2025年网络安全漏洞态势与治理趋势

班晓芳，中国信息安全测评中心研究员

网络安全漏洞的发现、披露与修补机制直接关系信息系统安全和产业链韧性。各国围绕网络安全漏洞情报、漏洞数据库建设和漏洞披露规则的博弈持续加剧，全球网络安全漏洞治理由以往相对统一的技术协作模式，逐步转向多中心并存、制度竞争加速的新格局。在此背景下，系统研判2025年网络安全漏洞态势及治理趋势，对提升我国国家网络安全保障能力、完善数字治理体系，具有重要现实意义。

一、网络安全漏洞新态势

2025年，网络安全漏洞由单一代码缺陷演变为与系统架构、智能模型和供应链深度耦合的系统性威胁，在规模、成因、传播和利用等方面呈现出明显新特征，风险外溢性和复杂性明显增强。

（一）漏洞总量高位增长且在野漏洞数量上升

从漏洞规模看，国家信息安全漏洞库（CNNVD）公开数据显示，2025年，全球漏洞数量突破4.7万，同比增长18%，平均每日约130个新漏洞被披露。其中，高危和超高危漏洞占比达33%，较2024年的29%有明显提升。这说明，不仅网络空间攻击面持续扩大，而且漏洞风险正向“更易被利用”方向聚集。从漏洞利用情况看，美国网络安全和基础设施安全局（CISA）已知被利用漏洞目录（KEV）数据显示，在野漏洞数量已从2024年年底的1239个增加到2025年年底的1484个，增长率约为20%。2025年，KEV记录的Nday漏洞数量显著增加，2024年年及更早新增的在野漏洞数量增加到94个，比一年前增长了34%。这说明“漏洞利用”已成为攻击活动的常态。Nday漏洞风险不再随时间自然衰减，而是随攻击能力的进化被重新激活。

（二）漏洞被快速“规模化生产”

2025年，人工智能（AI）编程工具的进化速度超越了过去十年的总和，使大量非专业开发者具备了基本的编程能力。但是，AI编程高度依赖开源代码语料，其训练语料本身包含大量历史遗留漏洞、过时加密方案和不安全编程范式，使漏洞从“人为疏忽”转变为“模型系统性偏差”。在此背景下，AI编程已大幅缩短开发周期。在传统安全管理流程（威胁建模、代码审计、渗透测试）未同步升级的情况下，漏洞威胁不是偶发事件，而是必然副产品。AI编程虽然不是漏洞的直接“制造者”，但重塑了软件生产过程，从“少数人写、慢慢错”，转变为“多数人写、快速错、规模化错”。

（三）漏洞扩散速度明显加快

2025年，多起网络安全事件表明，漏洞是否会被迅速、大规模利用，已不再主要取决于技术复杂度，而取决于其在供应链中的位置。现代软件高度依赖开源组件、第三方库和云服务，且上游组件被广泛复用，使单一漏洞天然对应大量下游系统。一旦漏洞存在于关键依赖或构建工具中，便可通过正常的依赖更新、镜像分发和自动化部署流程被动扩散，传播速度远快于传统定向攻击。同时，供应链依赖关系复杂且不透明，使许多机构难以及时识别间接依赖，导致漏洞暴露窗口期被拉长。在自动化开发运维环境，漏洞扩散速度已不再受攻击者能力限制，而是由供应链结构和部署效率内生决定。

（四）漏洞利用自动化与低门槛特征突出

过去，高水平黑客极为稀缺。2025年，攻击者可以将黑客的经验和技能训练成AI智能体，自动执行漏洞挖掘、利用及网络攻击等全流程操作，并实现大规模复制。普通黑客甚至可同时操控数十乃至上百个智能体，化身“超级黑客”。在斯坦福大学的一项研究测试中，AI智能体成功发现斯坦福大学网络的多个安全漏洞，其表现超过了专业渗透测试人员。2025年，也出现了全球首例由AI智能体独立发现的满分级、可远程利用零日漏洞（CVE-2025-54322）。这些现实案例表明，漏洞利用正从少数高水平攻击者的专属能力，转化为可被大规模复制、快速部署的“通用工具能力”，使中低能力攻击者也具备破坏关键系统的能力。

