81%中高危漏洞!360发布《2025年度网络安全漏洞分析报告》

　    数字时代下，网络攻击迭代速度持续加快，漏洞威胁已渗透至政企运营全场景——从AI基础设施到边缘物联网设备，从软件供应链到核心业务系统，政企安全防线正遭遇前所未有的冲击与挑战。近日，360数字安全集团漏洞研究院正式发布《2025年度网络安全漏洞分析报告》，依托全域漏洞监测数据、典型案例深度拆解，全面复盘2025年网络安全漏洞整体态势，精准提炼核心威胁趋势，助力政企高效应对智能化攻防新格局，守住核心资产安全底线。

　　态势综述：漏洞总量震荡攀升，高危威胁集中爆发

　　报告数据显示，2025年全球网络漏洞总量呈波动上升态势，年度月均发现漏洞4283个，其中12月漏洞数量迎来爆发式增长，增至5579个，创下年度峰值，环比增幅达68.55%，清晰凸显年末漏洞披露与网络攻击的集中性风险。

　　漏洞总量月度趋势图

　　从漏洞严重等级分布来看，中高危漏洞已成为主导威胁，合计占比高达81.11%，其中中危漏洞占比46.29%(共计23788个)，高危漏洞占比34.82%(共计17894个)，严重漏洞占比16.35%(共计8405个)，低危漏洞占比仅为2.54%，意味着政企单位面临的高风险漏洞暴露面持续扩大，安全防护压力进一步加剧。

　　漏洞严重性等级占比图

　　漏洞类型分布上，Web应用领域安全隐患仍最为突出，跨站点脚本攻击(XSS)、权限管理不当、SQL注入等传统高危漏洞类型依旧占据主导地位。其中，XSS漏洞以8557个的数量占比19.98%，权限管理不当漏洞5755个、占比13.44%，两类漏洞与“其他”类型漏洞合计占比超60%。

　　漏洞类型占比图

　　行业分布呈现“通用型漏洞主导、重点行业聚焦”的鲜明特征，通用行业漏洞占比达87.5%，教育、医疗、批发零售等民生领域成为漏洞高发区域，金融、电信、制造业等关键基础设施行业也持续面临严峻的漏洞安全压力，整体漏洞风险呈现普遍性与针对性并存的复杂态势。

　　漏洞行业分布图

　　值得政企重点关注的是，2025年AI技术本身的高危漏洞影响尤为巨大，已成为网络攻击的核心突破口。其中Langflow、SGLang开源推理框架、React/Next.js底层协议漏洞、宇树机器人BLE漏洞等，辐射范围覆盖AI框架、底层协议及智能设备，直接威胁政企核心资产安全。对此，360凭借敏锐的漏洞监测能力与极速协同响应机制，成功在多次补丁窗口期实现漏洞全球“野外零利用”，有效捍卫了政企AI基础设施安全，也彰显了在AI安全领域的技术积淀。

　　关键趋势：五大变革重塑攻防格局，安全挑战迎来新维度

　　结合2025年全年漏洞监测数据与典型攻击案例，报告精准提炼出五大网络安全核心趋势，深刻剖析攻防对抗的全新走向，为政企单位提前预判威胁、科学布局防护体系提供重要决策参考：

　　趋势一：AI武器化与反制并行，攻防进入“AI对垒AI”时代

　　当前，AI已从安全辅助工具升级为攻防对抗核心引擎。从攻击侧来看，生成式AI大幅提升漏洞挖掘效率与利用代码生成能力，大模型服务器、AI推理框架成为不法分子重点攻击的高价值目标，AI Agent可实现自主漏洞探测、动态模拟攻防对抗;从防御侧来看，AI自动化反制技术快速迭代，OpenAI基于GPT-5构建的自主修复Agent可实现漏洞毫秒级修复，倒逼政企传统人工安全响应体系全面重构，智能化、自动化的攻防闭环已成为政企漏洞治理的核心方向。

　　趋势二：边缘设备与物联网失陷加剧，传统边界防御失效

　　路由器、摄像头、智能机器人等边缘设备，因补丁更新滞后、安全监控体系薄弱，已成为不法分子渗透政企内网的“黄金入口”。2025年，边缘设备受攻击频率较往年大幅攀升，思科边缘设备、宇树机器人等多款设备接连曝出高危漏洞，不法分子可通过这些漏洞实现内网深度渗透，甚至远程控制物理生产系统，传统内网隔离防御策略已难以适配当前安全需求，零信任架构转型成为政企筑牢内网防线的迫切需求。

　　趋势三：供应链信任危机凸显，底层协议成为攻击新靶点

　　软件供应链“毛细血管”遭恶意毒化的风险持续加剧。从实际案例看，

　　2025 年末React/Next.js(CVE-2025-55182)满分漏洞的爆发，标志着攻击面已下沉至现代Web框架的底层协议。即便政企业务逻辑无瑕疵，底层通信机制也可能被不法分子恶意利用。此外，“Slopsquatting”AI垃圾包投毒、开源组件后门等新型供应链攻击频发，严重透支开源社区信任，开发者环境已成为不法分子实现内网渗透的“暗门”，推动软件物料清单(SBOM)透明化治理，成为政企防范供应链安全风险的刚性需求。

　　趋势四：漏洞利用“零日化”，攻击速度压缩至分钟级

　　漏洞从披露到在野利用的时间窗口被极度压缩，呈现“零日化”利用特征。Chrome V8引擎、Windows WebDAV客户端等核心产品漏洞，在POC发布后立即被不法分子锁定并利用。这种高速化攻击不仅覆盖传统软件领域，更已渗透至大模型与云原生组件，倒逼政企彻底放弃“按月修补”的传统漏洞修复模式，转向预测性威胁情报预警与自动化漏洞响应，提升漏洞处置效率。

　　趋势五：关键基础设施勒索常态化，破坏性大幅提升

　　勒索软件攻击已呈现向关键基础设施领域聚焦的常态化态势，教育、医疗、能源、制造业等重点行业成为攻击重灾区。当前勒索攻击已从传统“加密数据、双重勒索”升级为“控制物理系统、破坏性勒索”，朝日啤酒生产线因网络攻击停摆等案例，充分凸显此类攻击对社会正常运转的直接影响。关键基础设施停机容忍度极低，不法分子借此施加高压胁迫，政企核心资产安全防护面临严峻考验。

　　强化智能体技术，助力政企构建全域安全韧性

　　面对2025年复杂严峻的网络安全漏洞态势，尤其是AI技术带来的新型安全挑战，政企单位需立足全域防护理念，摒弃碎片化防护模式，构建全方位、一体化的安全防护体系，提升自身安全韧性，从容应对智能化攻防时代的各类风险，为核心业务安全保驾护航。

　　《2025年度网络安全漏洞分析报告》的发布，既是360对全年漏洞态势的系统复盘、对政企防护需求的精准回应，也印证了其布局AI安全、深耕实战防护的前瞻性。未来，360将持续强化安全智能体实战化迭代，深化“以模治模”研究应用，秉持“安全即服务”理念，为政企提供全生命周期安全保障，助力政企实现从“被动防御”向“主动免疫”的转型，携手守护数字安全未来。

(本文不涉密)
责任编辑：路沙

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。