2024上半年網(wǎng)絡(luò)安全漏洞態(tài)勢(shì)報(bào)告

CONTENTSCONTENTS摘要安全漏洞總體態(tài)勢(shì)01漏洞公開披露情況01漏洞利用情況02.0day漏洞利用情況05攻防場(chǎng)景漏洞利用趨勢(shì)07.攻防場(chǎng)景下的0day利用情況07.攻防場(chǎng)景下的Nday利用情況09攻防場(chǎng)景下的漏洞利用路徑11開源軟件漏洞態(tài)勢(shì)12開源軟件漏洞威脅態(tài)勢(shì)12開源軟件漏洞的影響15國(guó)外開源軟件漏洞治理工作與成效16我國(guó)開源軟件漏洞治理挑戰(zhàn)與機(jī)遇17人工智能技術(shù)對(duì)安全漏洞的影響18人工智能技術(shù)發(fā)展過(guò)程對(duì)安全漏洞利用的影響18人工智能產(chǎn)品自身存在的安全漏洞風(fēng)險(xiǎn)20人工智能技術(shù)為安全漏洞防御力提升賦能23安全漏洞發(fā)展趨勢(shì)總結(jié)與應(yīng)對(duì)措施安全漏洞發(fā)展趨勢(shì)總結(jié)24開源軟件漏洞治理措施建議25攻防場(chǎng)景下安全漏洞治理措施建議26人工智能場(chǎng)景下安全漏洞治理措施建議27附錄參考鏈接外漏洞庫(kù)收錄漏洞數(shù)量的變化趨勢(shì)保持一致。0-2024年漏洞發(fā)現(xiàn)和披露速度再次加快，預(yù)測(cè)年底收錄漏洞數(shù)將突破三萬(wàn)個(gè)，可見在網(wǎng)絡(luò)安全工作中，對(duì)安全漏洞的防御堆積工作和時(shí)效性不足的問(wèn)題。自2024年2月起，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究來(lái)的影響，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CybersecurityandIn0101回已知被利用漏洞情況2021年，美國(guó)將已知漏洞利用視為影響其國(guó)家網(wǎng)絡(luò)安全的重大風(fēng)險(xiǎn)，建立已知被利用漏洞（KnownExploitedVulnerabilities，KEV）目錄以要求美國(guó)聯(lián)邦機(jī)構(gòu)降低已知利用漏洞的重大風(fēng)險(xiǎn)。至此，KEV目錄也成為了國(guó)際上已知被利用的漏洞的權(quán)威來(lái)源，為各組織提供漏洞修復(fù)優(yōu)先級(jí)提供重要指導(dǎo)。KEV目CVE（CommonVulnerabilities0 2 2 4 4 0202隨著全球范圍內(nèi)對(duì)勒索軟件大型組織的打擊，勒索軟件整體在漏洞利用上的能力有所減弱，這一變化得益于國(guó)際執(zhí)法機(jī)構(gòu)的協(xié)作整治，但勒索軟件攻擊仍然對(duì)企業(yè)機(jī)構(gòu)存在著嚴(yán)重威脅。值得注意的是，隨著國(guó)際執(zhí)法機(jī)構(gòu)對(duì)勒索組織的打擊，對(duì)其組織運(yùn)營(yíng)產(chǎn)生極大影響，為提高攻擊效率勒索組織可能會(huì)優(yōu)先考慮使用能夠有效提供訪問(wèn)權(quán)限的漏洞開展攻擊。