AI漏洞成最大突破口!360發布2025網絡漏洞報告,解碼攻防新態勢
摘要: 81%中高危漏洞!360發布《2025年度網絡安全漏洞分析報告》
數字時代下,網絡攻擊迭代速度持續加快,漏洞威脅已滲透至政企運營全場景——從AI基礎設施到邊緣物聯網設備,從軟件供應鏈到核心業務系統,政企安全防線正遭遇前所未有的沖擊與挑戰。近日,360數字安全集團漏洞研究院正式發布《2025年度網絡安全漏洞分析報告》,依托全域漏洞監測數據、典型案例深度拆解,全面復盤2025年網絡安全漏洞整體態勢,精準提煉核心威脅趨勢,助力政企高效應對智能化攻防新格局,守住核心資產安全底線。
報告數據顯示,2025年全球網絡漏洞總量呈波動上升態勢,年度月均發現漏洞4283個,其中12月漏洞數量迎來爆發式增長,增至5579個,創下年度峰值,環比增幅達68.55%,清晰凸顯年末漏洞披露與網絡攻擊的集中性風險。
從漏洞嚴重等級分布來看,中高危漏洞已成為主導威脅,合計占比高達81.11%,其中中危漏洞占比46.29%(共計23788個),高危漏洞占比34.82%(共計17894個),嚴重漏洞占比16.35%(共計8405個),低危漏洞占比僅為2.54%,意味著政企單位面臨的高風險漏洞暴露面持續擴大,安全防護壓力進一步加劇。
漏洞類型分布上,Web應用領域安全隱患仍最為突出,跨站點腳本攻擊(XSS)、權限管理不當、SQL注入等傳統高危漏洞類型依舊占據主導地位。其中,XSS漏洞以8557個的數量占比19.98%,權限管理不當漏洞5755個、占比13.44%,兩類漏洞與“其他”類型漏洞合計占比超60%。
行業分布呈現“通用型漏洞主導、重點行業聚焦”的鮮明特征,通用行業漏洞占比達87.5%,教育、醫療、批發零售等民生領域成為漏洞高發區域,金融、電信、制造業等關鍵基礎設施行業也持續面臨嚴峻的漏洞安全壓力,整體漏洞風險呈現普遍性與針對性并存的復雜態勢。
值得政企重點關注的是,2025年AI技術本身的高危漏洞影響尤為巨大,已成為網絡攻擊的核心突破口。其中Langflow、SGLang開源推理框架、React/Next.js底層協議漏洞、宇樹機器人BLE漏洞等,輻射范圍覆蓋AI框架、底層協議及智能設備,直接威脅政企核心資產安全。對此,360憑借敏銳的漏洞監測能力與極速協同響應機制,成功在多次補丁窗口期實現漏洞全球“野外零利用”,有效捍衛了政企AI基礎設施安全,也彰顯了在AI安全領域的技術積淀。
結合2025年全年漏洞監測數據與典型攻擊案例,報告精準提煉出五大網絡安全核心趨勢,深刻剖析攻防對抗的全新走向,為政企單位提前預判威脅、科學布局防護體系提供重要決策參考:
趨勢一:AI武器化與反制并行,攻防進入“AI對壘AI”時代
當前,AI已從安全輔助工具升級為攻防對抗核心引擎。從攻擊側來看,生成式AI大幅提升漏洞挖掘效率與利用代碼生成能力,大模型服務器、AI推理框架成為不法分子重點攻擊的高價值目標,AI Agent可實現自主漏洞探測、動態模擬攻防對抗;從防御側來看,AI自動化反制技術快速迭代,OpenAI基于GPT-5構建的自主修復Agent可實現漏洞毫秒級修復,倒逼政企傳統人工安全響應體系全面重構,智能化、自動化的攻防閉環已成為政企漏洞治理的核心方向。
趨勢二:邊緣設備與物聯網失陷加劇,傳統邊界防御失效
路由器、攝像頭、智能機器人等邊緣設備,因補丁更新滯后、安全監控體系薄弱,已成為不法分子滲透政企內網的“黃金入口”。2025年,邊緣設備受攻擊頻率較往年大幅攀升,思科邊緣設備、宇樹機器人等多款設備接連曝出高危漏洞,不法分子可通過這些漏洞實現內網深度滲透,甚至遠程控制物理生產系統,傳統內網隔離防御策略已難以適配當前安全需求,零信任架構轉型成為政企筑牢內網防線的迫切需求。
趨勢三:供應鏈信任危機凸顯,底層協議成為攻擊新靶點
