隨著信息技術的廣泛應用，網絡攻擊的手段和技術層面越來越復雜，挑戰企業和個人的安全防線的同時，也對社會的安全管理和意識提出了更高的要求。漏洞是網絡防御的基礎，深入了解漏洞本質、追蹤其演變態勢并采取相應防御措施，成為保障網絡安全的關鍵所在。

近日，360數字安全集團重磅發布《2024年度網絡安全漏洞分析報告》（以下簡稱《報告》），綜合分析2024年內爆發的漏洞整體態勢，解析不同行業漏洞分布差異成因，剖析多起典型案例技術細節，并拓展了一系列影響深遠的全球網絡安全事件，以期為企業、機構及專業人士提供有價值的洞察，更好地構建安全防線。

年度漏洞數量激增，安全態勢日益嚴峻

《報告》顯示，2024年全球漏洞總數達到44,957個，相較于2023年增長超過50%，創下歷史新高。其中，高危和嚴重漏洞的占比超過50%。這一趨勢反映了軟件開發和使用的復雜性在不斷增加，漏洞的發現和披露周期也在縮短，全球企業在漏洞披露、修復的過程中，面臨著更大的壓力和挑戰。

2024年，360漏洞情報團隊基于安全大模型，結合使用廣度、行業關注度、客戶關注度、漏洞攻擊復雜度和補丁發布情況等多維度指標對全年披露的漏洞進行綜合研判分析，發布了超800條需要用戶重點關注的漏洞情報，其中600條易被利用，300余條為需要盡快修復的高危漏洞，有效幫助企業、機構和相關從業者進行針對性安全防護。

實戰暴露常見技術缺陷，OA系統漏洞仍是攻防演練殺器

《報告》指出，跨站點腳本攻擊（XSS）和SQL注入仍然是最常見的漏洞類型，分別占據了漏洞數量的前兩位。盡管近年來安全措施不斷加強，但這些經典漏洞仍然頻繁出現在網絡安全事件中，表明很多系統在基本的安全設計和開發實踐中依然存在隱患。

2024年攻防演練期間，360累計捕獲80,702條攻擊樣本，通過360漏洞云情報訂閱服務平臺發布漏洞預警180余條，其中超98%為高危及嚴重級別漏洞，幫助廣大企業精準定位關鍵風險并前置修復，結合主動防御策略，有效降低80%以上的攻擊威脅。數據顯示，辦公自動化系統（OA）成為攻擊重災區，ERP等核心業務系統緊隨其后。由此可見，攻擊者往往更傾向于針對企業日常運營中涉及廣泛、數據密集的業務系統發起攻擊。

漏洞行業化差異明顯，360獨家分類標準精細化情報顆粒度

《報告》對不同領域的漏洞分布情況進行了詳細分析，顯示出行業間存在明顯的安全差異。從整體分布來看，通用行業漏洞占比接近90%，教育、金融和醫療等關鍵行業緊隨其后，暴露出大量安全隱患。

360漏洞情報團隊沉淀多年攻防演練實戰經驗，根據不同的攻防場景和漏洞利用特征，制定了針對攻防場景下的獨家行業分類標準，對所有漏洞數據進行了行業標注，實現對全量漏洞數據的標準化分析，進而幫助企業深入了解各行業的漏洞分布特點，實現全量漏洞數據的高效管理與精準識別。

供應鏈安全隱患顯現，AI與新興技術治理成重點

《報告》顯示，2024年內軟件供應鏈相關漏洞頻現，如Red Hat與CISA發現的供應鏈漏洞、CocoaPods依賴管理器的多個安全缺陷等；此外，黎巴嫩大量BP機和尋呼機被遠程引爆，造成數千人受傷，背后直指供應鏈攻擊，供應鏈安全風險管理成為重要挑戰。加強對供應鏈的全面審計和監控是防范此類攻擊的必要手段。

同時，人工智能技術發展迅速，也帶來諸多風險挑戰，2024年，360曝光了近40個大模型相關安全漏洞，影響范圍覆蓋llama.cpp、Dify等知名模型服務框架，以及Intel等國際廠商開發的多款開源產品，敲響人工智能安全警鐘。此外，人工智能相關法律法規持續出臺，聯合國通過人工智能全球決議、歐盟的《人工智能法案》以及中國《人工智能生成合成內容標識辦法（征求意見稿）》的發布，體現了全球各國對AI技術潛在風險的高度關注。不難看出，AI與新興技術的治理將成為各界關注的焦點。

面對復雜且不斷變化的漏洞威脅，360作為國內唯一兼具數字安全和人工智能能力的公司，充分利用安全大模型對漏洞治理關鍵能力進行智能化升級，形成了覆蓋漏洞治理生命周期各階段的安全技術及服務能力和可面向不同行業及業務方向的漏洞服務平臺，提供優質的漏洞情報訂閱服務、可控的安全眾測/眾包服務、及時的漏洞應急響應服務、高效的漏洞補丁推送服務，以及專業的漏洞安全專家服務。

未來，360將依托自身在漏洞安全領域的技術積累，助力提高網絡產品安全漏洞的研究水平和預警能力，推動數字安全生態的健康發展，為構建更加安全、可靠的網絡環境貢獻力量！