發(fā)布了一份聯(lián)合網(wǎng)絡(luò)安全公告，揭露近期勒索軟件組織的攻擊活動(dòng)，其中重點(diǎn)標(biāo)記了被利用來(lái)執(zhí)行攻擊活動(dòng)的漏洞，這些2個(gè)2024年漏洞在其他攻擊活動(dòng)中也頻2024年第二季度的APT攻擊活動(dòng)KEV目錄收錄漏洞73個(gè)，Microsoft和Google的漏洞最多，其主要受影響產(chǎn)品分別為Windows操作系統(tǒng)和0AppleCiscoAdobeOracleApacheIvantiAppleCiscoAdobeOracleApacheIvanti61%320303從影響產(chǎn)品情況來(lái)看，如圖1-4所示，在2021年已知被利用漏洞數(shù)量達(dá)到峰值，成為了漏洞趨勢(shì)變化的一個(gè)關(guān)鍵點(diǎn)。隨著主流瀏覽器使用情況的轉(zhuǎn)變，漏洞利用重心也從InternetExplorer轉(zhuǎn)變?yōu)镚oogleChrome。InternetExplorer0404看，瀏覽器0day漏洞攻擊實(shí)施復(fù)雜度低、攻第三方組件0day漏洞利用越來(lái)越多，攻擊者傾向利用第三方組件漏洞進(jìn)行供應(yīng)鏈攻擊。在近一年的0day漏洞利用中，針對(duì)第三方組件的利用比起往年更加頻繁，主要體現(xiàn)在瀏覽器組件中，這些漏洞幾乎針對(duì)移動(dòng)設(shè)備的0day漏洞利用手段升級(jí)，近一半作間諜軟件形成商業(yè)化，向世界各地的政府出售尖端技術(shù)以幫助其竊取目標(biāo)數(shù)據(jù)。近年來(lái)，在多起活動(dòng)中披露通過(guò)移動(dòng)設(shè)備的間諜軟件竊取國(guó)家政府人員重要數(shù)據(jù)，主要?dú)w因于移動(dòng)設(shè)備操作系統(tǒng)和瀏覽器更新速0505通過(guò)對(duì)已修復(fù)漏洞的繞過(guò)或者修復(fù)不徹底漏洞的變體利用形成新的0day漏洞現(xiàn)象在近幾年屢次出現(xiàn)。根據(jù)報(bào)告通過(guò)對(duì)已修復(fù)漏洞的繞過(guò)或者修復(fù)不徹底漏洞的變體利用形成新的0day漏洞現(xiàn)象在近幾年屢次出現(xiàn)。根據(jù)報(bào)告迎來(lái)大規(guī)模利用，并且攻擊效率不斷提高。根據(jù)全球領(lǐng)先的云安全和漏洞管理提供商Qualys的研究數(shù)據(jù)表明，0606對(duì)比往年攻防場(chǎng)景，今年更多的是針對(duì)特定目標(biāo)進(jìn)行定向挖掘新漏洞，這與攻防活動(dòng)周期拉長(zhǎng)有較大關(guān)系。攻防擊目標(biāo)相關(guān)的供應(yīng)鏈中尋找突破口進(jìn)行滲透，獲取供應(yīng)商的源代碼并從中挖掘漏洞進(jìn)行攻擊，進(jìn)而拿下目標(biāo)站點(diǎn)0707序列化漏洞和SQL注入漏洞為主，攻防場(chǎng)景中這幾種類型的漏洞是攻擊者常用來(lái)獲取系統(tǒng)權(quán)限的手段。OA、而且大多數(shù)對(duì)互聯(lián)網(wǎng)開放，因此風(fēng)險(xiǎn)暴露面較大。但是基于往年攻防場(chǎng)景經(jīng)驗(yàn)，商業(yè)辦公系統(tǒng)供應(yīng)商一般會(huì)進(jìn)行大規(guī)模的安全漏洞修復(fù)，并發(fā)布安全補(bǔ)丁通過(guò)內(nèi)部的服務(wù)流程為用戶進(jìn)行安全補(bǔ)丁更新，這導(dǎo)致攻擊者難以利用歷史漏洞，需要挖掘新的0day漏洞進(jìn)行攻擊。同時(shí)，在攻防活動(dòng)期間漏洞響應(yīng)的速度會(huì)加快，部分軟件廠商0808JBOSSCon?uenceCon?uenceJenkins0909具化已屢見不鮮，對(duì)于高可利用漏洞進(jìn)行工具封裝，可實(shí)現(xiàn)一個(gè)漏洞通殺所有版本。