近日,360数字安全集团漏洞研究院发布《2026攻防演练必修漏洞清单》,系统梳理了政企单位在国家级攻防演练前亟需关注的679个高危风险入口,并首次将AI基础设施列为独立攻击面。
清单显示,随着大语言模型在企业内部加速部署,大模型API网关、AI工作流平台、开发框架等新兴组件在过去一年集中暴露多条严重和高危漏洞,涉及未授权SQL注入、代码注入、反序列化等类型。此类组件通常部署在企业核心网络区域并拥有较高系统权限,安全审查往往滞后于功能迭代,一旦被利用,可能导致底层运行环境控制权和关键凭据外泄。
报告关注的另一重点是网络安全设备自身漏洞。防火墙、堡垒机、SD-WAN控制器等安全防护设备被曝出多条严重漏洞,涉及身份验证绕过、命令注入等高危场景。安全设备通常拥有较高网络权限,一旦被攻破,攻击方可借此绕过安全策略、篡改配置,甚至关闭告警规则,削弱防守方监测能力。
清单同时揭示,注入类漏洞占比超四成,近三分之一漏洞无需登录凭证即可利用。供应链集中风险持续累积,两家头部企业级软件厂商合计暴露漏洞超160条,OA、ERP等核心业务系统是漏洞密度最高的领域。一条底层框架的漏洞,可同时波及整个行业生态中数以万计使用相同组件的系统,放大效应不容小觑。
面向即将到来的攻防演练,360建议政企单位建立“事前排查、事中监测、事后固化”的漏洞治理闭环:演练前完成互联网暴露面梳理和高危漏洞修复;演练中加强对文件上传、命令执行、异常外联等行为监测;演练后结合攻击路径复盘,持续完善补丁管理和安全策略。
据悉,该清单依托360漏洞情报数据库,综合公开漏洞库、厂商安全公告、威胁情报研究及历年攻防演练实战数据形成。基于连续十年支撑国家级网络攻防实战演习的经验,360已将漏洞挖掘智能体融入传统漏洞研究体系,实现未知漏洞自主发现、已知漏洞自主复现及线索实时入库,构建从漏洞发现、情报研判到防护响应的闭环。未来,360将持续发挥AI驱动的威胁研判能力与攻防实战优势,筑牢政企数字化发展的安全底座。
