文章总结： 文档基于VulnCheck报告分析2025年漏洞态势，指出仅1%的CVE被实际利用，但勒索软件相关漏洞中零日占比超56%。AI生成伪造PoC严重污染情报源，攻击者利用速度加快，近29%利用发生在披露当天。报告建议防御者放弃全面修补幻想，聚焦真实被利用漏洞，应对零日威胁与信息污染，提升响应速度与精准度。 综合评分： 89 文章分类： 威胁情报,漏洞分析,漏洞预警

2025年漏洞战场的真相：喧嚣之下，暗流涌动

原创

网空闲话 网空闲话

网空闲话plus

2026年2月27日 06:58 北京

2025年，网络安全行业在喧嚣与焦虑中走过。超过4.8万个新CVE的发布量，再次刷新历史纪录；AI生成的漏洞利用代码在GitHub上泛滥成灾；React2Shell等“完美风暴”式漏洞的爆发，让整个行业为之震动。然而，当喧嚣散去，VulnCheck最新发布的《2026年漏洞利用情报报告》揭示了一个与大众感知截然不同的真相：在漏洞的汪洋大海中，真正的威胁远比想象中集中，而水面下的暗流——零日漏洞的泛滥、AI带来的信息污染、攻击速度的极限压缩——则比以往任何时候都更加凶险。

这是一个“信号”与“噪声”严重失衡的年代。 防御者手握前所未有的工具和数据，却在优先级排序的迷宫中越陷越深。攻击者不再需要广撒网，他们只需精准捕捉那1%的致命漏洞，便能撬动惊人的破坏力。以下是我们从2025年的数据中提炼出的五大核心真相。

真相一：1%的残酷法则——真正的威胁远比想象中集中

2025年，共有超过4.8万个新CVE被发布，其中83%拥有2025年的编号。然而，在这海量数字背后，一个残酷的现实是：全年仅有1%（约422个）的CVE被观测到在野利用。 即便是拥有公开PoC（概念验证）代码的漏洞（占全年CVE的26%），其实际被攻击者选中的概率也微乎其微。

这意味着什么？意味着绝大多数安全团队耗费精力去追踪、扫描和修补的漏洞，在攻击者眼中可能毫无价值。VulnCheck安全研究副总裁Caitlin Condon尖锐地指出：“过去那些半可靠的风险指标（如CVSS评分、PoC的简单存在），现在已经不再可靠。防御者们不知道该关注哪些漏洞，优先级排序仍然是一个巨大的难题。”

真相二：零日的阴霾——勒索软件的“私家武器库”

如果说1%的利用率是“广度”上的收缩，那么在“深度”上，2025年展现出的是令人不安的进化。数据显示，全年仅有39个新漏洞被确认与勒索软件攻击相关，数量同比下降了25%。但这并非好消息。

在这39个漏洞中，高达56.4%是在被利用之后才被发现和披露的——即它们都是“零日漏洞”。 这意味着，超过一半的勒索软件新锐武器，在攻击发生之前是完全未知的。更令人担忧的是，截至2026年1月，仍有三分之一的勒索软件相关漏洞没有公开或商业可用的漏洞利用代码。这表明勒索集团（如攻击Oracle EBS的Cl0p团伙）正成功地将其攻击链私有化，“私家武器库”已成为勒索软件的核心竞争力。

典型案例是Fortinet FortiOS的CVE-2024-55591，这个在2025年1月才披露的零日认证绕过漏洞，到年底已吸引多达6个知名勒索软件家族（包括DragonForce、RansomHub、Hunters International等）的利用，成为年度最受勒索团伙欢迎的攻击入口之一。

真相三：AI的双刃剑——从“辅助编码”到“信息污染”

2025年是AI深度介入漏洞利用生态的一年。一方面，AI确实加速了漏洞分析，但VulnCheck的报告中用“Enslopification”（意指低质内容的泛滥）一词，揭示了更阴暗的一面。

AI生成的漏洞利用代码正在大规模污染情报源。报告中举例，CVE-2025-55182（React2Shell）的早期所谓“PoC”完全是AI生成的伪造品，代码并未实际触发漏洞，却在被大量下载、转载，甚至被一些安全摘要系统当作权威信息吸收。另一个案例是，一个声称针对“TP-Link TL-WR840N认证绕过”（实为不存在的CVE-2018-12633）的伪造PoC库，因为README写得花团锦簇且包含大量表情符号，竟被Google的AI搜索摘要当作事实引用。

这种现象带来的后果是致命的：防御者在疲于奔命地验证虚假警报，而真正的攻击者却在暗处悄然得手。 VulnCheck的研究团队发现，一些标榜“功能完善”的PoC实际上只是代码框架，核心的漏洞触发逻辑完全缺失。AI并未在2025年让攻击变得更“聪明”，但它让防御环境的“信噪比”急剧恶化。

真相四：速度的竞赛——攻防窗口趋近于零

攻击者有多快？VulnCheck的KEV（已知被利用漏洞）数据集显示，2025年新增的884个在野利用漏洞中，有28.96%是在CVE公开的当天或之前就被利用了，相比2024年的23.6%有了显著提升。