一體化的攻擊工具可以實(shí)現(xiàn)通過(guò)多個(gè)漏洞組合利用，以達(dá)到比單個(gè)漏洞更深入、更有效的攻擊效果。這種利用方式通常用于目標(biāo)系統(tǒng)的安全措施較為嚴(yán)密，單一漏洞難以突破防御時(shí)，漏洞組合利用可以發(fā)揮更佳的效果，這與近幾年攻防整體水平的提高有較大關(guān)系。越來(lái)越多的業(yè)務(wù)系統(tǒng)針對(duì)歷史漏洞的修復(fù)是通過(guò)添加登錄授權(quán)的方式，將原來(lái)前臺(tái)可訪問(wèn)的接口，今年的攻防場(chǎng)景中，攻擊者利用Nacos漏洞獲得業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫(kù)密碼，進(jìn)一步登錄業(yè)務(wù)系統(tǒng)后臺(tái)，這也導(dǎo)致原本收斂到后臺(tái)的歷史漏洞死灰復(fù)燃，再一次暴露在攻擊者的面前，通過(guò)利用后臺(tái)漏洞，攻擊者可以獲得業(yè)務(wù)系統(tǒng)10102024年典型攻防場(chǎng)景中，攻擊者通過(guò)供應(yīng)商源代碼審對(duì)無(wú)法直接突破的目標(biāo)，或者希望擴(kuò)大攻擊面影響范圍時(shí)，供應(yīng)鏈攻擊是一個(gè)很好的選擇。例如社會(huì)服務(wù)相關(guān)部門的站點(diǎn)往往擁有較好的安全防御體系，直接攻擊難以突破。但是相關(guān)業(yè)務(wù)下會(huì)擁有諸多服務(wù)平臺(tái)，可以從相關(guān)的供應(yīng)鏈公司中尋找突破口進(jìn)行滲透，獲取供應(yīng)商的源代碼并從中挖掘出任意密碼用戶重置、管理員密碼泄漏、前臺(tái)RCE等漏洞，進(jìn)而拿下站點(diǎn)的權(quán)限。另外，如果目標(biāo)標(biāo)信息等線索，可以搜索到供應(yīng)商旗下相關(guān)系統(tǒng)。某些供應(yīng)商往往會(huì)存在一個(gè)統(tǒng)一的云平臺(tái)管理系統(tǒng)或者數(shù)據(jù)管理平臺(tái)，對(duì)多個(gè)系統(tǒng)進(jìn)行運(yùn)維和管理。一旦爆破出用戶名密碼進(jìn)入到系統(tǒng)后臺(tái)，就可能擁有公司旗下多個(gè)系統(tǒng)的2024年典型攻防場(chǎng)景中，攻擊者通過(guò)加密、混淆等方式改造攻擊流量以繞過(guò)安全設(shè)備，邊界安全對(duì)抗再次升級(jí)。2024年典型攻防場(chǎng)景中，漏洞攻擊逐漸聚焦于云管平承擔(dān)著關(guān)鍵的安全管理和集群控制等關(guān)鍵功能，因此成為攻擊者的主要目標(biāo)。例如，攻擊者通過(guò)突破網(wǎng)絡(luò)邊界后1111為軟件供應(yīng)鏈的重要組成部分，一旦爆發(fā)嚴(yán)重漏洞將對(duì)整個(gè)軟件供應(yīng)鏈帶來(lái)極大安全風(fēng)險(xiǎn)。開源漏洞數(shù)據(jù)庫(kù)（Open勢(shì)，歷年高危及以上漏洞占比均超40%。漏洞數(shù)量逐年增長(zhǎng)和高危以上漏洞占比居高，與近年來(lái)開源項(xiàng)012121313Maven倉(cāng)庫(kù)漏洞數(shù)量現(xiàn)居榜首，2022年主流生態(tài)倉(cāng)漏洞均有明顯增加，2024年增速放緩。根據(jù)GitHubAdvisory0在Github漏洞庫(kù)已審核漏洞中，高危及以上漏洞占比501414開源軟件漏洞傳播鏈長(zhǎng)，危害性沿鏈逐級(jí)放大。