本报告基于国家信息安全漏洞库(CNNVD)数据,分析了 2024 - 2025 年全球网络安全漏洞的趋势。数据显示,2025 年漏洞数量持续攀升,高危及以上级别漏洞占比显著扩大,网络空间安全风险日益加剧。
在此背景下,统信软件积极探索人工智能(AI)与安全技术的深度融合,通过自主研发的 U-SCAN 漏洞扫描及 AI 静态代码分析工具,实现了从被动响应到主动防御的范式转变,有效提升了漏洞发现与修复的效率与精准度。
Part 01 漏洞数量统计与趋势分析
漏洞数量持续激增,安全压力倍增
2025 年全球新增漏洞披露数量达到 48,367 个,同比增长 20.79%。这一趋势表明,随着数字化进程加速和攻击面不断扩大,软件供应链的安全隐患已成为常态化的系统性风险。
高危漏洞占比扩大,威胁等级升级
漏洞等级分布数据显示,2025 年“超危”与“高危”漏洞总数达到 16,686 个,占全年总量的 34.5%,较 2024 年有明显上升。这反映出攻击者正越来越多地利用高影响力漏洞进行精准打击,对关键信息基础设施构成直接威胁。
综上,2025 年漏洞数量的大幅增长与高危漏洞占比的提升,叠加月度波动带来的应急压力,共同加剧了网络空间的安全风险,倒逼各单位加快升级漏洞检测与防护体系,提升应对复杂威胁的能力。
统信软件 2025 漏洞修复数量
统信安全应急响应中心(USRC)公告数据显示,2025 年统信软件累计修复各类漏洞 14,651 个,覆盖桌面端、服务器端全系列产品,有效降低了产品安全风险,为用户构建了可靠的安全防护屏障。
面对全球安全漏洞频发的严峻挑战,统信软件采用 Rust 语言对操作系统核心组件进行安全重构,利用其所有权模型、生命周期检查和编译时内存安全保证等特性,在不依赖垃圾回收(GC)的前提下,实现了内存安全与高性能的完美结合。
目前已完成近十个关键系统组件的 Rust 化改造,成功降低 85% 的内存安全风险,并将性能损耗控制在 5% 以内,满足生产环境性能要求。
在软件供应链攻击日益严峻的形势下,统信 UOS 构建了“三重签名、双层验证”的全栈安全体系,实现从软件分发到运行时的全生命周期可信管控:
◉ 三重签名:
开发者签名确认软件所有权,防止伪造;
商店签名限制分发权力,确保审核后的软件在传播中未被篡改;
企业签名支持内网私有化部署场景。
◉ 双层验证
在软件包层,安装时强制验证 deb 包数字签名,未签名或验证失败的软件默认禁止安装;
在可执行文件层,通过 deepin-elf-verify 服务对 ELF 文件进行实时完整性校验,结合内核安全接口实现驱动层强制签名验证,防止恶意代码执行。
面对内核漏洞“底层不可见、利用危害大、补丁修复难”的行业难题,统信软件自研内核漏洞安全防护技术(KVSP),采用内核运行时完整性检查技术,能够实时监控和阻断针对内核的漏洞利用链路,无需依赖内核补丁升级即可实现对漏洞利用攻击的防护。
KVSP 总体架构如下:
安全测试中,基于 KVSP 技术加持的统信服务器操作系统安全增强版,在没有针对性安全补丁的情况下,可以加固操作系统内核,防御包括堆喷、绕过、白名单覆写、ROP 攻击等多种漏洞利用类型,综合防御率达到 75%,KVSP 不仅能防御已知的 CVE 漏洞,还能有效防护未知的 0day 漏洞利用。
Part 02 漏洞类型分布与威胁分析
主要漏洞类型(Top10)
2025 年披露的漏洞类型呈现出“Web 相关漏洞主导、逻辑类漏洞增速较快”的特点,Top10 漏洞类型覆盖了从前端交互到后端服务的全链路安全风险。其中:
