北京
軟件漏洞武器化速度創歷史新高,AI生成概念驗證代碼激增
根據VulnCheck周三發布的報告,在過去一年中,雖然只有不到1%的軟件漏洞在野外被實際利用,但這些漏洞被武器化的速度和規模達到歷史新高。
研究人員追蹤了超過14,400個與約10,500個獨特CVE相關的漏洞利用,比上一年增長16.5%。這一增長的很大比例與AI生成的概念驗證代碼有關。
研究人員警告說,這些AI生成的代碼大部分都是不具備功能性的。
研究結果突顯了安全團隊在優先處理最嚴重威脅時面臨的困難。威脅組織越來越能夠在網絡防御者應用安全補丁和采取其他緩解措施之前對漏洞進行武器化。
VulnCheck安全研究副總裁凱特琳·康頓表示:"防御者長期以來一直將公開漏洞利用代碼的可用性視為重要的風險信號。"
康頓說,研究表明,大量AI生成的信息正在為試圖判斷什么是合法威脅、什么可以被忽略的防御者制造問題。
超過50%與勒索軟件相關的CVE首次被識別是零日漏洞的結果。
React2Shell漏洞(編號CVE-2025-55182)是2025年最嚴重的漏洞,已知有236個漏洞利用。
微軟Sharepoint漏洞(編號CVE-2025-53770)已知有36個漏洞利用。
Q&A
Q1:軟件漏洞武器化速度為什么會加快?
A: 威脅組織越來越能夠在網絡防御者應用安全補丁和采取其他緩解措施之前對漏洞進行武器化,加上AI生成的概念驗證代碼激增,使得漏洞武器化的速度和規模達到歷史新高。
Q2:AI生成的漏洞利用代碼質量如何?
A: 研究人員警告說,這些AI生成的代碼大部分都是不具備功能性的。雖然AI能夠大量生成概念驗證代碼,但其中很多并不能實際工作。
Q3:2025年最嚴重的軟件漏洞是什么?
A: React2Shell漏洞(編號CVE-2025-55182)是2025年最嚴重的漏洞,已知有236個漏洞利用。此外,微軟Sharepoint漏洞(編號CVE-2025-53770)也比較嚴重,已知有36個漏洞利用。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