React2Shell（CVE-2025-55182）是这一趋势的极端体现。这个在12月初才披露的React服务器组件RCE漏洞，凭借其10.0的CVSS评分、默认开启的脆弱配置以及内存驻留的攻击特性，在短短四周内就积累了236个有效的公开漏洞利用程序，成为史上被研究最多的CVE。Earth Lamia等国家支持的黑客组织，在漏洞披露后数小时内就开始尝试利用公开的（尽管最初是假的）PoC进行攻击。

微软SharePoint的“ToolShell”漏洞链（CVE-2025-53770等）则展示了另一种速度：补丁不完整导致的“零日”窗口。2025年7月，微软针对SharePoint的两个漏洞（CVE-2025-49704、CVE-2025-49706）发布补丁，但11天后被发现修复不完整，攻击者利用补丁绕过漏洞（CVE-2025-53770、CVE-2025-53771）发起了大规模攻击，在完整补丁发布前就已攻陷数百个组织，包括多个政府机构。防御者不仅要在补丁发布后争分夺秒，还要面对“补丁的补丁”所带来的复杂性和时间差风险。

真相五：层次化的利用——攻击者画像愈发清晰

尽管整体漏洞利用率低，但那些被选中的漏洞呈现出鲜明的层次化特征。VulnCheck发布的“2025年常规目标漏洞（RTV）”清单（共50个CVE）清晰地揭示了不同类型攻击者的偏好：

国家支持的APT组织（如Earth Lamia、RomCom）：更倾向于网络边缘设备（防火墙、VPN）和客户端软件（浏览器、WinRAR、7-Zip）的漏洞。Earth Lamia在2025年被观察到同时利用SAP NetWeaver（CVE-2025-31324）和React2Shell进行攻击，显示出其快速跟进高价值漏洞的能力。RomCom则延续其客户端攻击传统，利用WinRAR的路径遍历漏洞（CVE-2025-8088）配合启动文件夹实现代码执行。

勒索软件团伙：更偏爱超管软件（VMware ESXi的三联漏洞CVE-2025-22224/22225/22226）、文件传输工具（Fortra GoAnywhere CVE-2025-10035）和ERP系统（Oracle EBS、SAP NetWeaver）。他们的目标明确：获取最高权限、加密数据或进行数据窃取。值得注意的是，BYOVD（释放并加载有漏洞的驱动程序）技术成为勒索软件防御规避的标配，Akira团伙利用ThrottleStop驱动漏洞（CVE-2025-7771）的案例便是明证。

僵尸网络（如RondoDox）：则像“霰弹枪”一样，不分年代、不分类型地大规模扫描利用已知漏洞。RondoDox在2025年被观测到利用38个不同年份的CVE，从2013年的老旧漏洞到刚披露的HPE OneView漏洞（CVE-2025-37164）都在其武器库中，追求的是感染规模，而非漏洞的新颖性。

结语：在“不确定性”中寻找“确定性”

回顾2025年，漏洞态势的真相是复杂而分化的。海量CVE的喧嚣背后，是仅1%漏洞被利用的残酷现实；勒索软件相关漏洞数量下降的背后，是零日漏洞占比超过50%的严峻挑战；AI技术普及的背后，是信息污染导致防御效率降低的隐忧。然而，真正让安全从业者感到无力的，或许是更深层的结构性困境：

第一，优先级失效的困境。 当CVSS评分不再代表真实风险，当PoC的存在不再预示在野利用，传统的漏洞管理指标正在逐个崩塌。安全团队被困在“修补所有漏洞”的幻想与“不知该信什么”的现实之间，ROI持续走低。

第二，补丁管理的“莫比乌斯环”。 SharePoint漏洞链的教训表明，即便及时打上补丁，也可能因为补丁本身的缺陷而落入新的攻击窗口。更不用说那些“补丁后仍需数周才能覆盖所有受影响系统”的部署现实——而攻击者只需几个小时就能完成全网扫描。

第三，AI加剧的“劣币驱逐良币”。 开源情报曾是安全行业的重要基石，但AI生成的虚假PoC正在毒化这一水源。当搜索引擎的AI摘要开始引用伪造的漏洞信息，当自动化工具不加甄别地吸纳无效检测规则，防御者正在失去对“可信信息”的基本判断能力。

第四，归因滞后与认知盲区。 三分之一的勒索软件漏洞至今无公开PoC，意味着我们对攻击者能力的认知可能只是冰山一角。那些被成功隐藏的攻击链、那些未被发现的零日漏洞，才是真正的未知风险。

面对这些困境，或许我们需要接受一个现实：完美的安全是不可实现的乌托邦。 防御者的使命，不再是“防止所有攻击”，而是在有限资源下，做出最不坏的选择——聚焦那1%真正被利用的漏洞，紧盯那56.4%可能成为零日的攻击面，在AI生成的海量噪音中，守护住对“真实威胁”的敏锐嗅觉。

正如VulnCheck所言：“现在的问题不是‘我们会遭到攻击吗？’，而是‘我们是否在真正危险面前，反应得足够快？’”在2025年之后的未来，速度与精准度，或许将比全面性更重要。

参考资源

1、https://www.vulncheck.com/2025-routinely-targeted-vulnerabilities

2、https://cyberscoop.com/vulncheck-exploited-vulnerabilities-report-2025/

3、https://wwv.vulncheck.com/2026-vulncheck-exploit-intelligence-report

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《2025年漏洞战场的真相：喧嚣之下，暗流涌动》