（五）漏洞复现由确定可控向不稳定转变

2025年，漏洞复现和技术定位难度上升。传统漏洞往往具备明确触发条件和稳定复现路径，可通过定位具体代码位置进行修复。然而，在云原生、分布式系统和AI应用环境，漏洞越来越多表现为依赖运行状态、配置组合和时序条件的行为性失效，具有明显的不确定性和场景依赖性。尤其是模型相关漏洞和复杂交互漏洞，往往无法在脱离真实环境的条件下稳定复现，导致技术分析、风险评估和责任认定面临困难。这一趋势使漏洞从“可精确定位的缺陷”转向“难以完全还原的系统异常”。

二、网络安全漏洞治理新挑战

随着AI与云原生技术普及，漏洞攻防节奏持续加快，同时，叠加责任边界模糊、制度滞后和地缘政治影响，传统漏洞治理体系在效率、协同和约束力方面面临突出挑战。

（一）攻防节奏持续失衡，现有方式难以及时响应

AI自动化挖掘工具的普及、大模型生成概念验证代码（PoC）能力的提升、攻击工具链的智能化，使漏洞生命周期大幅缩短，从发现到利用往往只需数小时甚至数分钟。传统依赖人工分析、厂商开发补丁、用户逐级更新的线性治理流程在这一背景下无法快速响应，导致漏洞利用极易在短时间内形成大规模攻击事件。2025年，React2Shell等多起零日漏洞攻击事件表明，当攻击者依托AI工具时，漏洞利用链的扩散速度远快于防守方的治理速度，传统治理体系面临结构性失效风险。

（二）责任链条日益拉长，问责与修复机制失效

在现代供应链中，一个软件产品往往依赖成百上千种组件和工具链，其中包括多层级的开源库、第三方软件开发工具包（SDK）、云服务应用程序编程接口（API）、硬件固件等，参与主体角色多、链条长，责任边界天然模糊。同时，软件超过80%为开源组件，且其子依赖链深度可达6至10层，依赖链深层化导致责任不可见，很难明确应由哪一方承担披露、修补或者风险通知责任。许多机构最终只能等待上游更新，而上游的治理能力往往有限，从而造成漏洞长时间未被修补。

（三）模型漏洞特征突出，既有治理体系明显滞后

AI模型漏洞具有难以稳定复现、难以精确定位和难以通过单一补丁彻底修复等特征，影响以漏洞发现、漏洞披露和补丁管理为核心构建的既有漏洞治理模式，成为2025年全球漏洞治理最大不确定性。尽管部分国家和国际组织已开始将AI安全纳入风险评估、合规审查和技术标准体系，但在漏洞定义、分类分级、披露规则、跨境协作和国际编号体系等方面，仍缺乏统一共识。加之模型参数、训练数据和安全对齐机制高度封闭，漏洞治理对透明度的现实需求与商业机密、国家安全保护之间形成长期张力。AI漏洞治理处于规则探索、机制磨合与治理范式重构并行推进的过渡阶段，治理能力明显滞后于AI技术的演进。

（四）地下交易持续活跃，漏洞流通风险显著放大

暗网等地下市场将零日漏洞与利用工具商品化、平台化、服务化，并借助加密支付与匿名托管降低交易风险。2025年，暗网“即买即用”的漏洞商品数量增多，许多交易基于自动化平台运行，价格透明，更新迅速。新出现的十六进制智能打击工具（HexStrike-AI）、黄木人工智能工具（Xanthorox-AI）、苹果操作系统（ios26）零日漏洞利用等多个自动化漏洞挖掘和利用工具活跃，使攻击技术门槛持续降低。漏洞供需市场化削弱了官方披露渠道有效性，导致漏洞在官方披露前被广泛利用，增加了治理的不确定性与执法难度。

（五）地缘政治博弈加剧，漏洞囤积加大治理难度

在大国竞争加剧背景下，零日漏洞被视为可用于情报获取、战略威慑和非对称对抗的关键资源。2025年，美、日、英以及北约相继宣布采取进攻型网络安全战略，其军队、执法、情报等部门对漏洞武器库的“旺盛需求”，进一步推高了HackerOne等漏洞众测平台的活跃度和赏金总量。各国将漏洞情报纳入国家安全体系的政策力度，前所未有。这种做法强化了漏洞的战略属性，同时也削弱了全球漏洞协调披露与协同修复机制的影响力，导致高危漏洞长期潜伏于关键基础设施之中，系统性风险持续累积，使漏洞治理由“共同防御问题”演变为“竞争性安全困境”。

