1) 開場：AI 進入企業後，風險「變快、變廣、變難防」（10 min）

• 稽核與法遵的痛點：他們要的不是“我們有做安全掃描”，而是“拿得出防禦與合規的證據”。
• AI 帶來的全新黑盒危機：

1. 哪個模型用在哪個系統？用了哪些開源套件與資料集？
2. 企业情境：哪些 AI 能用在客服、內部報表、授信輔助？（風險分級不同，不可混用）。

• AI 关联的恶意開源套件的攻击：當我們享受開源套件與 Hugging Face 模型帶來的便利時，我們其實正在把企業的大門向未知的「軟體供應鏈攻擊」敞開。

2) JFrog Curation：從源頭阻斷，建立開源與 AI 供應鏈的「免疫系統」（15 min）

• 痛點：傳統安全工具太慢了（往往是下載到開發者電腦、甚至進到 CI/CD 後才掃出問題，惡意腳本早已執行）。
• 目標：在企業的「大門口（Proxy 層）」就將惡意軟體與受毒害的 AI 資產直接攔截，不讓毒藥進入內部。
• 三大新興供應鏈攻擊與 JFrog 防禦機制：

1. 惡意 NPM 攻擊防禦：

• 防範 恶意 NPM 包的攻击 - Shai-hulud Attack
• 確保開發者執行 npm install 時，JFrog Curation 能即時阻斷帶有後門或未授權的套件。

2. 惡意大模型 (LLM / AI Model) 攻擊防禦：

• 從開源社群（如 Hugging Face）下載的模型極易被植入惡意代碼（例如常見的 Pickle 反序列化漏洞、神經網路權重後門）。
• JFrog Curation 可針對機器學習模型進行引入前的安全審查與攔截，確保模型架構本身無惡意 payload。

3. 惡意 MCP (Model Context Protocol) 攻擊防禦：

• 隨著 AI Agent（代理）興起，MCP 成為 AI 連接外部系統與資料的橋樑。惡意的 MCP Server 或外掛套件可能導致遠端代碼執行 (RCE) 或企業機敏資料外洩（Data Exfiltration）。
• 將 MCP 套件與依賴納入 Curation 審查，阻擋不受信任的來源，確保 AI 代理使用的工具鏈是絕對乾淨的。

3) Repository + AppTrust：把交付物集中，讓信任變成「可驗證證據」（10 min）

• 3.1 為什麼 Repository 是企業的信任中心（Trust Hub）？

• Git 管的是原始碼，但企業真正部署到生產環境的是：container images / npm packages / AI models / MCP tools（交付物）。
• 治理的核心原則：經過 Curation 過濾的**“可信交付物”**才能存入 Repository，並作為部署的唯一合法來源（Single Source of Truth）。

• 3.2 AppTrust 的核心：用證據鏈取代人治流程

• AppTrust 讓你面對稽核時，能用系統證據回答 3 個問題：

1. 從哪裡來（Provenance）：這個模型/套件是誰抓的？誰建置的？
2. 包含什麼（SBOM / 依賴）：這個 AI 應用底層包了哪些軟體物料清單？
3. 是否合規（Policy + Approval Evidence）：是否通過了安全掃描與授權放行？

• AppTrust + Repository 能做到：“清楚掌握哪個 AI 版本、在哪個廠/哪個服務上線、何時上線、出錯時可否一鍵回滾。”
• 小結：Repository 是交付的唯一來源，AppTrust 讓每個交付物（包含 AI 模型）都帶著不可篡改的可信證據。

聽眾收穫：

• 了解 AI 供應鏈風險為什麼更快、更難追
• 了解恶意 NPM，恶意大模型和恶意 MCP 的攻击方法
• 知道怎麼用 Curation 和AppTrust 讓 Repository 變成「信任中心」
• 帶走一套 可落地的閉環治理架構（Catalog → Repo → Trust → Runtime）

本工作坊以實作方式示範如何建置 npm 專案、將 build-info 發佈到 Artifactory，並透過 JFrog Curation 阻擋「惡意版本」套件（假設 axios@1.7.2 為惡意版本）下載。學員將使用提供的 automation 腳本建立所需倉庫，完成 JFrog CLI 的 npm 設定，執行 install／publish，並在 CLI 與 UI 中驗證阻擋行為與排查方式。