软件漏洞武器化速度创历史新高,AI生成概念验证代码激增
根据VulnCheck周三发布的报告,在过去一年中,虽然只有不到1%的软件漏洞在野外被实际利用,但这些漏洞被武器化的速度和规模达到历史新高。
研究人员追踪了超过14,400个与约10,500个独特CVE相关的漏洞利用,比上一年增长16.5%。这一增长的很大比例与AI生成的概念验证代码有关。
研究人员警告说,这些AI生成的代码大部分都是不具备功能性的。
研究结果突显了安全团队在优先处理最严重威胁时面临的困难。威胁组织越来越能够在网络防御者应用安全补丁和采取其他缓解措施之前对漏洞进行武器化。
VulnCheck安全研究副总裁凯特琳·康顿表示:"防御者长期以来一直将公开漏洞利用代码的可用性视为重要的风险信号。"
康顿说,研究表明,大量AI生成的信息正在为试图判断什么是合法威胁、什么可以被忽略的防御者制造问题。
超过50%与勒索软件相关的CVE首次被识别是零日漏洞的结果。
React2Shell漏洞(编号CVE-2025-55182)是2025年最严重的漏洞,已知有236个漏洞利用。
微软Sharepoint漏洞(编号CVE-2025-53770)已知有36个漏洞利用。
Q&A
Q1:软件漏洞武器化速度为什么会加快?
A: 威胁组织越来越能够在网络防御者应用安全补丁和采取其他缓解措施之前对漏洞进行武器化,加上AI生成的概念验证代码激增,使得漏洞武器化的速度和规模达到历史新高。
Q2:AI生成的漏洞利用代码质量如何?
A: 研究人员警告说,这些AI生成的代码大部分都是不具备功能性的。虽然AI能够大量生成概念验证代码,但其中很多并不能实际工作。
Q3:2025年最严重的软件漏洞是什么?
A: React2Shell漏洞(编号CVE-2025-55182)是2025年最严重的漏洞,已知有236个漏洞利用。此外,微软Sharepoint漏洞(编号CVE-2025-53770)也比较严重,已知有36个漏洞利用。
好文章,需要你的鼓励
美国最高法院以6比3的投票结果,裁定手机位置信息受第四修正案隐私权保护。法院认为,用户在使用谷歌等科技公司服务时,并非主动共享位置数据,因此执法机构在申请地理围栏搜查令时,必须证明存在"合理犯罪嫌疑"并获得法院批准。此裁决虽未完全禁止地理围栏搜查令,但对其使用范围加以限制,对美国执法实践及隐私保护具有深远影响。
南加州大学团队发现语音抑郁检测领域存在数据漏洞,并提出CLeaD跨语言对比对齐框架,揭示模型规模越大跨语言性能越差的反直觉规律。
佛罗里达州男子Angelo Martino以网络安全公司勒索软件谈判员身份为掩护,与黑客合谋部署BlackCat勒索软件攻击美国企业,被判处逾五年有期徒刑。美国司法部同时没收其逾1000万美元加密货币及资产。Martino与Kevin Martin、Ryan Goldberg三人于2023年联手实施多起攻击,其中一次成功勒索约120万美元后三人平分。BlackCat曾于2024年2月入侵医疗巨头Change Healthcare,导致逾1.92亿人敏感数据外泄。
KAIST等机构提出3D HAMSTER,通过为视觉语言模型加入深度编码器和几何重建损失,让机器人规划器直接输出三维轨迹,解决了分层机器人系统中规划与执行的维度不匹配问题,显著提升了操作鲁棒性。