軟件供應鏈“毛細血管”遭惡意毒化的風險持續加劇。從實際案例看,
2025 年末React/Next.js(CVE-2025-55182)滿分漏洞的爆發,標志著攻擊面已下沉至現代Web框架的底層協議。即便政企業務邏輯無瑕疵,底層通信機制也可能被不法分子惡意利用。此外,“Slopsquatting”AI垃圾包投毒、開源組件后門等新型供應鏈攻擊頻發,嚴重透支開源社區信任,開發者環境已成為不法分子實現內網滲透的“暗門”,推動軟件物料清單(SBOM)透明化治理,成為政企防范供應鏈安全風險的剛性需求。
趨勢四:漏洞利用“零日化”,攻擊速度壓縮至分鐘級
漏洞從披露到在野利用的時間窗口被極度壓縮,呈現“零日化”利用特征。Chrome V8引擎、Windows WebDAV客戶端等核心產品漏洞,在POC發布后立即被不法分子鎖定并利用。這種高速化攻擊不僅覆蓋傳統軟件領域,更已滲透至大模型與云原生組件,倒逼政企徹底放棄“按月修補”的傳統漏洞修復模式,轉向預測性威脅情報預警與自動化漏洞響應,提升漏洞處置效率。
趨勢五:關鍵基礎設施勒索常態化,破壞性大幅提升
勒索軟件攻擊已呈現向關鍵基礎設施領域聚焦的常態化態勢,教育、醫療、能源、制造業等重點行業成為攻擊重災區。當前勒索攻擊已從傳統“加密數據、雙重勒索”升級為“控制物理系統、破壞性勒索”,朝日啤酒生產線因網絡攻擊停擺等案例,充分凸顯此類攻擊對社會正常運轉的直接影響。關鍵基礎設施停機容忍度極低,不法分子借此施加高壓脅迫,政企核心資產安全防護面臨嚴峻考驗。
《2025年度網絡安全漏洞分析報告》的發布,既是360對全年漏洞態勢的系統復盤、對政企防護需求的精準回應,也印證了其布局AI安全、深耕實戰防護的前瞻性。未來,360將持續強化安全智能體實戰化迭代,深化“以模治模”研究應用,秉持“安全即服務”理念,為政企提供全生命周期安全保障,助力政企實現從“被動防御”向“主動免疫”的轉型,攜手守護數字安全未來。
態勢綜述:漏洞總量震蕩攀升,高危威脅集中爆發
報告數據顯示,2025年全球網絡漏洞總量呈波動上升態勢,年度月均發現漏洞4283個,其中12月漏洞數量迎來爆發式增長,增至5579個,創下年度峰值,環比增幅達68.55%,清晰凸顯年末漏洞披露與網絡攻擊的集中性風險。
漏洞總量月度趨勢圖
從漏洞嚴重等級分布來看,中高危漏洞已成為主導威脅,合計占比高達81.11%,其中中危漏洞占比46.29%(共計23788個),高危漏洞占比34.82%(共計17894個),嚴重漏洞占比16.35%(共計8405個),低危漏洞占比僅為2.54%,意味著政企單位面臨的高風險漏洞暴露面持續擴大,安全防護壓力進一步加劇。
漏洞嚴重性等級占比圖
漏洞類型分布上,Web應用領域安全隱患仍最為突出,跨站點腳本攻擊(XSS)、權限管理不當、SQL注入等傳統高危漏洞類型依舊占據主導地位。其中,XSS漏洞以8557個的數量占比19.98%,權限管理不當漏洞5755個、占比13.44%,兩類漏洞與“其他”類型漏洞合計占比超60%。
漏洞類型占比圖
行業分布呈現“通用型漏洞主導、重點行業聚焦”的鮮明特征,通用行業漏洞占比達87.5%,教育、醫療、批發零售等民生領域成為漏洞高發區域,金融、電信、制造業等關鍵基礎設施行業也持續面臨嚴峻的漏洞安全壓力,整體漏洞風險呈現普遍性與針對性并存的復雜態勢。
漏洞行業分布圖
值得政企重點關注的是,2025年AI技術本身的高危漏洞影響尤為巨大,已成為網絡攻擊的核心突破口。其中Langflow、SGLang開源推理框架、React/Next.js底層協議漏洞、宇樹機器人BLE漏洞等,輻射范圍覆蓋AI框架、底層協議及智能設備,直接威脅政企核心資產安全。對此,360憑借敏銳的漏洞監測能力與極速協同響應機制,成功在多次補丁窗口期實現漏洞全球“野外零利用”,有效捍衛了政企AI基礎設施安全,也彰顯了在AI安全領域的技術積淀。
