应链的安全设计原则，如透明性、有效性、分层隔离，提供了重要的理论支撑，但大多未能兼顾实时响应与智能化干预。

现有面向自动化的安全强化研究如ARGO-SLSA，初步实现了在Kubernetes等CI/CD流程下自动化合规与策略强制，但其本质仍为静态规则驱动，无法适应复杂威胁动态及新型攻击向量。在安全防御智能化方面，有学者尝试利用多智能体系统、协作型AI与强化学习等理论提升安全机制的自治性，但相关探索大多局限于物流、硬件、自动驾驶等领域，在软件开发与持续集成流中的实际落地实践有限，关于多Agent在软件供应链主动防御中协调协作与实时联动的模式仍缺乏系统性研究。

部分业界工作（如JFrog、Lineaje早期原型）试图通过AI Agent巡检与自愈修复实现AI化安全管控，但大多缺乏公开评测、可复现框架及同行验证，在方法的理论严谨性和适应复杂环境方面尚需突破。整体来看，既往方案在以下三个关键方面显著不足：一是强调事后产物完整性，多忽视风险前置干预；二是自动化手段未与智能化学习能力深度融合，难以识别与应对未知攻击模式；三是对注入攻击、配置漂移、访问控制失效等动态脆弱性的主动检测与自适应响应能力薄弱。该论文立足于此，首次系统性构建基于Agentic AI多智能体深度协作、可解释决策、有机学习的供应链安全体系，为领域迈向自抗性、主动性安全防御框架提供经验样板与理论支撑。

研究方法

论文提出的Agentic AI自主软件供应链防御框架，采用多层、多智能体体系结构渗透到整个供应链生命周期（从代码提交、依赖解析、CI/CD流水线到工件交付）。其核心体系包括智能体编排、语义安全推理、自适应决策优化、标准化外部交互和透明可信的安全账本，实现了全流程的持续感知、推理与主动干预。以下对主要关键技术与组成模块分层解析：

1. 框架总体架构

系统整体为多层次多智能体体系，每一安全Agent覆盖供应链的不同环节，包括代码分析、依赖安全、CI/CD监控、访问控制与配置审核。所有智能体通过LangChain的Agent编排能力和LangGraph的条件决策流构建，保障了Agent间的分工明确与协同高效。系统形成”监测→推理→决策→审计”的封闭反馈环，实现了全链路持续的安全压力测试与风险治理。

2. 多Agent协作与LangChain/LangGraph编排

具体Agent设计包括：代码分析Agent（聚焦代码提交和变更安全审查）、依赖智能Agent（分析第三方库和SBOM）、CI/CD监控Agent（管控流水线执行和配置）、访问控制Agent（分析权限与角色配置）以及配置审核Agent（核查容器、IaC配置等）。LangGraph实现了复杂的条件执行和流程分支，能够根据前置检测结果依次触发后续Agent补充验证或隔离流程。例如，代码分析Agent检测到疑似注入模式后，自动切换到CI/CD Agent进一步触发流程级验证并开展缓解措施。

3. LLM推理与语义攻击建模

LLM作为框架的认知核心，不仅执行基础分类任务，更通过复杂提示模板实现跨阶段漏洞语义的聚合与推断。RAG（检索增强生成）机制将历史攻击轨迹、现行安全政策等上下文输入LLM推理链中，显著增强了面向注入、不安全反序列化、配置错误等语义类威胁的准确识别能力。同时，LLM可输出安全分析理由，实现各安全响应链条的可解释化。

4. 强化学习赋能决策自适应

为优化各Agent动作选择及策略调整，引入了以PPO算法为主的强化学习模型，每一智能体在模拟和真实流水线中按马尔可夫决策过程（MDP）优化自身策略。状态空间涵盖各环节上下文，动作空间为可执行安全缓解行为（如阻断构建、隔离依赖、请求人工复核），奖励函数按威胁缓解、误报、构建延迟和开发者采纳度综合制定，保障了安全效率与开发体验的动态均衡。

5. Model Context Protocol（MCP）及区块链安全账本

通过MCP协议，实现了智能体与外部（GitHub Actions、Jenkins等CI/CD工具链）的标准化消息传递与指令互操作，每一次检测、响应、缓解命令均独立记录并反馈。所有观察结果与安全行动被串联记录于基于BFT一致性和Merkle树完整性的权限型区块链，确保每一次安全决策的不可篡改、全程可追溯，为事后审计和威胁取证提供坚实支撑。

6. 容器化与可扩展实践

原型系统基于Python全模块化、服务化开发，所有Agent皆为独立服务，轻松通过容器调度扩展，支持Kubernetes等主流云原生环境批量部署。实验参数与配置模板均版本化管理，全面支撑未来复现与平滑升级改进。

通过上述多层次深度集成，形成了“以Agent为分工基础，以LLM+RL为认知与自适应核心，以区块链账本为可信底座”的新一代供应链自主防御基础设施，实现了覆盖全生命周期、多角度、多策略的持续智能抗风险能力。

实验实现

为全面评估所提Agentic AI防御框架的有效性，论文在模拟与真实CI/CD环境下开展了系统性实验设计，涵盖攻击检测能力、缓解时延、资源消耗与协同效果等全方位指标。具体设置与流程如下：

