ku酷游官网-ku酷游网络股份有限公司

　　报告开篇概述了2025年漏洞和攻击的总体趋势，从Web应用、操作系统、网络设备、人工智能、工控系统、云计算平台多个角度分析了漏洞分布和攻击态势。本报告试图以观察者的视角剖析2025年网络安全领域新增漏洞情况以及演变趋势，希望为各行业网络安全建设者提供参考和帮助。

　　2025 年新华三安全攻防实验室漏洞知识库收录的漏洞总数为48482条，比2024年（40050条）增长21.1%，为历史之最。其中超危漏洞7239条，高危漏洞16751条。

　　超危与高危漏洞占比49.5%，如图所示，高危以上漏洞比2024年增长1.7%。2017年至2025年漏洞总体呈逐年增长趋势，每年增加数量超过10%。

　　安全漏洞数量持续增长不仅会导致数据泄露、系统故障、业务中断等直接损失，还会增加网络攻击的频率与复杂性，使企业与组织面临更高的安全风险、声誉损害和合规成本，给整个网络生态的稳定性和安全性带来严重挑战。2025年，针对各个领域网络资产的攻击进一步加剧。

　　将2025年漏洞按照影响对象进行统计，Web应用类漏洞占比持续占据第一位，达到43%，其次是应用软件、操作系统漏洞，分别占比24%、17%。操作系统漏洞数量与去年增长26.1%，增幅较大；WEB应用漏洞数量比去年增长17%，云计算、工控相比去年漏洞数量有所增长。

　　排名前三的漏洞为跨站脚本、权限许可和访问控制、SQL注入，分别占比23.7%，12.8%和10.9%。SQL注入占比较2024年有小幅上涨，SQL注入是由于Web应用程序未对用户输入进行充分的验证、过滤或转义，导致攻击者能够插入并执行恶意的SQL代码，从而窃取、篡改或破坏数据库中的数据。注入类漏洞，如代码注入、SQL注入、命令注入共占比17.8%，仍然是最突出的漏洞类型。

　　针对Web应用的攻击依然是互联网的主要威胁来源之一，更多的流量入口和更易调用的方式在提高应用开发效率的同时也带来了更复杂的安全问题。2025年新华三漏洞知识库收录Web应用漏洞20675条，较2024年（17665条）增长17%。

　　黑客普遍会利用Web应用漏洞对网络进行渗透，以达到控制服务器、进入内网、获取大量有价值信息的目的。可以看出2025年Web应用漏洞主要集中在跨站脚本、SQL注入、权限许可和访问控制问题三种类型，占据全部漏洞类型的68.4%。跨站脚本与注入是Web应用最常见的漏洞，利用跨站脚本漏洞，黑客可以对受害用户进行Cookie窃取、会话劫持、钓鱼欺骗等各种攻击；利用注入漏洞，黑客可能窃取、更改、删除用户数据，或者执行系统命令等，以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。权限许可和访问控制相比2024年增幅降低，权限许可与访问控制漏洞是指由于系统或应用程序在权限分配、访问控制策略制定及实施等方面存在缺陷，导致攻击者能够绕过预期的权限限制，非法获取或提升权限，进而访问未授权资源、执行未授权操作。

　　操作系统是构成网络信息系统的核心关键组件，其安全可靠程度决定了计算机系统的安全性和可靠性。操作系统作为传统的攻击目标，其漏洞占据着重要位置。2025年新华三漏洞知识库收录的操作系统漏洞总数为8265条，较2024年总数（6556条）增长26.1%。

　　操作系统是应用软件和服务运行的公共平台，其安全漏洞是网络安全的主要隐患和风险。对于操作系统，黑客最关注的是获得较高控制权限，进而为实施更深层次的网络渗透提供更大的便利和可能。2025年操作系统权限许可和访问控制问题突出，占比16%，是排名第一的漏洞，同时拒绝服务、代码执行、缓冲区错误等漏洞也是操作系统较为突出的问题。

　　路由器、防火墙、交换机等设备作为关键信息基础设施，其自身安全性已成为世界各国密切关注的重点。网络设备存在软硬件漏洞可能导致设备被攻击入侵，进而导致设备数据和用户信息泄露、设备被控、感染僵尸木马程序、被用作跳板攻击内网主机和其他信息基础设施等安全风险和问题。2025年新华三漏洞知识库共收录网络设备类漏洞2981条，与2024年基本持平，影响面仍然较大。