三、网络安全漏洞国际治理新动向

在大国竞争背景下，全球漏洞治理逐步由技术协作导向转向多中心并存、制度竞争与阵营分化并行，漏洞治理正深度嵌入国际网络安全规则体系。

（一）治理架构从“单中心”向“多中心”转变

过去十余年，美国通用漏洞披露—国家漏洞库（CVE-NVD）体系占全球主导地位。2025年，中国、俄罗斯、欧盟等国家和区域级漏洞库的影响力提升，形成多点并行格局。特别是欧盟，在美国NVD漏洞数据库因预算削减和漏洞披露机制混乱而备受质疑之际，趁势推出了酝酿已久的欧洲漏洞数据库（EUVD），构建与美国NVD功能相似的自主系统。日本、印度、阿联酋等国家相继强化本国漏洞数据库和治理机制。全球漏洞治理形成由“单一事实标准”逐步演变为“多中心并行运行”的格局，且治理体系碎片化趋势加速。

（二）治理方式从自愿披露到强制合规演进

于2026年1月生效的欧盟《网络韧性法案》（CRA），将漏洞披露、修补和安全维护纳入法律责任范畴，要求厂商必须承担漏洞治理的全生命周期责任。美国的KEV持续扩展，对联邦机构和供应链厂商提出强制修补要求。日本、韩国、澳大利亚等国家也将漏洞管理纳入政府采购和关键基础设施监管。法规增强了产业主体治理责任的制度约束力度，但也带来合规成本与跨境规则冲突问题，使不同治理模式之间的规则竞争日益凸显。

（三）治理技术路径从“以人为主”迈向“人机协同、机器主导”

漏洞治理正由依赖人工经验的被动响应模式，向以算法驱动、系统自愈为特征的主动防御模式转变。2025年8月，美国国防部高级研究计划局（DARPA）主办的人工智能网络挑战赛（AIxCC）参赛团队通过构建网络推理系统（Cyber Reasoning Systems），实现了漏洞发现、分析与修复的全流程自动化，将漏洞修复周期从数月压缩至分钟级，重塑了网络攻防的时间结构与运行逻辑。2025年12月，美国OpenAI公司发布的智能体编码模型GPT 5.2-Codex，在一定程度上具备以机器速度和规模自动发现并修复软件漏洞的能力。未来，是否具备自动化防御和持续自修复能力，正逐步成为衡量一个国家、行业乃至组织网络安全水平的重要标志。随着类似机制在更多国家和关键行业加速落地，全球漏洞治理的重心将发生深刻变化，从比拼“谁能更快发现漏洞”，转向比拼“谁能构建更高效、更可靠的自动化甚至是自主化防御体系”。

（四）漏洞情报共享由开放合作转向阵营化流动

在大国战略竞争加剧背景下，零日漏洞和高价值漏洞情报被视为战略资源，部分国家将漏洞情报纳入国家安全管控范围，仅允许漏洞信息在盟友体系内流动。2025年，以五眼联盟（FVEY）为代表的情报体系更加频繁地开展联合漏洞通报、联合分析特定国家的攻击、封闭式共享零日威胁情报等活动，并将“合作阵营”扩展到德国、荷兰、法国、日本等盟友国家，而对非盟友国家则采取“排他式”限制共享。8月，受中美网络威胁误判影响，微软竟然停止向中国网络安全企业共享其漏洞预警情报。未来，各国的漏洞披露与共享将受到更加严格的国家安全审查、出口管制和情报政策影响，全球漏洞信息流动呈现分层化、选择性共享特征，漏洞情报体系逐渐分裂为若干“区域池”“信任圈”，削弱了传统协调披露机制的全球有效性，给跨国产业供应链带来修补延迟、风险放大、责任模糊等系统性问题。

（五）治理目标由“快速修复”转向“风险可控与韧性建设”

2025年，国际漏洞治理更加重视风险管理和系统韧性，而非单纯追求漏洞清零。各国在国际交流与规则设计中普遍强调漏洞的影响评估、利用可能性和系统承受能力，推动治理重点从“是否存在漏洞”转向“漏洞是否可控、是否构成系统性威胁”。9月，美国网络安全和基础设施安全局（CISA）发布《CISA战略重点：CVE质量，打造网络安全未来》（CISA Strategic Focus CVE Quality for a Cyber Secure Future），强调CVE项目进入以“信任构建、响应能力优化、数据质量提升”为核心的全新发展阶段。这一转向使漏洞治理与关键基础设施保护、数字韧性建设深度融合。

