洞见AI时代漏洞攻防,天融信发布《2025年网络空间安全漏洞态势分析研究报告》
2025年,网络安全领域迎来关键变革,AI技术深度融入攻击手段,漏洞利用速度与规模大幅提升,公开漏洞短时间内即遭恶意滥用,防御窗口期被压缩至小时级。
此外,AI组件普及催生大量相关安全漏洞,大模型开发框架风险逐步凸显,智能体技术推动攻防形态转变,自动化对抗成为常态。同时,物联网设备安全隐患突出,供应链薄弱环节与关键基础设施勒索威胁交织,漏洞已从技术问题升级为安全实践的核心博弈点。
CNVD公开数据显示,2024年共披露漏洞18782个,2025年共披露漏洞19576个,同比增加4.23%。其中,低危漏洞占5.65%,中危漏洞占45.47%,高危漏洞占48.88%。结合AI武器化、漏洞利用“零日化”趋势,漏洞治理已从技术层面升级为关乎企业生存的战略要务。
天融信(002212)正式发布《2025年网络空间安全漏洞态势分析研究报告》(简称“报告”)。报告从「2025年漏洞趋势概况」、「2025年度TOP10高危漏洞」、「2025年漏洞技术趋势」、「2026年漏洞技术走向」四大部分,探究漏洞威胁的现状及发展趋势,为广大企事业客户、安全运维人员等应对漏洞威胁提供指导。
01
2025年漏洞趋势概况
漏洞的统计与研判是评估网络安全情况的一个重要指标,天融信阿尔法实验室参考国家漏洞数据库数据,从「漏洞数量趋势」、「漏洞增长趋势」、「漏洞威胁级别统计」、「漏洞影响对象类型统计」、「漏洞产生原因统计」、「漏洞引发威胁统计」、「行业漏洞收录统计」、「漏洞修复情况统计」对2025年披露的漏洞进行了全方位的统计分析。
数据显示,低危漏洞比例提升至5.65%,中危和高危漏洞仍占据较大比例,分别为45.47%和48.88%,且Web应用和应用程序是主要攻击目标。设计错误和输入验证问题是漏洞产生的主要原因,未授权的信息泄露是最突出的安全威胁。电信和移动互联网行业面临最多的安全挑战,而Apple和Oracle等厂商展示了高效的漏洞修复能力。整体来看,尽管漏洞稳中有升,但高危和中危漏洞的增加提示我们需要持续关注并加强关键领域的防护措施。
通过对全网漏洞数据的分析,天融信筛选了2025年前100个在野利用漏洞进行统计。此次统计分析主要从「漏洞所影响厂商」、「影响平台」、「漏洞类型」以及「EXP公开情况」等四个方面展开,并选取整理了CWE TOP 25排名。
数据显示,Microsoft、Google和Cisco是最受影响的厂商,操作系统、系统软件、网络与服务器软件是主要攻击目标,输入验证不当是最常见漏洞类型,而57.00%的漏洞有公开的EXP,这一比例有所降低,攻击者更倾向于将EXP作为定向渗透的专属资源。
根据MITRE今年通过对公开可用的国家漏洞数据库中39080项数据调研分析,得出的CWE TOP 25排名如下。
(数据来源:MITRE)
02
2025年度TOP10高危漏洞概述
2025年,天融信阿尔法实验室持续监测全球漏洞态势,累计捕获并分析漏洞情报数万条。通过对海量信息的实时追踪与快速研判,实验室成功预警并协助处置了多起突发性的高危漏洞安全事件。
基于漏洞的影响范围、潜在危害程度及实际威胁等级,系统性地梳理并发布了年度最具代表性的十大高危漏洞,具体分析情况如下。
03
2025年漏洞技术趋势
《2025年网络空间安全漏洞态势分析研究报告》显示,AI驱动下的智能编程、供应链攻击与大模型自身安全已构成核心挑战,漏洞总量及高危比例持续上升,攻击焦点加速向关键基础设施与网络基础组件迁移。
2025年漏洞技术趋势呈现五大核心特征:
智能编程普及虽提升效率,却削弱代码控制力,叠加AI生成代码广泛应用,安全风险持续累积;
供应链攻击依托开源生态具备更强潜伏性与针对性,单一底层漏洞易引发行业级风险;
AI大模型成为新型攻击面,提示词注入、训练数据泄露等特有风险逐步显现;
AI深度融入安全流程,大幅提升攻防双方在漏洞挖掘、利用脚本编写等环节的效率;
网络攻击向战略化升级,攻击者通过漏洞链针对电力、通信、交易所等关键基础设施,实施物理破坏与持久控制。
04
2026年漏洞技术走向
随着AI渗透与基础设施数字化深化,漏洞威胁更重质量与时效,“披露即利用”成常态,倒逼防御体系向实时监测、自动化响应及供应链全周期治理升级。
展望2026年,漏洞技术将呈现四大走向:
智能编程持续演进,AI生成代码安全成为核心议题;
供应链漏洞因高攻击回报率仍为重点目标,防守方需强化成分管理与攻击面收敛;
AI与安全融合进一步深化,攻击方自动化漏洞挖掘利用能力升级,防守方需依托AI实现精准威胁检测与响应;
大模型及应用、基础设施层将持续暴露传统与新型漏洞,成为安全研究新热点。
面对2026年AI驱动攻防重构的关键转折,唯有主动拥抱AI技术,构建智能化、主动化、可信化的新型安全防御体系,才能筑牢数字世界安全防线,为数字经济高质量发展保驾护航。
面向AI攻防时代,天融信以大模型、小模型、机器学习等AI技术为核心,依托天问算力、训练、应用三大平台,搭建企业级AI安全能力体系,实现AI全面赋能,在检测防护、安全运营、安全交付等多场景提质增效,以硬核AI安全能力守护产业数字化安全。