Rapporter
Manifest-rapport afslører AI-beredskabskløft, da virksomheders sikkerhedshold kæmper med synlighed og styring

En ny rapport fra Manifest, “Beyond the Black Box: How AI Is Forcing a Rethink of the Software Supply Chain,” afslører en voksende diskonnektion mellem ledelseskonfidence og operationel virkelighed, når det kommer til AI-sikkerhedsberedskab. Baseret på en undersøgelse af mere end 300 sikkerhedsledere og -praktikere i USA og EMEA, finder studiet, at mens de fleste ledere mener, deres organisationer er forberedt på AI-drevne forsyningskæderisici, rapporterer sikkerhedshold på jorden betydelige styringslækager, skygge-AI-brug og begrænset synlighed i komponenterne, der driver moderne software-systemer.
Fundene fremhæver en central spænding, der opstår i virksomhedens teknologi: AI-adopteringshastigheden accelererer hurtigt over produkter og arbejdsgange, men mekanismerne, der kræves for at spore, styre og sikre disse systemer, holder ikke trit.
AI genskaber forsyningskædesikkerhedsproblemer i nye former
I mere end et årti har organisationer arbejdet på at forbedre software-forsyningskædesikkerheden ved at spore afhængigheder, overvåge sårbarheder og etablere styringsrammer. Manifest-rapporten argumenterer imidlertid for, at AI effektivt genindfører mange af de samme risici – nu spredt over modeller, datasæt, agenter og tredjeparts-AI-tjenester.
AI-komponenter opererer ofte som uigennemsigtige systemer. Virksomheder kan ofte ikke fuldt ud forklare, hvordan modellerne er trænet, hvilke datasæt der er brugt, eller hvilke eksterne tjenester der er integreret i deres applikationer. Som resultat står organisationer over for en ny klasse af forsyningskæderisici: software-systemer, som de ikke kan pålideligt inspicere, verificere eller overvåge over tid.
Rapporten fremhæver, at synligheden allerede er i fald. 63% af organisationerne rapporterer om tilstedeværelsen af “skygge-AI”, der refererer til AI-værktøjer eller -integrationer, der er adopteret uden oversigt fra sikkerheds-, indkøbs- eller risikostyringsteams.
Daniel Bardenstein, CEO og medstifter af Manifest, siger, at data afslører en vækst i kløften mellem ledelseskonfidence og operationel virkelighed: “Ledelseskonfidence i AI-beredskab matcher ikke, hvad AppSec-teams kæmper med dag for dag. Ledere mener, at styring er på plads, men praktikere ser uestyret AI-brug, uklar ejerskab og blinde pletter i, hvad der faktisk kører over produkter og leverandører.”
Ledere siger, de er klar, sikkerhedshold er uenige
En af de mest slående fund i rapporten er divergensen mellem ledelseskonfidence og frontlinesikkerhedsbedømmelser.
Næsten 80% af sikkerhedsledere siger, deres organisationer har modne AI-sikkerhedspraksis, men kun omkring 40% af application security (AppSec)-teams er enige om denne vurdering.
AppSec-teams er ofte de første til at opleve operationelle fejl i styringsrammer, fordi de interagerer direkte med software-forsyningskæden. Disse praktikere rapporterer om at møde høje volumener af alerts, uklar ejerskab af sikkerhedsansvar og fragmenteret værktøjsudstyr over udviklings- og sikkerhedsomgivelser.
Ifølge rapporten 47% af respondenterna identificerer silo-teams og uklar ejerskab som det største hindring for at forbedre software-forsyningskædesikkerheden.
Resultatet er en omgang, hvor organisationer måske mener, de har stærke sikkerhedsprogrammer, mens kritiske huller forbliver i synlighed, ansvar og operationel koordination.
SBOM-paradokset: Genereret men sjældent brugt
En anden vigtig indsigt fra studiet omhandler Software Bills of Materials (SBOM) – lagerlister over software-komponenter designet til at hjælpe organisationer med at spore afhængigheder og sårbarheder.
