AI+安全
数据安全
数据基础设施
态势感知
云安全
基础安全
终端安全
商用密码
软件供应链安全
网络空间靶场
工业互联网安全
物联网安全
安全托管服务
运营管理服务
2025 年 Q1 漏洞态势分析报告发布!AI 安全风险需重点关注
在数字化进程加速与攻击手段持续演进的背景下,网络安全威胁呈现高频率、高隐
蔽性、高危害性等特征。安恒信息发布《2025 年 Q1 漏洞态势分析报告》,旨在
深入分析当前网络安全环境中的漏洞情况,对全网漏洞信息进行高效收集归纳。随
着新技术的不断涌现,攻击者也在不断升级其攻击手段,因此,了解最新的漏洞动
态和攻击趋势显得尤为重要。本报告将对 2025 年第一季度已披露的漏洞数据多维
度梳理,以及对最新漏洞资讯的收集,帮助用户更好地识别风险、保护资产。
Q1 漏洞态势总览
漏洞数量:
2025 年 Q1 共披露漏洞 2861 个,其中 1 月披露量最高(1151 个),3 月略有下降(840 个)。
危害等级:
高危漏洞占比超 37%,1 月达 557 个峰值,涉及远程代码执行、权限提升等核心风险。
漏洞成因:
64.4% 的漏洞源于设计错误,其次是输入验证错误(27.3%),凸显系统设计阶段安全框架的重要性。
威胁影响:
未授权信息泄露占比 48%,其次是管理员权限获取(28%),密码策略弱、软件更新滞后为主要诱因。
Q1漏洞回顾
Q1 需要重点关注的高危漏洞
安恒 CERT 利用恒脑赋能的 MMM 漏洞情报监测平台,快速分析海量漏洞数据,从中筛选出符合预警标准的漏洞并进行及时响应。本季度,安恒CERT共 16 个漏洞发布预警,其中严重等级的漏洞占 12 个,具体可文末扫码下载查看。
Q1 需要重点关注的微软漏洞
Microsoft 安全响应中心每月发布安全公告,通常包含针对已知安全漏洞的修复信息。及时应用这些补丁可以有效防止攻击者利用这些漏洞进行攻击,从而保护系统和数据安全。具体可文末扫码下载查看。
Q1需要重点关注的微软在野漏洞
微软披露的在野利用漏洞(通常称为“0day 漏洞”或“已被利用的漏洞”)是指攻击者已知并正在利用的安全漏洞,这类漏洞通常是尚未公开或修复的新发现漏洞。由于这类漏洞的利用方式(如 exp/poc)往往已被公开,因此其危害程度较高,需要引起高度重视。具体可文末扫码下载查看。
Q1AI资讯
安恒 CERT 关注到 OWASP 于三月份发布了《OWASP 大型语言模型及 AI十大风险(2025)》,2025 年的风险列表展示了对现有风险的深入理解,更新了关于大型语言模型(LLM)实际应用中的关键风险,针对在生成式A和大型语言模型应用程序的开发、部署和管理生命周期中的主要风险、漏洞和缓解措施进行了解决。
OWASP LLM 安全威胁 Top 10 更新
更新内容大概围绕识别和分类当前在使用大型语言模型(LLM)时可能面临的主要安全风险展开,有效帮助读者识别和应对在使用 LLM 时可能遇到的安全挑战。
针对“无限制消耗”的描述扩展了关于“拒绝服务”内容,以提示用户需要关注大规模部署中的资源管理和意外成本风险。
对于检索增强生成(RAG)及基于嵌入方法的需求,新增了“向量与嵌入”与“系统提示泄漏”模块的描述以应对提示信息安全性的问题。
最后,对于“过度代理权限”的相关危害着重提及如何面对 LLM 自主性与权限风险行为的权衡。
OWASP LLM 安全威胁 Top 10 解读
《OWASP 大语言模型人工智能应用 Top10 安全威胁 2025》列出了十大主要风险,这些风险与 LLM 的部署和使用相关,涵盖了从模型输出的安全性到资源管理等多个方面。具体可文末扫码下载查看。
Q1需要重点关注的 AI相关漏洞
AI 与大模型技术正在改变我们的工作与生活方式,快速处理海量数据、优化决策流程并创造全新价值的同时,其伴随着的安全隐患也应引起重视。为此安恒 CERT 就相关漏洞进行梳理,进而列出以下需要关注的漏洞。具体可文末扫码下载查看。