跨站脚本(XSS)漏洞以 5732 个位居首位,占 Top10 漏洞总数的 27.68%,此类漏洞常被用于窃取用户 Cookie、植入恶意脚本,是 Web 攻击中最常用的手段之一。
注入漏洞以 4180 个排名第二,占比 20.15%,包括 SQL 注入、命令注入等,攻击者可通过构造恶意输入直接操控数据库或执行系统命令,危害极大。
代码问题(2094个)、授权问题(1796个)、跨站请求伪造(CSRF,1570个)分别位列第三至五位,反映出软件开发过程中代码规范管控、权限校验机制、跨域安全防护等环节仍存在普遍短板。
此外,缓冲区错误、资源管理错误、路径遍历、输入验证错误、信息泄漏类漏洞亦进入 Top10,覆盖了内存安全、资源调度、文件访问、数据校验等核心安全场景,漏洞类型的多样性意味着攻击面持续扩大。
主要受影响应用(Top10)
从受影响应用分布来看,开源组件与常用软件成为漏洞高发载体,其中:
WordPress 插件以 11013 个漏洞遥遥领先,占 Top10 受影响应用漏洞总数的 58.47%,主要原因在于 WordPress 插件生态庞大、第三方开发者安全能力参差不齐,大量插件存在代码不规范、权限校验缺失等问题,成为攻击者针对网站的主要突破口。
Linux 内核以 5604 个漏洞排名第二,占比 29.79%,作为开源操作系统核心,其漏洞影响范围极广,可被用于提权、系统劫持等高危攻击,对服务器、嵌入式设备等均构成严重威胁。
传统操作系统与浏览器亦处于高风险状态,Microsoft Windows 漏洞 623 个、Apple macOS 漏洞 385 个、Google Chrome 漏洞 187 个,此类软件用户基数大,漏洞被利用后可能造成大规模安全事件。
此外,移动终端相关应用(Apple iOS 171个、Google Android 325个)、华为 HarmonyOS(220个)及高通芯片组(330个)的漏洞数量也进入 Top10,反映出移动设备与物联网终端的安全风险持续上升,漏洞威胁已从传统 PC 端、服务器端延伸至全终端场景。
Part 03 AI 漏洞检测
面对 2025 年复杂严峻的漏洞态势,传统基于规则匹配、版本比对的漏洞扫描技术已难以满足“精准、高效、全面”的防护需求。统信软件依托 AI 技术与安全能力的深度融合,研发 U-SCAN 漏洞扫描工具及 AI 静态代码检测工具,构建“动态检测+静态审计”的双轮驱动体系,大幅提升漏洞识别、分析及修复的全流程效率。
U-SCAN漏洞扫描
U-SCAN 是一款专注于安全扫描和分析的产品,可以从多个维度进行漏洞识别,其主要功能和特点如下:
◉ 基础漏洞识别
采用高精度版本比较技术,结合统信官方漏洞库,实现对软件漏洞的精准定位,准确率达 99.9% 以上。工具可自动扫描目标资产的软件版本信息,与漏洞库进行实时比对,快速输出受影响资产清单及漏洞详情,大幅降低人工排查成本。
◉ AI 攻击链路分析
突破传统漏洞孤立检测的局限,依托大语言模型与攻击链知识库,自动识别不同漏洞间的关联关系,构建完整攻击链路。从初始访问(如利用 CVE-2023-38408 漏洞突破边界防护)、权限提升(如通过 CVE-2024-38612 漏洞获取高权限),到持久化(植入系统后门)、最终数据泄露(窃取核心敏感信息),全链路可视化呈现攻击路径,助力安全人员精准定位防御薄弱点,优先封堵关键漏洞。