SBOM-adopteringshastigheden er øget betydeligt i de seneste år, især på grund af regulatorisk pres og forsyningskædeangreb. Manifest-forskningen foreslår imidlertid, at mange organisationer behandler SBOM-generering som en overholdelsesafkrydsningsfelt i stedet for en operationel kapacitet.
Rapporten fremhæver flere nøglestatistikker:
- 60% af organisationerne genererer SBOM
- Flere end halvdelen af dem bruger dem ikke aktivt i praksis
- 79,6% bruger Software Composition Analysis (SCA)-værktøjer
- SBOM-operationel brug forbliver langt lavere på 41,8%
Uden central indtag, normalisering, politikgennemførelse og kontinuerlig overvågning bliver SBOM’er statiske artefakter i stedet for aktive risikostyringsværktøjer.
Sikkerhedsteams udtrykker også skepsis over for traditionelle Software Composition Analysis-platforme. 56,3% af respondenterna siger, at SCA-værktøjer skaber støj eller forsinker udviklingsteams, mens 46,4% tvivler på, om disse værktøjer reducerer virkelige software-risici.
Denne diskonnektion illustrerer en bredere modenhedsudfordring: organisationer kan generere store mængder sikkerhedsdata, men mangler ofte den operationelle infrastruktur til at oversætte disse signaler til håndterbare risikoreduktioner.
Transparensdata forbedrer sikkerhed og implementeringshastighed
Trods disse udfordringer viser forskningen, at organisationer, der opnår meningsfuld transparens over deres software-forsyningskæder, opnår målbare fordele.
Næsten halvdelen af respondenterna (49,4%) rapporterer om at modtage verificerbar transparensdata – såsom SBOM, herkomstoptegnelser eller signede binærer – fra leverandører under indkøb.
Når denne information er pålidelig og operationel, er effekten betydelig:
- 64% rapporterer om hurtigere implementering af nye teknologier
- 61,6% rapporterer om hurtigere løsning af sikkerhedsproblemer
- 15,5% rapporterer om reduceret downtime
Organisationer, der mangler sådan transparens, betaler, hvad rapporten beskriver som en “transparensafgift” – den ekstra tid, omkostning og risiko, der er forbundet med manuel undersøgelse af uigennemsigtige software-komponenter.
Højt regulerede brancher illustrerer denne udfordring. Finans- og sundhedsorganisationer rapporterer noget af de laveste rater af modtagelse af verificerbar transparensdata fra leverandører – 14,3% og 19,5% henholdsvis – trods, at de har den største behov for det.
AI-adopteringshastighed accelererer over virksomheder
Studiet fremhæver også, hvor hurtigt AI er blevet integreret over virksomhedens software-økosystemer.
Virtuelt ingen organisationer, der deltog i undersøgelsen, rapporterede om at undgå AI helt. I stedet eksperimenterer virksomheder over en række tilgange:
- 80,2% bruger godkendte kommercielle AI-modeller internt
- 79,9% bruger bredt kommercielle værktøjer såsom ChatGPT eller Cursor
- 56,7% træner åbne modeller på interne data
- 29,3% bygger brugerdefinerede AI-modeller fra bunden
Finans- og teknologivirksomheder er førende i adopteringshastigheden. Næsten 90% af finansvirksomhederne rapporterer om godkendte interne AI-modeller, og 46,9% bygger brugerdefinerede modeller fra bunden, langt over det samlede gennemsnit.
Disse brancher har stærke incitamenter til at flytte hurtigt. I finansvirksomheder påvirker AI direkte svindelforebyggelse, risikostyring og indtjening. I teknologivirksomheder sidder AI stadig mere centralt i produkttilbud og platformkapaciteter.
Men den hurtige adopteringshastighed overstiger ofte styringen.
Shadow AI bliver et udbredt problem
Forskningen bekræfter, at shadow AI – værktøjer eller modeller, der er deployet uden formel oversigt – allerede er udbredt.
