Softver koji pogoni AI izložen je istim rizicima kao i sav drugi softver

Poslovanje ReversingLabsa u 2025.-oj ocijenio bih kao stabilno i u znaku rasta. Nastavili smo jačati naš razvojni centar u Zagrebu te produktne i marketinške funkcije u SAD-u. Ukupno imamo više od 350 zaposlenih, i još otvorenih pozicija. Bili smo aktivni sudionici glavnih konferencija sigurnosne branše, primarno u SAD-u, ali i u Velikoj Britaniji i drugdje, uz daljnju afirmaciju Spectre Assure kao jednog od vodećih proizvoda u još uvijek relativno novom području sigurnosti lanca nabave softvera (engl. software supply chain security, SSCS).

Spectra Assure tako je uvrštena u Gartnerov tržišni vodič za sigurnost lanca nabave softvera za 2025.-tu. Iako se Gartner i ranije bavio našom ekspertizom, ovdje se radi o prvom dokumentu u kojem se ta utjecajna analitička kuća za tehnologiju bavi specifično sigurnošću lanca opskrbe softverom, u kojem je ReversingLabs jedan od globalnih pionira. Tim će se područjem analitičari detaljnije baviti i kroz 2026.-tu. Ohrabruje što se već sada prepoznaje da naša izvorna tehnologija omogućuje duboku razinu uvida u softverske pakete na binarnoj razini. Time omogućujemo kompanijama i programerima da na vrijeme otkriju prijetnje i probleme u otvorenom, vlastitom i komercijalnom kodu, i to prije nego što izdaju ili implementiraju softver.

Uz to, Spectra Assure je lani osvojila nagradu Global InfoSec Award kao najnaprednije rješenje u kategoriji sigurnosti lanca nabave softvera u izboru časopisa Cyber Defense. Dobitnike objavljuju uoči konferencije RSA u San Franciscu, središnjeg okupljanja sigurnosne branše gdje smo redovito i izlagači. Također, uvrštena je u kataloge američkog Ministarstva obrane i Glavnog ureda za digitalizaciju i umjetnu inteligenciju, s oznakom Awardable. To je znak da se radi o prethodno dobro provjerenom proizvodu koji udovoljava uvjetima za implementaciju u ministarstva i agencije američke Vlade.

Shai-hulud, nikad prije viđen oblik napada na otvoreni kod

Tijekom 2025.-te su zabilježeni novi oblici napada na open source, a zlonamjerni akteri su napadali i proces razvoja AI aplikacija. U rujnu smo u repozitoriju npm otkrili i interpretirali jedan posve novi tip napada: samoumnažajućeg crva nazvanog Shai-hulud koji se proširio na stotine paketa u npm-u i na tisuće JavaScript repozitorija. Takvo što do tada nije viđeno. Ostao je u središtu pažnje do kraja godine i početkom ove, i sigurno će biti predmet proučavanja i dalje. Također, naši stručnjaci su otkrili kampanju u kojoj su napadači ubacili zlonamjerni kod u modele strojnog učenja dostupne na popularnoj open source platformi Hugging Face. Kao i u 2024.-toj, mnoge maliciozne kampanje lani su bile usmjerene prema programerima i aplikacijama u području kriptovaluta.

Akt o kibernetičkoj otpornosti Europske Unije obvezuje proizvođače softvera da sačine i održavaju SBOM, popis softverskih komponenti koji se koristi kao jamstvo ispravnosti i sigurnosti softvera. No, kako softver postaje sve inteligentniji i povezaniji, organizacije moraju gledati i dalje od tradicionalnih, statičnih popisa, koji često ne daju uvid u sve vrste rizika. Spectra Assure generira bitno prošireni SBOM, koji smo nazvali SAFE izvještaj. Osim što se iz njega vidi sadrži li neki softver zloćudne komponente, ranjivosti, curenje tajni, te je li neovlašteno mijenjan, SAFE izvještaj sadrži i popis kriptografskih komponenti, popis SaaS komponenti te popis komponenti strojnog učenja, što je prvi takav popis u industriji za potpuno kompilirani komercijalni softver. To i proizvođačima i kupcima softvera pruža razinu uvida kakvu ne mogu dobiti kroz tradicionalna rješenja.