◉ 多元 AI 赋能
具备漏洞组合利用模拟、攻击面智能分析、智能修复推荐三大核心 AI 能力:
可预测攻击者可能的漏洞组合攻击方式,提前构建防御策略;
自动分析资产暴露面,识别潜在安全风险点;
结合漏洞危害等级、资产重要性,推荐最优修复方案及实施优先级,实现漏洞闭环管理的智能化升级。
AI 静态代码检测介绍
针对 C/C++ 项目的代码安全审查需求,统信 AI 静态代码检测工具摒弃传统正则匹配的局限性,创新采用“基于语义的模块聚合”技术,赋予 AI 完整的程序逻辑视野,既能识别传统代码安全缺陷,又能精准检测鉴权缺失、逻辑绕开等复杂逻辑漏洞,从源头规避漏洞引入。其核心工作流程如下:
◉ 智能资源采集
自动扫描指定源码目录,支持按文件扩展名过滤、大文件熔断机制,主动排除测试用例、第三方依赖、日志文件等无关资产,显著降低无效 Token 消耗,提升代码分析的效率与精准度,避免无关信息干扰检测结果。
◉ 基于语义的模块聚合
不止于传统工具的“语法扫描”,深入解析函数调用链、控制流分支、指针别名及数据依赖关系,将分散的代码片段聚合成具有完整执行语义的逻辑单元,构建程序级上下文视图,实现对复杂代码逻辑的深度理解,为漏洞精准检测奠定基础。
◉ 多模态漏洞探测
调用大语言模型执行深度语义审计,与传统正则匹配模式不同,AI 能够识别非典型内存竞争、复杂逻辑绕开、隐式权限校验缺失等传统工具难以检测的漏洞类型,覆盖更多潜在安全风险,大幅提升漏洞检出率。
◉ 二次验证体系
引入独立的“评审专家”模型,对初筛漏洞结果进行攻击链可行性验证。通过模拟真实攻击场景,评估漏洞是否可被实际触发、是否具备提权、数据泄露等实际危害,过滤理论性漏洞或不可达路径漏洞,有效降低误报率,确保检测结果具备高可落地性。
◉ 误报阻断机制
基于历史误报数据库与语义指纹比对技术,自动识别并过滤已知误报模式。工具可通过持续学习用户反馈与审计结果,不断优化检测算法与误报识别模型,持续提升检测精度,为开发人员与安全审计人员提供高置信度的检测报告。
该工具已在内部代码审计中成功发现多个 0day 漏洞,有效提升系统安全性。
Part 04 展望未来
2025 年网络漏洞数量的持续攀升、高危漏洞占比的扩大及攻击面的延伸,凸显了网络安全防护的复杂性与紧迫性。面对日益严峻的安全形势,统信软件将以“主动防御、智能检测、精准响应”为战略核心,从以下维度持续深化 AI 与安全的融合创新:
◉ 构建智能安全引擎
未来我们将持续迭代 U-SCAN 漏洞扫描工具与 AI 静态代码检测工具,重点突破大模型安全对齐、多模态威胁感知、自动化漏洞修复(Auto-Patch)等前沿技术。通过构建“AI 安全大脑”,实现对未知威胁的预测性防御,缩短漏洞平均检测时间(MTTD),降低修复响应时间(MTTR)。
◉ 从单点工具到全栈安全体系
我们将推动漏洞检测能力从“工具级”向“平台级”跃迁,深化与国产芯片、中间件、数据库的底层协同,打造软硬一体的安全防护基座。同时,积极探索 AI Agent 在安全运维领域的应用,实现 7×24 小时不间断的智能安全巡检与自动化响应,大幅降低企业安全管理成本。
未来,统信软件将以“主动防御、智能检测、精准响应”为核心,持续完善国产操作系统安全防护体系,通过技术创新与实践积累,为政府、企业及个人用户提供更安全、更可靠的产品与服务,助力我国网络空间安全能力的整体提升,为数字经济发展筑牢安全屏障。
统信软件
统信UOS