開源軟件漏洞傳播鏈長(zhǎng)，危害性沿鏈逐級(jí)放大。復(fù)用開源軟件的情況在現(xiàn)代軟件開發(fā)中愈發(fā)普遍，軟件供應(yīng)鏈也隨之復(fù)雜多元。開源軟件屬于軟件開發(fā)原料，攻擊者可以通過(guò)軟件供應(yīng)鏈的上下游關(guān)系，利用開源軟件對(duì)下游軟件發(fā)起裂變式惡意攻擊。CNCERT《開源軟件供應(yīng)鏈安全風(fēng)險(xiǎn)研究報(bào)告》調(diào)查結(jié)果顯示，選漏洞事件，Apache安全團(tuán)隊(duì)公布了受影響軟件項(xiàng)目列表，涉及Cloud?are、iCloud等多個(gè)國(guó)際知名商業(yè)8%的軟件包里至少有一個(gè)版本會(huì)受此漏洞影響，可見該漏洞影響范圍之大。美國(guó)網(wǎng)絡(luò)安全審查委員會(huì)首份報(bào)告指出，Log4j2漏洞要十余年才能修完，將在未來(lái)十年甚至更長(zhǎng)時(shí)間持續(xù)引發(fā)風(fēng)險(xiǎn)，持續(xù)時(shí)間之長(zhǎng)開源軟件漏洞維護(hù)成本大，責(zé)任落實(shí)難。主要受以下因素影響：開源軟件通常依賴于社區(qū)的支持來(lái)發(fā)現(xiàn)和開源軟件供應(yīng)關(guān)系網(wǎng)絡(luò)錯(cuò)綜復(fù)雜，增加了發(fā)現(xiàn)和修復(fù)漏洞的難度，修復(fù)漏洞往往需要更多的時(shí)間和資源；增加了開源軟件漏洞的維護(hù)成本。開源軟件漏洞責(zé)任落實(shí)困難，開源軟件開發(fā)者群體分散，導(dǎo)致開源軟件漏洞的責(zé)任界定和追溯變得復(fù)雜；開源項(xiàng)目通常依賴于捐贈(zèng)，可能由于資金和資源的限制導(dǎo)致漏洞修復(fù)延1515建立一個(gè)“可防御、有韌性的數(shù)字生態(tài)系統(tǒng)”，CISA發(fā)布了一份開源軟件安全路線圖，重視開源軟件漏洞“連鎖”效應(yīng)和供應(yīng)鏈“投毒”等特有風(fēng)險(xiǎn)及應(yīng)對(duì)措施；歐盟《網(wǎng)絡(luò)安全彈性法案》進(jìn)入立法程序，采取了分層方法來(lái)處開源軟件漏洞治理標(biāo)準(zhǔn)、工具大量涌現(xiàn)，加速搭建開源治理基底。2022年，Linux基金會(huì)主辦的開源軟件安全聯(lián)開源軟件漏洞激勵(lì)機(jī)制、賞金計(jì)劃，激發(fā)了廣大安全研究員挖掘開源軟件漏洞的熱情。2022年針對(duì)開源軟件的漏洞賞金計(jì)劃（OSSVRP這是首批特定于開源的漏洞計(jì)劃之一，重點(diǎn)關(guān)注谷歌軟件開源軟件漏洞激勵(lì)機(jī)制、賞金計(jì)劃，激發(fā)了廣大安全研究員挖掘開源軟件漏洞的熱情。2022年1616 國(guó)內(nèi)開源軟件漏洞治理的激勵(lì)政策、激勵(lì)計(jì)劃仍然較少，難以有效持續(xù)吸引高水平安全人才人才的培養(yǎng)尚未形成規(guī)?；?、系統(tǒng)化和體系化。企業(yè)在實(shí)施軟件安全開發(fā)過(guò)程中面臨諸多困難，如法律法規(guī)在 國(guó)內(nèi)開源軟件漏洞治理的激勵(lì)政策、激勵(lì)計(jì)劃仍然較少，難以有效持續(xù)吸引高水平安全人才人才的培養(yǎng)尚未形成規(guī)?；?、系統(tǒng)化和體系化。