漏洞利用首次超越凭证盗窃，成为数据泄露的首要源头

约31%（近三分之一）的数据泄露事件如今源于恶意行为者对某种软件漏洞的利用，这一比例首次超越凭证盗窃，成为网络入侵的第一大途径。

以上数据来自美国电信巨头Verizon发布的第19届年度数据泄露调查报告（DBIR）。尽管数据采集及报告的主要编写工作均在Anthropic的Claude Mythos前沿模型引发行业震荡之前完成，但该公司分析师表示，信号已十分明确——人工智能（AI）正在以肉眼可见的速度从根本上重塑网络安全格局。

Verizon指出，已知漏洞被快速武器化，正在给网络安全专业人员造成严峻的处置压力，这凸显了将网络安全与风险管理的基本原则置于优先位置的迫切需求。

Verizon Business全球解决方案高级副总裁Daniel Lawson表示："尽管由AI驱动、漏洞利用速度加快所导致的网络威胁态势日益严峻，但安全的基本原则与强健的风险管理依然是最有效的防御手段。DBIR再次印证，在各组织追求弹性韧性的过程中，这些基本功依然有效。"

2026年版DBIR（可在官网完整下载）结合AI视角提出了若干具体建议，包括：提前准备应对大量补丁的涌入、将AI纳入安全设计框架，以及在纵深防御策略中充分发挥AI的作用。

漏洞管理服务供应商Mondoo的首席安全官Patrick Münch表示，该报告印证了防御方早已感受到的痛点。

他说："如今31%的泄露事件始于未修补的漏洞，超过凭证盗窃成为头号入口。去年，美国网络安全和基础设施安全局（CISA）已知被利用漏洞（KEV）清单中，只有26%得到了完全修复，而补丁修复的中位时间从32天上升至43天。"

"这个行业用了十年时间提升识别和分析问题的能力，但光是研究发现对任何人都没有帮助。泄露事件就发生在'知道'与'修复'之间的空隙里，工作重心必须转移到这里。"

"我们自己的研究也揭示了这一差距不断扩大的原因：62%的团队仍依赖人工修复，只有2%实现了全面自动化，仅有9%的团队对能否及时修复关键问题充满信心。Verizon的数据显示，无论团队成熟度如何，60%至70%的CISA KEV问题在被发现一周后仍处于未解决状态。靠再多一个扫描器无法弥合这一差距，真正的解法是透明化的智能体AI——由人类主导决策、由AI自动化执行修复与缓解，并从问题识别到验证修复形成清晰的审计追踪。"Münch说道。

AI引发的混乱效应

AI模型的影响并不局限于漏洞发现与利用领域。

今年的Verizon DBIR还揭示了企业内部影子AI使用量激增的现象，未经审批的AI工具已成为第三大非恶意数据泄露来源。随着表示频繁使用AI工具的员工数量持续增长，意外数据泄露的风险在未来将进一步上升。

Verizon还发现，AI机器人的数量也在持续增加，自动化网络爬虫的数量每月增长约五分之一，而人工流量增长几乎停滞，预示着未来机器人主导的威胁将更加突出。

欧洲、中东及非洲地区趋势

报告作者坦承，由于Verizon业务性质的影响，其数据在北美地区存在一定偏重，并表示正努力加强对欧洲、中东及非洲（EMEA）等地区的覆盖，且已取得一定成效。报告分析了2024年10月至2025年11月间的8,245起事件，其中6,060起经确认存在数据泄露，而北美为12,371起，亚太地区为5,229起。

在EMEA地区，系统入侵占同期所有泄露事件的57%，高于去年的53%。因误操作引发的泄露事件比例从19%降至14%，社会工程攻击维持在22%的水平。

EMEA地区的突出特点是恶意软件的使用率最高，占所有案例的66%；与此同时，59%的泄露事件涉及某种形式的黑客攻击，略低于全球平均水平。Verizon表示，上述两项数据并不特别令人震惊，但指出它们正推动EMEA向全球平均水平靠拢。

EMEA与全球其他地区最显著的差异在于网络钓鱼攻击的高发率——84%的社会工程入侵事件涉及网络钓鱼。这或许也在一定程度上反映出，EMEA地区与国家力量有关的入侵活动比例略高，占该地区所有泄露事件的23%，而全球其他地区这一比例为14%。Verizon的分析师将此与欧洲和中东地区"复杂的当前政治格局"联系在一起。

Q&A

Q1：Verizon DBIR报告中提到漏洞利用超越凭证盗窃，具体是怎么体现的？

A：根据Verizon第19届年度数据泄露调查报告，约31%的数据泄露事件源于软件漏洞被恶意利用，首次超越凭证盗窃成为网络入侵的首要途径。报告还指出，CISA已知被利用漏洞清单中去年只有26%得到完全修复，补丁修复的中位时间也从32天延长至43天，说明漏洞修复效率明显跟不上威胁演进的速度。

Q2：影子AI为什么会成为数据泄露的来源？

A：影子AI是指员工在未经企业审批的情况下私自使用的AI工具。由于这类工具不在企业安全管控范围之内，员工在使用过程中可能无意间将敏感数据输入第三方平台，造成数据外泄。Verizon的报告显示，未经审批的AI工具已成为第三大非恶意数据泄露来源，且随着员工AI使用频率上升，这一风险将持续扩大。

Q3：EMEA地区的网络安全威胁和全球其他地区相比有哪些不同？

A：EMEA地区在恶意软件使用率上最为突出，占所有案例的66%。网络钓鱼在社会工程攻击中的占比高达84%，明显高于其他地区。此外，该地区与国家力量相关的入侵活动占比达23%，高于全球其他地区的14%，Verizon将这一现象与欧洲和中东地区复杂的政治局势相关联。