导语:Verizon第十九版《数据泄露调查报告》扔出一颗深水炸弹:漏洞利用以31%的占比首次超越凭证滥用,成为数据泄露的第一大入口。而这个数字背后,更危险的趋势是AI正在把漏洞武器化的时间压缩到负7天——即补丁还没上线,exploit就已经在野外流通。防御者的窗口期,从数月缩到数小时。
一、格局之变:攻击重心从”骗人”转向”打系统”
2026 DBIR分析了超过3.1万起安全事件,其中2.2万起确认为数据泄露,几乎是去年的两倍。在导致初始访问的路径上,历史性的角色互换正在发生:漏洞利用占31%,钓鱼占16%,凭证盗窃占13%——曾经霸榜多年的”骗人”战术(钓鱼+凭证滥用)正式让位给”打系统”。
这不是偶然。Verizon研究团队明确指出:威胁行为者正在借助AI加速漏洞利用,将防御窗口期从数月压缩至数小时。凭证盗窃退居次席,并不意味着它变弱了,而是漏洞利用变得更强、更快、更规模化。攻击者的算盘很清楚——与其费劲钓密码,不如直接打穿系统。
二、AI加速漏洞武器化:负7天的杀伤力
如果说31%的占比说明漏洞利用已经是主流,那AI的介入则让它变成了灾难。
Mandiant的M-Trends 2026报告提供了一个关键数字:当前漏洞利用武器化的速度已经比补丁发布平均提前7天——攻击者在厂商还没来得及修复时,就已经把exploit开发好、部署出去了。而这个速度还在被AI持续压缩。
Google威胁情报团队的首份AI零日利用报告更是实锤:黑客已使用AI模型自主生成零日漏洞利用工具并实施攻击。AI不仅能快速挖掘已知漏洞的变种,还能辅助完成攻击链的多个环节——从目标定位、初始访问,到恶意软件开发,攻击者借助AI将完整攻击周期压缩到数小时。
Verizon在报告中描述了一个令人不安的事实:威胁行为者通常借助AI辅助执行15种已记录的攻击技术,部分甚至达到40至50种。攻击门槛被大幅拉低,意味着更多低水平攻击者也能发起高效率入侵。
三、修复悖论:知道漏洞却补不过来
攻击在加速,防御却在减速——这才是整个报告最让人脊背发凉的地方。
2025年,漏洞补丁的全面修复中位时间已从32天恶化至43天,较上年增长34%。CISA KEV(已知被利用漏洞目录)的完整修复率仅为26%,同比大幅下降12个百分点。各组织需要修复的关键漏洞中位数,较上一年度增加了50%。
这形成了一个尖锐的悖论:知道漏洞存在,却无法及时修复。62%的数据泄露事件涉及人为因素,而Veracode的数据更是揭露了真相——只有2%的团队实现了完全自动化修复,49%的团队只能手动修复关键漏洞。这意味着大多数企业的安全团队,是在用人工的速度去追赶AI攻击的速度。
Mondoo合伙人Patrick Münch一针见血:”绝大多数攻击者不会等待一年才行动,他们关注的是’知道’与’修复’之间的时间差。而这个差距正在被AI放大。”
四、连锁反应:勒索软件、供应链与影子AI
漏洞利用的首要化,还带来了三重放大效应。
勒索软件持续升温:2025年,48%的确认数据泄露事件涉及勒索软件,较上年再升4个百分点。不过赎金支付金额中位数已降至14万美元以下,仅31%的受害者选择支付赎金——越来越多的企业选择拒付。
供应链攻击暴增:第三方相关入侵事件同比增长60%,占全部事件的48%。Verizon数据显示,仅23%的第三方组织彻底修复了云账号中的MFA缺失或配置问题,而在所有发现的问题中,只有50%在一个月内得到解决。供应链,已经成为攻击者绕过防线的最佳跳板。
影子AI异军突起:67%的用户正通过企业设备使用非企业账号访问AI服务,45%的员工已成为AI常规用户,而去年这一比例仅为15%。影子AI正在成为第三大非恶意数据泄露来源——不是攻击者的锅,但同样是企业无法忽视的风险敞口。
五、破局之路:从被动修复到设计安全
DBIR再次用数据敲响了警钟,但光有警示不够,行业需要实际行动。Veracode首席安全布道师Chris Wysopal给出了核心建议:各组织需要优先在开发阶段发现并修复漏洞,而不是等到数月甚至一年之后才处理。
具体来看,破局需要三个转变:第一,自动化修复替代人工修复,将平均43天的修复周期压缩到以小时计;第二,暴露面管理要覆盖第三方和影子AI,不能只盯着内部资产;第三,设计安全(Secure by Design)要在软件生命周期早期介入,在生成式AI持续改变代码漏洞风险格局的背景下,这一点尤为关键。
当AI将漏洞武器化的时间压缩到负7天,当补丁修复周期逆势拉长到43天,防守方如果还守着”先发现、再修复”的旧模式,被攻破只是时间问题。明年DBIR的数字,大概率会继续攀升——除非防御方真正开始用AI对抗AI。
版权声明:本文由华盟网原创发布,保留所有权利。配图由华盟网授权使用。
暂无评论内容