企業(yè)在實(shí)施軟件安全開發(fā)過(guò)程中面臨諸多困難，如法律法規(guī)在 開源軟件由全球開發(fā)者共創(chuàng)、共享、共治，匯聚全球開發(fā)者和研究者的智慧，順應(yīng)國(guó)際化合作趨勢(shì)，協(xié)作復(fù)漏洞，上下游共享漏洞信息和資源，建立統(tǒng)一的漏洞披露標(biāo)準(zhǔn)和最佳實(shí)踐。在全球化趨勢(shì)之中，提高全球開源軟件安全性，也意味著提升我國(guó)開源軟件安全性。2023 開源軟件由全球開發(fā)者共創(chuàng)、共享、共治，匯聚全球開發(fā)者和研究者的智慧，順應(yīng)國(guó)際化合作趨勢(shì)，協(xié)作復(fù)漏洞，上下游共享漏洞信息和資源，建立統(tǒng)一的漏洞披露標(biāo)準(zhǔn)和最佳實(shí)踐。在全球化趨勢(shì)之中，提高全球開源軟件安全性，也意味著提升我國(guó)開源軟件安全性。2023年，國(guó)內(nèi)開源領(lǐng)域唯一的國(guó)家級(jí)基金會(huì)?開放原子開源基金會(huì)發(fā)布了開源軟件漏洞共享平臺(tái)及安全獎(jiǎng)勵(lì)計(jì)劃，激勵(lì)國(guó)內(nèi)白帽積極挖掘開源軟件漏洞，與開源項(xiàng)目方、基金會(huì) 開源軟件已成為數(shù)字化基礎(chǔ)設(shè)施的重要組成部分，在云計(jì)算、大數(shù)據(jù)、人工智能等領(lǐng)域被廣泛應(yīng)用。開源各行業(yè)企業(yè)數(shù)字化轉(zhuǎn)型提供便利的同時(shí)也帶來(lái)了嚴(yán)峻的安全風(fēng)險(xiǎn)，智能制造、電力、能源、汽車等重要行業(yè)領(lǐng)域應(yīng) 開源軟件已成為數(shù)字化基礎(chǔ)設(shè)施的重要組成部分，在云計(jì)算、大數(shù)據(jù)、人工智能等領(lǐng)域被廣泛應(yīng)用。開源各行業(yè)企業(yè)數(shù)字化轉(zhuǎn)型提供便利的同時(shí)也帶來(lái)了嚴(yán)峻的安全風(fēng)險(xiǎn)，智能制造、電力、能源、汽車等重要行業(yè)領(lǐng)域應(yīng) 人工智能大模型技術(shù)擁有強(qiáng)大的數(shù)據(jù)處理和分析能力，通過(guò)模型訓(xùn)練和指令微調(diào)，能夠自動(dòng)化開展提供代碼安四是人工智能大模型技術(shù)興起，推動(dòng)漏洞治理工作自動(dòng)化、 人工智能大模型技術(shù)擁有強(qiáng)大的數(shù)據(jù)處理和分析能力，通過(guò)模型訓(xùn)練和指令微調(diào)，能夠自動(dòng)化開展提供代碼安1717隨著人工智能技術(shù)的日益成熟與普及，在為社會(huì)生產(chǎn)生活提供一系列便利的同時(shí)，也為網(wǎng)絡(luò)空間的安全格局帶來(lái)了全新的挑戰(zhàn)，導(dǎo)致了一系列的安全漏洞威脅。從早期的技術(shù)積累發(fā)展到?jīng)Q策式小模型，再到如今生成式大模型的飛速發(fā)展，人工智能的核心逐漸轉(zhuǎn)向了對(duì)更大規(guī)模模型訓(xùn)練和更強(qiáng)大的計(jì)算能力此階段主要利用AI決策式小模型或工具開展安全漏洞攻擊的方式，將一些重復(fù)且耗時(shí)的操作自動(dòng)化、智能化，在漏洞挖掘領(lǐng)域，攻擊者能夠通過(guò)AI工具自動(dòng)化深入挖掘軟件或系統(tǒng)的內(nèi)部缺陷，從而識(shí)別潛在安全漏洞。在漏洞利用方面，人工智能可以被用來(lái)自動(dòng)識(shí)別和利用軟件中的安全漏洞，從而極大提高黑客的攻擊效率。