U organizacijskom smislu, važan događaj u ReversingLabsu u 2025.-oj svakako je dolazak Matta Gydea na mjesto glavnog direktora za prihode (Chief Revenue Officer), što smo objavili u studenom. Kao pojačanje za našu iduću etapu rasta, zadužen je za globalnu prodaju, partnerstva i marketinšku strategiju. Dokazani veteran kibernetičke branše i managed services industrije, Matt je u proteklih 25 godina vodio poslovne procese i transformacije na velikoj skali. Mislim da je dovoljno navesti da je u NTT Security ujedinio osam kupljenih sigurnosnih kompanija u jedinstvenu globalnu platformu vrijednu dvije milijarde dolara.

Općenito, u 2025.-toj su rasli zahtjevi za transparentnošću i sigurnošću softvera. S time je povezan razvoj svijesti o važnosti njegovog atestiranja, odnosno opreza i temeljitih provjera. Ne samo u procesu nabave, dakle prije nego što softver kupite, već i nakon uvođenja u organizaciju.

Komercijalni softver i dalje je razmjerno manje u fokusu. Više se govori o rizicima vezanim uz otvoreni kod, i različite modele napada koji se plasiraju kroza nj. No, i komercijalni softver je itekako ranjiv; proizvodi renomiranih tvrtki napadani su i hakirani u 2025.-oj. Ipak, pažnja se postupno usmjerava i na identifikaciju i uklanjanje malwarea i neovlaštenog mijenjanja u najvećoj i nedovoljno adresiranoj površini za napad na poduzeća danas, a to je komercijalni softver trećih strana. Ta su kretanja utjecala na potražnju za našom ekspertizom i na našu vidljivost na tržištu. Također nas usmjeravaju u razvoju proizvoda.

Očekujemo porast malicioznih kampanja prema AI lancu nabave softvera

Ako govorimo o našim očekivanjima za tekuću godinu, utjecaj geopolitičkih zbivanja i napetosti na tvrtke i poslovnu zajednicu mogao bi u 2026.-toj biti veći nego lani.

Generativna umjetna inteligencija svakoga dana može sve više. Kao i kod drugih novih tehnologija, sigurnosna pitanja se postavljaju tek kasnije, nakon što se već dogodi inovacija. Softver koji pogoni umjetnu inteligenciju izložen je istim rizicima kao i sav drugi softver, ali o tome se još uvijek malo govori. Očekujemo da će kroz ovu godinu sto postupno mijenjati.

Pripremamo se za porast malicioznih kampanja prema AI lancu nabave softvera. Činjenica je da je pisanje koda uz pomoć AI-ja sve popularnije, što otvara prostor za nove zloupotrebe. Pisanje aplikacija je dostupno sve širem krugu ljudi, a proces nastanka koda je black box za sve veći dio onih koji ga pišu. Razumijevanje koda, njegove logike i međuovisnosti moglo bi se drastično smanjivati. Što to znači za sigurnost i kako ćemo u novoj konstelaciji rješavati probleme zaštite softvera? Po meni, važno pitanje kojim će se branša baviti u razdoblju pred nama.

Spectra Assure Community i dalje besplatna za programere

U 2026.-toj, prioritet ReversingLabsa je daljnji razvoj produkata temeljenih na našoj izvornoj tehnologiji i domenskom znanju. To je fokus naše inženjerske organizacije, ali i produktnih i marketinških funkcija. Spectra Assure ima mnoge karakteristike koje je kvalificiraju da bude jedno od vodećih rješenja u novom području sigurnosti lanca nabave softvera. Za to je već dobila niz potvrda tržišta i struke, no mnogo je još posla pred nama.

Važno je reći i da Spectra Assure Community ostaje besplatno dostupna programerima širom svijeta na domeni secure.software. Radi se o servisu koji funkcionira kao jednostavna tražilica, a daje najnovije rezultate naših sigurnosnih analiza za više od 7 milijuna softverskih paketa u open source repozitorijima npm, PyPI, RubyGems i NuGet. Programeri mogu ovdje provjeriti niz njihovih sigurnosnih parametara - prije nego što ih ugrade u kod.

I u ovoj godini nastavljamo promptno objavljivati rezultate naših istraživanja, i informirati branšu o novim tipovima malwarea, napada i rizika u lancu nabave softvera. Nije rijetkost da ReversingLabs, zahvaljujući izvornoj tehnologiji i znanjima, među prvima u svijetu otkrije i interpretira neke tipove napada, i da o njima među prvima i izvijesti. Uskoro ćemo objaviti i redoviti godišnji izvještaj o stanju sigurnosti lanca nabave softvera.