　　随着各类新兴技术的发展，企业IT系统之间的相互连接使用了更多的网络设备，这为网络物理系统的安全带来了更多风险，使得企业暴露在攻击者眼中的攻击面大幅增加。据统计，2025年缓冲区错误漏洞占比最高，达到35%。其次是权限许可和访问控制问题、命令注入，占比分别为7%和6%。

　　在数字中国、中国制造2025等战略的不断推进下，和物联网、云计算、大数据、5G等新一代信息技术的融合发展，工业生产网络逐渐与办公网、互联网以及第三方网络进行互联互通，使得原本封闭可信的工业生产环境被打破，面临了病毒、木马、黑客、敌对势力等威胁。针对工业控制系统的各种网络攻击事件逐步升级，尤其在电力、燃气、化工、石油、铁路、新能源、核应用等相关领域的关键网络一直都是全球攻击者的重要目标。2025年新华三漏洞知识库收录的工控漏洞总数为864条，总数比2024年（763条）上升13.2%。

　　工业控制系统作为工业生产运行的基础核心，其网络安全事关企业运营和生产安全、事关产业链供应链安全稳定、事关经济社会运行和国家安全。工业设备的高危漏洞、后门、病毒、高级持续性威胁以及无线技术应用带来的风险，给工业控制系统的安全防护带来巨大挑战。根据统计，2025年缓冲区溢出、信息泄露、SQL注入等是工控系统最为突出的问题。

　　在国家实施创新驱动发展战略、推动新一代人工智能发展规划的背景下，随着大数据、云计算、物联网和5G等技术的深度融合，人工智能技术已广泛应用于各行各业。与此同时，人工智能系统与互联网、公共服务网络及第三方平台的连接日益紧密，导致原本相对封闭的研发与应用环境逐渐开放，面临数据篡改、模型窃取、对抗样本攻击、恶意算法滥用等新型威胁。针对人工智能系统的安全事件日益增多，尤其在自动驾驶、金融风控、智慧医疗、国家安全、公共决策等重要领域，其核心模型与关键数据已成为全球攻击者的重点目标。2025年新华三漏洞知识库收录的人工智能漏洞总数为608条。

　　人工智能系统作为数字经济时代的核心驱动与决策中枢，其安全性不仅关乎企业竞争力与业务连续性，更关系到关键基础设施的可靠运行、社会秩序的稳定维护乃至国家整体安全。模型自身的脆弱性、训练数据的污染、对抗性攻击的渗透、算法歧视与滥用以及开源框架和供应链引入的风险，正在给人工智能系统的可靠性与可控性带来全新维度的安全挑战。根据统计，2025年代码问题、信息泄露、授权问题等是人工智能最为突出的问题。

　　在当今快速发展的数字化时代，云计算技术已成为企业现代化IT架构的关键组成部分。然而，随着其普及和应用，安全问题也愈发引人关注。2025年，云计算安全领域取得了重大突破，通过一系列安全管控手段，有效降低了高危漏洞和数据泄露的风险。2025年新华三漏洞知识库收录云计算平台漏洞1258条，比2024年（总数1078条）增长14.3%。

　　在云计算环境中，安全风险主要来自于以下几个方面：数据泄露、系统崩溃、服务中断、未经授权的访问等。数据泄露可能发生在数据的传输、存储和处理过程中，若被恶意利用，将导致严重的法律和财务风险。系统崩溃和服务中断则会影响云计算服务的可用性，对用户体验和业务连续性造成严重影响。根据2025年数据统计，云计算漏洞类型主要分布在权限许可和访问控制问题、敏感信息泄露、跨站脚本等，这几种类型总共占比49%。

　　2025 年，人工智能技术的爆发式应用在赋能千行百业、提升安全防护智能化的同时，也带来了前所未有的新挑战。基于AI的深度伪造、钓鱼攻击激增，AI降低了网络犯罪的门槛，使得攻击更加复杂、隐蔽和自动化。多代理AI系统的兴起，预示着未来网络攻防将进入自主智能体协同对抗的新阶段。与此同时，人工智能自身的数据安全、算法安全、内容安全风险也日益突出，大模型全生命周期的数据安全成为新的治理焦点。这要求我们必须构建包容审慎的新技术安全监管体系，推动人工智能从“能力优先”走向“能力与安全并重”。