關鍵趨勢:五大變革重塑攻防格局,安全挑戰迎來新維度
結合2025年全年漏洞監測數據與典型攻擊案例,報告精準提煉出五大網絡安全核心趨勢,深刻剖析攻防對抗的全新走向,為政企單位提前預判威脅、科學布局防護體系提供重要決策參考:
趨勢一:AI武器化與反制并行,攻防進入“AI對壘AI”時代
當前,AI已從安全輔助工具升級為攻防對抗核心引擎。從攻擊側來看,生成式AI大幅提升漏洞挖掘效率與利用代碼生成能力,大模型服務器、AI推理框架成為不法分子重點攻擊的高價值目標,AI Agent可實現自主漏洞探測、動態模擬攻防對抗;從防御側來看,AI自動化反制技術快速迭代,OpenAI基于GPT-5構建的自主修復Agent可實現漏洞毫秒級修復,倒逼政企傳統人工安全響應體系全面重構,智能化、自動化的攻防閉環已成為政企漏洞治理的核心方向。
趨勢二:邊緣設備與物聯網失陷加劇,傳統邊界防御失效
路由器、攝像頭、智能機器人等邊緣設備,因補丁更新滯后、安全監控體系薄弱,已成為不法分子滲透政企內網的“黃金入口”。2025年,邊緣設備受攻擊頻率較往年大幅攀升,思科邊緣設備、宇樹機器人等多款設備接連曝出高危漏洞,不法分子可通過這些漏洞實現內網深度滲透,甚至遠程控制物理生產系統,傳統內網隔離防御策略已難以適配當前安全需求,零信任架構轉型成為政企筑牢內網防線的迫切需求。
趨勢三:供應鏈信任危機凸顯,底層協議成為攻擊新靶點
軟件供應鏈“毛細血管”遭惡意毒化的風險持續加劇。從實際案例看,
2025 年末React/Next.js(CVE-2025-55182)滿分漏洞的爆發,標志著攻擊面已下沉至現代Web框架的底層協議。即便政企業務邏輯無瑕疵,底層通信機制也可能被不法分子惡意利用。此外,“Slopsquatting”AI垃圾包投毒、開源組件后門等新型供應鏈攻擊頻發,嚴重透支開源社區信任,開發者環境已成為不法分子實現內網滲透的“暗門”,推動軟件物料清單(SBOM)透明化治理,成為政企防范供應鏈安全風險的剛性需求。
趨勢四:漏洞利用“零日化”,攻擊速度壓縮至分鐘級
漏洞從披露到在野利用的時間窗口被極度壓縮,呈現“零日化”利用特征。Chrome V8引擎、Windows WebDAV客戶端等核心產品漏洞,在POC發布后立即被不法分子鎖定并利用。這種高速化攻擊不僅覆蓋傳統軟件領域,更已滲透至大模型與云原生組件,倒逼政企徹底放棄“按月修補”的傳統漏洞修復模式,轉向預測性威脅情報預警與自動化漏洞響應,提升漏洞處置效率。
趨勢五:關鍵基礎設施勒索常態化,破壞性大幅提升
勒索軟件攻擊已呈現向關鍵基礎設施領域聚焦的常態化態勢,教育、醫療、能源、制造業等重點行業成為攻擊重災區。當前勒索攻擊已從傳統“加密數據、雙重勒索”升級為“控制物理系統、破壞性勒索”,朝日啤酒生產線因網絡攻擊停擺等案例,充分凸顯此類攻擊對社會正常運轉的直接影響。關鍵基礎設施停機容忍度極低,不法分子借此施加高壓脅迫,政企核心資產安全防護面臨嚴峻考驗。
強化智能體技術,助力政企構建全域安全韌性
面對2025年復雜嚴峻的網絡安全漏洞態勢,尤其是AI技術帶來的新型安全挑戰,政企單位需立足全域防護理念,摒棄碎片化防護模式,構建全方位、一體化的安全防護體系,提升自身安全韌性,從容應對智能化攻防時代的各類風險,為核心業務安全保駕護航。《2025年度網絡安全漏洞分析報告》的發布,既是360對全年漏洞態勢的系統復盤、對政企防護需求的精準回應,也印證了其布局AI安全、深耕實戰防護的前瞻性。未來,360將持續強化安全智能體實戰化迭代,深化“以模治模”研究應用,秉持“安全即服務”理念,為政企提供全生命周期安全保障,助力政企實現從“被動防御”向“主動免疫”的轉型,攜手守護數字安全未來。