1. 实验环境构建

实验分别在自主仿真CI/CD流水线与真实GitHub Actions、Jenkins流水线部署场景下进行，所用源码仓库中注入了已知类型的威胁实例，包括典型的依赖投毒、脚本注入、不当配置（如K8S YAML错误）、访问控制隐患等。所有智能体通过MCP协议实时报文交互，各Agent同步监控流水线变更、日志、构建产物及环境配置。

2. 攻击场景与评测维度

主要覆盖四类中心威胁：注入攻击、不安全反序列化、访问控制失效和系统配置错误。对每类威胁，分别评估检测召回（precision/recall/F1）、缓解时延（MTTM）、应急响应覆盖率和自动化比率等指标。实际开发者可见性、提示解释性和流水线工时开销亦为关注维度。

3. 基线方法设置

选取了多种主流对比基线，包括静态规则驱动分析（如代码linter、策略引擎）、溯源/产物验证方案（如SLSA、in-toto）、仅用于强化学习Agent（无LLM推理）、以及商用AI代码安全扫描工具，通过统一数据集和实验流程确保基线对比公平、科学。

4. 消融实验与资源测量

通过模块级消融实验（分别关闭LLM、RL、账本等核心组件）分析每一技术点的独立增益与贡献；辅助统计流水线整体构建时延、CPU/内存消耗、开发者人工干预频度和安全事件回溯耗时，量化系统部署的运维负荷。

整个实验执行过程及参数均被版本化管理，并依托区块链账本完整记录，既保证了结果可靠复现，又为后续研究扩展和行业落地推广提供了范例支撑。

实验结果

实验结果显示，Agentic AI自主防御框架在检测准确率、威胁响应效率及资源开销等核心指标方面，均显著优于主流对比基线，并具备良好的主动防御和解释能力。具体分析如下：

1. 漏洞检测和缓解效果

在所有四类核心脆弱性检测场景（注入攻击、不安全反序列化、访问控制违例、配置失误），框架F1-score均高于静态规则和溯源基线，特别是在复杂语义型漏洞（如反序列化、访问控制）上优势更为突出。融合LLM的语义推理带来召回率（recall）大幅提升，而多Agent+RL协同有效降低了误报率和“误杀”概率，实现了精细化安全感知。

2. 缓解响应时延与自动化率

平均威胁缓解时延（从检测到实际修复/阻断）方面，Agentic AI系统可在无需人工干预下自动推出隔离、修复动作，大幅缩短解决时间，相较被动规则体系，响应时效提升最为显著。在真实流水线部署（GitHub Actions/Jenkins）中，逾90%的自动缓解操作均由Agent自主执行，仅有极少高度相关业务场景需人工确权二次确认。开发者反馈显示，由LLM自动生成的可解释“处置理由”，易于理解和采纳，且系统账本可信透明，便于后期溯源审计。

3. 系统开销与可扩展性

性能评测显示，Agentic AI体系对流水线的平均代码构建时延增加小于6%，主因在于并行分析和区块链写入带来小幅追加延迟；内存及CPU消耗则因容器化多条件优化，整体保持较低水平。消融实验进一步验证了LLM部分对检测复杂漏洞的关键贡献（召回提升15%以上），RL模块对缓解延迟和误报抑制明显（自动决策精度提升），安全账本在审计追踪和信任支撑方面不可替代，虽然对检测本身影响有限，但极大丰富了系统可用场景。

4. 综合讨论与意义

整体上，本框架以多智能体协作和大模型认知为核心，推动软件供应链安全从“事后被动溯源”向“全流程主动能力”进化，不仅技术指标超越传统基线，更为开发与运维生态注入了持续安全自治的新范式。虽然新增的安全模块带来一定资源开销，但其系统性风险防控能力和变革性自治架构足以为关键领域支付“安全溢价”。此外，实验还验证了各技术组件的独立和协同价值，夯实了Agentic AI方案作为未来供应链安全主流基石的理论与实证基础。

论文结论

本论文系统提出并实践了Agentic AI赋能的自主软件供应链防御新框架，有效实现了从静态溯源走向动态主动防御的跨越。通过融合LLM驱动的语义分析、强化学习支撑的决策自适应、多智能体编排与区块链保障的可信审计，全方位地覆盖了供应链代码、依赖、配置、集成到交付全生命周期的安全风险监控与缓解。大规模仿真与真实CI/CD部署评测表明，所提框架无论在漏洞检测准确性、缓解效率还是操作可解释性和审计透明度上，均优于传统基线方法。与此同时，其模块化、标准化和可扩展性，也满足了云原生与DevSecOps等现代研发场景规模化落地与持续演进的需求。

尽管该方案在实际落地时仍面临操作开销、Agent协同复杂性、适应极端边界场景等现实挑战，但研究明确展示了利用Agentic AI推动供应链自防御机制的巨大潜力和实际价值。未来工作有望围绕更丰富攻击类别、跨团队协作问题、更加自适应的RL算法与可解释AI安全等领域开展深入拓展与优化，持续护航软件产业的安全可持续发展，为实现真正的“自抗性供应链”铺设坚实的理论与技术道路。

-End-

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全极客 知识分享者《【论文速读】| 用于软件供应链安全自主防御的Agentic AI：从溯源到漏洞缓解》