该论文针对AI包生态系统中日益严重的依赖混淆攻击，提出了一种基于密码学的分发溯源系统。依赖混淆攻击利用了软件分发过程中的结构性缺陷：一旦包被安装，没有任何密码学证据证明它来自哪个注册表。现有的防御措施均为配置驱动，且在配置错误时会静默失效。本文设计的系统包含三个核心组件：(1)密码学注册表身份，每个注册表持有Ed25519密钥对，为分发的每个工件签名；(2)双重签名模型，发布者在打包时签名，注册表在发布时副签；(3)权威命名空间绑定，消费者固定注册表指纹，解析器密码学地拒绝来自未授权注册表的工件。这三个组件形成三层防御，攻击者必须同时攻破所有层才能成功。论文对八个主要包生态系统（npm、Cargo、Hex.pm、PyPI、Go模块、Docker/OCI、NuGet、Maven）进行了对比分析，结果显示没有一个现有系统同时具备强制发布者签名、密码学注册表身份、强制注册表副签和消费者端密码学强制这四个特性。系统还扩展到AI生成溯源，将签名属性作为治理强制依赖解析的一部分。案例研究将分发溯源与一个三层运行时治理架构集成，创建了无密码学间隙的四阶段生命周期链。主要贡献在于提供了针对依赖混淆的结构化防御方案，不依赖配置，而是通过密码学机制根除攻击面。适合安全工程师、软件供应链安全研究人员、包管理器开发者阅读。