人工的自動(dòng)化漏洞利用生成方案，F(xiàn)UZE利用機(jī)器學(xué)習(xí)輔助漏洞發(fā)現(xiàn)，通過(guò)深度學(xué)習(xí)優(yōu)化符號(hào)執(zhí)行的過(guò)程，以分析內(nèi)1818為的輸出進(jìn)行了一定的限制，網(wǎng)絡(luò)犯罪分子開始在地下論壇推出專門用于惡意目的的惡意大模型，提供如查找安AI生成式大模型興起以來(lái)，其在輔助黑客實(shí)施與思路。生成式大模型模式的介入，使得初級(jí)黑客可以借助AI大模型，批量生產(chǎn)出攻擊腳本、制作黑客工具。隨著大模型在網(wǎng)絡(luò)攻防領(lǐng)域的應(yīng)用日益擴(kuò)大，安全研究者們開始越來(lái)越關(guān)注大模型在網(wǎng)絡(luò)安全漏洞利用方面的能隨著人工智能技術(shù)的不斷進(jìn)步，我們正邁向可以由一個(gè)人工智能完全替代人類黑客執(zhí)行攻擊任務(wù)的時(shí)代。在這個(gè)從而實(shí)現(xiàn)對(duì)安全漏洞的全面利用。未來(lái)，高度自主化、智能化的“AIAgent”大模型將進(jìn)一步降低對(duì)人類干預(yù)的需求，提高攻擊的效率與隱蔽性，給網(wǎng)絡(luò)安全帶來(lái)前所未有的挑戰(zhàn)。未來(lái)，超高水平的攻擊者很有可能借助大模1919將發(fā)展成為基礎(chǔ)信息設(shè)施的智能化底座，但與此同時(shí)，其中涉及的各種算法、架構(gòu)、API等也可能帶來(lái)一系列潛在安全漏1234567892020?eld）型應(yīng)用程序架構(gòu)圖的分析，在大模型最核心的生產(chǎn)服務(wù)模塊，存在自身與外部交互的輸入輸出環(huán)節(jié)，安全風(fēng)險(xiǎn)最為顯著，最頻繁出現(xiàn)包括敏感信息泄露、輸入輸出安全驗(yàn)證、訪問(wèn)控制和權(quán)限管控等問(wèn)題。這些都可能成為攻擊者的攻擊入口，對(duì)LLM01：PromptInjection（提示注入該漏洞主要出現(xiàn)在大模型服務(wù)接口和應(yīng)用插件在與大模型生產(chǎn)模塊的數(shù)據(jù)交互LLM02：InsecureOutputHandling（不安全的輸出處理大模型生產(chǎn)模塊輸出內(nèi)容并傳遞時(shí)未經(jīng)充分的驗(yàn)證和處理，將生成的惡意內(nèi)容傳遞給下游系統(tǒng)組件，包括大模型應(yīng)用服務(wù)接口和下游系統(tǒng)組件與大模型的傳輸接口處，可能導(dǎo)致2121LLM03：TrainingDataPoisoning（訓(xùn)練數(shù)據(jù)中毒該漏洞主要存數(shù)據(jù)源被惡意投遞不安全的數(shù)據(jù)，導(dǎo)致大模型訓(xùn)練數(shù)據(jù)被篡改生成錯(cuò)誤內(nèi)容，甚至可以通過(guò)篡改數(shù)據(jù)引入安全漏洞來(lái)破壞交互，使大模型服務(wù)受到干擾甚至崩潰，具體出現(xiàn)環(huán)節(jié)包括大模應(yīng)服務(wù)接口與大模型生產(chǎn)模塊之間，以及在大模型生產(chǎn)模LLM05：SupplyChainVulnerabilities（供應(yīng)鏈漏洞在整個(gè)大模型的應(yīng)用程序架構(gòu)中，使用的第三方模型、插件或數(shù)據(jù)源都可能存在供應(yīng)鏈漏洞從而導(dǎo)致整個(gè)大模型出現(xiàn)安全問(wèn)題，具體可表現(xiàn)為第三方組件漏洞、訓(xùn)練數(shù)據(jù)源中毒、第三個(gè)LLM06：SensitiveInformationDisclosure（敏感信息泄露可能因?yàn)檩敵鲂ｒ?yàn)和過(guò)濾機(jī)制不完善現(xiàn)未脫敏以及模型學(xué)習(xí)上判斷上的誤差等問(wèn)題，導(dǎo)致LLM在輸出中泄露敏感信息、私有算法或機(jī)密信息等，出現(xiàn)未經(jīng)授LLM07：InsecurePluginD其本身具備一定的權(quán)限。