Kun 34,8% af respondenterna rapporterer om at have ingen skygge-AI i deres organisationer, mens resten erkender mindst nogen uestyret AI-brug.
Dette mønster spejler tidligere bølger af “skygge-IT”, hvor medarbejdere adopterede cloud-tjenester eller SaaS-værktøjer uden for officielle indkøbsprocesser.
Regionale forskelle er også på vej. Organisationer i EMEA rapporterer højere rater af at operere uden skygge-AI (45,7%), sandsynligvis på grund af stærkere regulatoriske rammer og strengere indkøbsprocesser i forhold til andre regioner.
Alligevel advarer rapporten om, at traditionelle sikkerhedsværktøjer aldrig var designet til at spore AI-modeller, datasæt og -tjenester over distribuerede udviklingsmiljøer.
Licensing- og juridiske risici er et andet større blindt punkt
Ud over teknisk styring fremhæver studiet også juridiske og overholdelsesudfordringer i forbindelse med AI-adopteringshastighed.
At forstå licensbetingelserne, ejendomsrettighederne og brugsbegrænsningerne for AI-modeller og -datasæt er svært for mange organisationer. Undersøgelsen fandt:
- 93% af respondenterna siger, at deres organisation har brug for forbedring i forvaltningen af AI-licens og IP-forpligtelser
- 54,6% er stærkt enige om, at dette er en stor udfordring
Disse risici bliver særligt akut, når organisationer træner åbne modeller på interne data eller kombinerer proprietære datasæt med tredjeparts-AI-komponenter.
Uden stærkere styringsrammer kan virksomheder utilsigtet introducere licensovertrædelser eller overholdelseseksponering i produktionsystemer.
Operationel alignment kan være den virkelige udfordring
Mens sikkerhedsværktøjer fortsætter med at udvikle sig, foreslår rapporten, at den største barriere for effektiv AI-forsyningskædesikkerhed måske ikke er teknologien selv.
I stedet kæmper mange organisationer med fragmenteret ejerskab, afkoblet arbejdsgange og manglen på en fælles system af registrering for software- og AI-komponenter.
De mest hyppigt citerede begrænsninger omfatter:
- 47,3% organisationsbegrænsninger
- 36,3% utilstrækkelige færdigheder
- 35,7% budgetbegrænsninger
- 34,8% manglende ledelsesforståelse
- 32,6% personalemangel
Disse operationelle huller gør det svært for sikkerhedssignaler at oversætte til konsekvent politikgennemførelse eller målbar risikoreduktion.
Hvorfor AI-forsyningskædesikkerhed bliver en strategisk prioritet
Da AI bliver integreret i hvert lag af virksomhedens software, udvider konceptet om software-forsyningskæden til at omfatte modeller, træningsdatasæt, slutnings-tjenester og tredjeparts-AI-platforme.
Manifest-rapporten slutter, at organisationer må flytte ud over punkt-til-punkt synlighedsværktøjer og bygge kontinuerlig, operationel kontrol over deres AI-forsyningskæder.
Dette inkluderer:
- At spore alle AI-modeller, der bruges over udviklingsmiljøer
- At verificere herkomsten og licensen for træningsdata
- At gennemføre styringspolitik under udvikling og implementering
- At opretholde kontinuerlige lagerlister lignende SBOM’er for AI-komponenter
Uden disse mekanismer vil kløften mellem AI-adopteringshastighed og AI-styring fortsætte med at udvide sig.
Og som studiet gør klart, eksisterer denne kløft allerede i mange virksomheder i dag.
data Gennemførelse af styringspolitik under udvikling og implementering Vedligeholdelse af kontinuerlige lagerlister lignende SBOM’er for AI-komponenter Uden disse mekanismer vil kløften mellem AI-adopteringshastighed og AI-styring fortsætte med at udvide sig. Og som studiet gør klart, eksisterer denne kløft allerede i mange virksomheder i dag.












