2025 年网络安全领域迎来范式转移,攻击焦点直指 AI 基础设施与软件供应链,传统防御体系面临严峻挑战。年度漏洞总量呈波动上升趋势,月均发现 4283 个漏洞,12 月达 5579 个年度峰值,环比增长 68.55%。漏洞严重程度上,中危占比 46.29%、高危 34.82%,二者合计超八成,构成主要风险来源。
漏洞类型方面,Web 应用安全问题突出,跨站点脚本攻击(XSS)、权限管理不当等占比领先,OWASP Top 10 相关风险合计超 50%。行业分布上,通用行业漏洞占比 87.5%,教育、医疗、零售业等民生领域漏洞集中,关键基础设施与金融业亦面临持续威胁。
全年攻击呈现五大关键趋势:AI 武器化与反制并行,大模型成为攻击新目标,自主防御技术同步发展;边缘设备与物联网失陷严重,成为内网渗透 “黄金入口”;软件供应链信任危机加剧,底层组件与分发渠道遭精准投毒;漏洞利用 “零日化” 提速,披露到攻击时间窗口大幅压缩;关键基础设施勒索常态化,攻击从数据窃取升级为物理控制权争夺。
月度重大事件频发:年初 DeepSeek 遭大规模 DDoS 攻击,标志 AI 基建化安全挑战;WhatsApp “零点击” 漏洞引发间谍软件风波;迪士尼遇 AI 工具供应链投毒;亚冬会遭国家级黑客底层渗透;React/Next.js 满分漏洞导致 Web 框架协议级坍塌;Aisuru 僵尸网络发起 29.7Tbps 创纪录 DDoS 攻击。
重点漏洞中,Langflow 未授权代码注入、SGLang 大模型推理框架 RCE、React 服务器组件漏洞等影响深远,部分漏洞 CVSS 评分达 10.0 满分。针对 CISO 的防护建议包括:构建模型级 AI 防御体系,重塑身份边界应对 “零点击” 威胁,深化供应链透明度,强化边缘与 OT 韧性,从预防转向恢复能力建设。
2025 年的网络安全对抗表明,传统 “围墙式” 防御已失效,组织需构建具备快速识别、自愈与进化能力的业务韧性,在 AI 驱动的智能化攻防时代实现动态安全防护。
- 手机:
- 13968960023
- 邮箱:
- kuyou@chaoshuntong.com
- 电话:
- 010-80480367
- 地址:
- 北京市怀柔区琉璃庙镇老公营村293号-20室