然而其在自主設(shè)計(jì)可能出現(xiàn)訪問(wèn)控制不足的情況，導(dǎo)致攻擊者惡意請(qǐng)求插件，從而引發(fā)遠(yuǎn)程代碼LLM08：ExcessiveAgency（過(guò)度代理在大模型的使用過(guò)程中，通常會(huì)賦予大模型生產(chǎn)模塊對(duì)系統(tǒng)一定程度的操作權(quán)限以具備一定的自主能力。在這個(gè)過(guò)程中授予大模型過(guò)度的調(diào)度功能和權(quán)限將可能被攻擊者惡意利用執(zhí)行未授權(quán)的攻擊行益、惡意競(jìng)爭(zhēng)、學(xué)術(shù)竊取等動(dòng)機(jī)的驅(qū)使下，利用未授權(quán)訪問(wèn)漏洞訪問(wèn)大模型存儲(chǔ)庫(kù)、利用側(cè)信道攻擊獲取模型權(quán)重和架構(gòu)2222人工智能技術(shù)，這把現(xiàn)代科技的雙刃劍，在降低黑客攻擊門檻的同時(shí)，也為加固網(wǎng)絡(luò)安全防線提供了強(qiáng)有力的工具。正確應(yīng)用人工智能技術(shù)的特性，可以實(shí)現(xiàn)在漏洞挖掘、未知漏洞獵捕、漏洞優(yōu)先級(jí)排序、漏洞修復(fù)等關(guān)鍵環(huán)節(jié)的自動(dòng)化和精細(xì)化管理，從而顯著提高安全漏洞的防御能力。這些技術(shù)的應(yīng)用，不僅優(yōu)化了安全防護(hù)流程，還加強(qiáng)了對(duì)潛在威脅的預(yù)見性在漏洞挖掘方面，融合人工智能技術(shù)與程序分析，能夠?qū)崿F(xiàn)自動(dòng)化安全漏洞挖掘。傳統(tǒng)的安全漏洞挖掘更多依賴于專家的深厚知識(shí)，且通常效率較為低下。相比之下，結(jié)合人工智能技術(shù)的漏洞挖掘方法在提升效率和降低成本方面表現(xiàn)突出。由ForAllSecure開發(fā)、并獲得美國(guó)國(guó)防高級(jí)研究計(jì)劃局（DARPA）資助的漏洞。人工智能技術(shù)結(jié)合安全知識(shí)圖譜，可以實(shí)現(xiàn)從多源異構(gòu)的公網(wǎng)情報(bào)、客戶現(xiàn)網(wǎng)攻擊流量以及漏洞影使漏洞排序具備可解釋性。深信服的檢測(cè)大模型，在訓(xùn)練過(guò)程吸收了大量的安全知識(shí)和專家經(jīng)驗(yàn)，不僅對(duì)于流量本身有深刻的理解，對(duì)細(xì)微特征關(guān)聯(lián)也有很強(qiáng)的敏感性，可以實(shí)現(xiàn)高效的威脅檢出，同時(shí)基于生成在漏洞修復(fù)方面，借助人工智能技術(shù)化被動(dòng)為主動(dòng)，實(shí)現(xiàn)對(duì)潛在漏洞的預(yù)測(cè)和快速修復(fù)。傳統(tǒng)的漏洞修復(fù)修復(fù)的效果，能夠減少人工驗(yàn)證的時(shí)間和成本，提高修復(fù)的效率和準(zhǔn)確性。深信服依托自研安全GPT已經(jīng)建立了完善的漏洞管理機(jī)制，在AI大模型技術(shù)賦能下實(shí)現(xiàn)高效的漏洞識(shí)別、自動(dòng)化的漏洞響應(yīng)和全面2323為有效應(yīng)對(duì)日益加快的漏洞發(fā)現(xiàn)和利用速度，的利用過(guò)程，許多0day漏洞在公開披露的當(dāng)天就可能遭到大規(guī)模的惡意利用。