澳洲企業領先全球採用自託管AI JFrog研究揭示數據主權意識

在人工智能快速發展的時代，澳洲企業正在採取更加審慎和主權導向的方法來部署AI技術。JFrog發布的最新研究顯示，澳洲在全球自託管AI使用方面處於領先地位，反映出本地機構對數據主權和軟件治理的高度重視。

全球領先的自託管AI採用率

這項調查涵蓋了八個國家的1,508名IT專業人士，其中澳洲有165名受訪者。研究發現，68%的澳洲機構自行託管AI模型，這一比例為全球最高。相比之下，其他受調查國家的採用率明顯較低。

此外，47%的澳洲機構使用自動控制措施來阻止未經批准的集成開發環境（IDE）擴展和MCP服務器，這表明澳洲企業在軟件開發流程中建立了強大的自動化治理機制。

JFrog亞太區高級副總裁Sunny Rao表示：「澳洲企業已經完成了大多數市場仍在努力爭取的事情——他們在開發者工具鏈中建立了自動化關卡，並將AI模型引入自己的基礎設施以實現主權控制。」

將AI模型保持在自主控制的基礎設施內，意味著澳洲機構能夠更好地控制數據處理方式和軟件治理流程。這種方法反映了對數據隱私、安全合規和降低外部依賴風險的戰略考量。

報告發布之際，軟件供應鏈攻擊正在從開源包擴展到AI模型、開發者工具和基於代理的系統。JFrog在2025年識別出171,592個惡意npm包，同比增長451%。此外，還發現了495個惡意AI模型和969個惡意AI代理技能。

報告還追踪了OpenVSX註冊表上的56個惡意擴展，該註冊表專注於AI的IDE使用。全球範圍內，2025年披露了超過48,000個新的 CVE（通用漏洞披露），增長了20%。

澳洲信號局（ASD）年度網絡威脅報告的數據顯示，澳洲企業面臨的網絡犯罪平均成本上升了50%，達到每起事件80,850澳元。供應鏈攻擊路徑被標記為不斷增長的風險。

這一趨勢凸顯了加強軟件供應鏈安全的緊迫性。隨著AI工具越來越深入地嵌入軟件開發中，攻擊面正在發生變化，企業需要適應新的威脅格局。

澳洲數據顯示，軟件開發工作流程中廣泛採用了自動化控制。超過一半的機構（53%）在五天內批准新的開源包，使澳洲成為亞太地區這一流程最快的國家。

這種速度與預先批准的包列表和自動化執行工具的使用密切相關，減少了人工批准的需求。這些數據表明，許多本地機構已將政策控制深度嵌入開發者環境和軟件交付管道中。

儘管取得了這些進展，報告也指出了控制措施較弱的領域。只有38%的澳洲機構採用了密鑰檢測，意味著大多數機構沒有主動掃描代碼庫中的暴露憑證、API密鑰或令牌。

這一問題至關重要，因為暴露的密鑰仍然是入侵系統的常見途徑。JFrog在2025年在公共存儲庫中發現了17,637個暴露的令牌，其中33%的AWS憑證和87%的Hugging Face令牌在發現時仍然有效。

調查發現，51%的澳洲安全團隊認為審查和加固AI生成的代碼是主要的時間負擔，這一比例為亞太地區最高。

同時，34%的澳洲開發者將AI建議的安全修復視為接近最終方案，僅經過快速審查就接受。這一現象揭示了AI輔助開發的速度與驗證代碼變更所需的審查之間的潛在不匹配。

Rao強調，隨著AI模型成為供應鏈依賴項，代理工具獲得對代碼庫和憑證的直接訪問權限，機構需要一個統一的事實來源，治理從進入管道到達達生產環境的每一個工件。

他說：「澳洲處於獨特強勢地位，因為最困難的部分——建立自動化執行的文化和基礎設施——已經完成。現在需要的是一個記錄系統，將這種紀律擴展到供應鏈的每一層：在AI模型和開源包到達管道之前進行策劃，自動掃描每個工件的暴露密鑰，使用上下文分析過濾CVE噪音，使團隊專注於真正重要的問題。」

Rao補充說，合規流程也需要與軟件治理系統更緊密地整合。「當治理是平台原生的而不是事後附加的，合規證據可以在幾分鐘內由系統生成，而不是團隊在壓力下花費數週時間組裝。這就是如何將澳洲的自動化優勢轉化為端到端保護的方法。」

澳洲在自託管AI方面的領先地位，為本地企業在AI時代的競爭中奠定了良好基礎。如何在保持這一優勢的同時，進一步完善安全控制和治理機制，將是未來發展的關鍵。