四、积极构建网络安全漏洞新格局

我国在三十多年的网络安全和信息化发展过程中积累了宝贵经验，为网络安全漏洞治理奠定了坚实基础。新修改的《中华人民共和国网络安全法》（以下简称《网络安全法》）为漏洞管理提供了法律基础。《网络产品安全漏洞管理规定》《信息安全技术网络安全漏洞管理规范》等一系列规定和标准，明确了网络产品安全漏洞从发现、报告、修复到发布的整套流程。面对新形势，我国应进一步统筹国家安全保障与数智发展进程，通过完善制度、强化技术能力和深化国际参与，推动漏洞治理向智能防控和系统治理转型。

（一）以国家安全为牵引，完善漏洞治理顶层设计

持续将漏洞治理纳入国家网络安全战略和数字安全治理总体布局，突出漏洞作为基础性安全要素的战略地位，紧密围绕数智时代漏洞新特点，推动形成覆盖漏洞发现、评估、披露、修补和监测的新型漏洞治理体系。通过政策引导和制度设计，强化关键基础设施、重要信息系统和核心软件产品的漏洞治理要求，特别是开展国产基础软硬件产品漏洞分析和预警消控工作，防止高危漏洞长期积累演化为系统性风险。

（二）以制度建设为抓手，健全责任清晰的治理机制

针对当前漏洞责任主体模糊、修补动力不足等问题，应进一步完善漏洞披露和修补责任制度，推动形成“谁开发、谁维护、谁负责”的基本原则。增强《网络安全法》的执法力度，通过法规、标准和监管措施，明确厂商、平台、服务提供方和运营单位在漏洞治理中的职责边界，推动漏洞治理从“道义自觉”向“法定义务”转变。同时，应探索适度区分漏洞披露、安全研究和恶意利用的边界，为正当漏洞研究提供制度保障。

（三）以技术能力为支撑，推进智能化治理体系建设

在漏洞规模持续增长、攻防节奏显著加快的背景下，单纯依赖人工分析的漏洞治理方式已不适应新形势。应加快推动人工智能、大模型和自动化分析技术在漏洞治理中的应用，提升漏洞发现、关联分析、风险预测和自动响应能力。通过构建统一的漏洞知识图谱和风险评估模型，实现对漏洞影响范围和利用趋势的动态研判，推动漏洞治理模式由事后修补向事前预警、主动防御转变。

（四）以产业协同为基础，提升供应链整体韧性

漏洞风险的放大效应越来越多源于复杂供应链结构。应加强对开源生态和关键软件供应链的系统治理，推动建立透明、可追溯的漏洞管理机制，提升供应链安全可视化水平。通过政策支持和能力建设，增强开源项目维护能力。加快CNNVD等国家级平台创新发展，建设国家漏洞资源等重要战略资源大循环体系，积极打造漏洞产业联盟新模式，推动组建跨行业漏洞共享与协同创新研究平台，引导产业链上下游共享漏洞信息和修补经验，减少因信息不对称导致的风险滞留和扩散。

（五）以国际参与为路径，塑造负责任的全球治理环境

在全球漏洞治理碎片化加剧的背景下，坚持开放、合作、负责任的漏洞治理理念，积极参与国际规则制定和标准对接，推动漏洞披露、编号和风险评估规则的互认互通。在维护国家安全底线的前提下，探索建立有限度、可控的国际漏洞协作机制，减少因阵营对立导致的系统性安全风险，共同维护全球网络空间的基本稳定。

五、结 语

2025年，网络安全漏洞呈现规模持续扩大、成因体系化、传播供应链化、利用智能化和治理复杂化等特征。漏洞已由单一技术问题演变为兼具技术风险和系统风险的安全治理对象，其治理难度和不确定性明显上升。在国际层面，漏洞治理嵌入国家安全与制度竞争框架，全球协同修复机制面临新挑战。面对这一趋势，必须从国家安全和数字治理全局出发，推动漏洞治理由被动修补向主动防控转型，由碎片化管理向系统化治理升级，通过制度建设、技术能力和产业协同发力，夯实数字经济和智能社会发展的安全底座。

（本文刊登于《中国信息安全》杂志2026年第1期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。