漏洞未修復(fù)的時(shí)間窗口內(nèi)，發(fā)起廣泛的攻擊行動(dòng)，從而拉開攻擊與漏洞修復(fù)的時(shí)間差，不僅能取得更好的攻擊效果，而且?guī)缀鯖]有時(shí)間來(lái)部署修復(fù)措施。面對(duì)這種嚴(yán)峻的形勢(shì)，傳統(tǒng)的安全防護(hù)措施在AI驅(qū)動(dòng)的網(wǎng)絡(luò)攻擊面前顯得力不從心。因近一年來(lái)，第三方組件、移動(dòng)設(shè)備的漏洞利用上升趨勢(shì)明顯，需重點(diǎn)關(guān)注。第三方組件0day更傾向于通過(guò)這些組件發(fā)起供應(yīng)鏈攻擊，利用其中的漏洞來(lái)滲透目標(biāo)系統(tǒng)。針對(duì)漏洞修復(fù)不徹底導(dǎo)致新的0day漏洞頻繁出現(xiàn)，需要重點(diǎn)加強(qiáng)不徹底漏洞的變體利用形成新的0day漏洞現(xiàn)象在近幾年屢次出現(xiàn)。主要由于漏洞根本需要產(chǎn)品提供者加強(qiáng)對(duì)漏洞更新的深入分析，不僅僅關(guān)注當(dāng)前漏洞表現(xiàn)，更需要通過(guò)根本原因分析來(lái)修復(fù)漏洞，并加強(qiáng)修復(fù)后的測(cè)試工作，確保補(bǔ)丁有效率。這不僅能夠減少新漏洞的產(chǎn)生，還能夠提高整體的安全防護(hù)水平，構(gòu)建更為穩(wěn)固的安2424一是支撐政府加快制定開源軟件漏洞風(fēng)險(xiǎn)防范相關(guān)的政策制度，推動(dòng)開源軟件漏洞監(jiān)管工作落一是支撐政府加快制定開源軟件漏洞風(fēng)險(xiǎn)防范相關(guān)的政策制度，推動(dòng)開源軟件漏洞監(jiān)管工作落地執(zhí)行。結(jié)合各地行業(yè)數(shù)字化轉(zhuǎn)型安全保障要求，制定適用于當(dāng)?shù)刂攸c(diǎn)行業(yè)領(lǐng)域的開源軟件漏洞治理規(guī)范要求；監(jiān)管單位內(nèi)部及各關(guān)鍵基礎(chǔ)設(shè)施機(jī)構(gòu)所使用的開源代碼安全，保障數(shù)字政府建設(shè)的安全可靠；配套出臺(tái)漏洞激二是推動(dòng)軟件供應(yīng)鏈上下游構(gòu)建開源漏洞協(xié)同治理體系。開源軟件安全漏洞的治理應(yīng)貫穿開源軟件設(shè)計(jì)、開發(fā)、發(fā)布、下載、運(yùn)行等全生命周期各個(gè)階段，相關(guān)參與主體應(yīng)樹立開源漏洞安全責(zé)任意識(shí)，盡最大可具備安全開發(fā)能力，在代碼提交、合并前進(jìn)行充分的安全測(cè)試。代碼托管平臺(tái)方面，對(duì)平臺(tái)所托管的開源項(xiàng)目提供代碼安全管理環(huán)境和漏洞風(fēng)險(xiǎn)監(jiān)控服務(wù)，對(duì)于長(zhǎng)時(shí)間未得到漏洞修復(fù)的開源項(xiàng)目，應(yīng)控制其傳播修復(fù)等工作，包括且不限于提供必要的技術(shù)支持和資源工具、建設(shè)開源項(xiàng)目漏洞安全評(píng)估管理體系、周期開源軟件使用者方面，如軟件開發(fā)商、系統(tǒng)集成商面向市場(chǎng)或消費(fèi)者提供軟件產(chǎn)品、服務(wù)，應(yīng)作為第一責(zé)任人應(yīng)承擔(dān)整個(gè)軟件產(chǎn)品、服務(wù)的漏洞測(cè)試、修