Aggregator

近日，全球领先的IT市场研究和咨询公司IDC发布《中国大模型安全评估平台厂商技术评估，2025》报告，对中国市场中主要大模型安全评估技术提供商进行能力评估。360数字安全集团凭借360大模型安全卫士领先的技术能力和实战水平，在模型安全、内容安全、智能化统一管理等维度获得五星满分评价，综合实力位列安全行业第一，与阿里云、火山引擎等大模型巨头并列第一梯队，全面引领大模型安全技术发展。

随着大模型技术广泛应用于政务、金融、医疗、能源等关键领域，数据隐私、模型安全、生成内容合规等问题日益凸显，大模型安全评估已从“可选项”转变为“刚需项”，直接关系到用户数据、财产乃至生命安全。IDC指出，大模型训练、部署、应用等全生命周期都需要持续的安全评估与管理，大模型安全评估得到市场广泛关注，包括云计算服务商、专用安全厂商及学术机构等纷纷加入市场竞争。

值得注意的是，主流云服务与人工智能厂商布局大模型安全评估，其战略重心主要聚焦于实现自身业务生态的安全闭环；相较而言，360在持续强化自身安全能力的基础上，充分发挥“懂AI更懂安全”的跨领域优势，通过系统性输出大模型安全解决方案，积极赋能千行百业智能化转型，推动构建覆盖全产业的AI安全生态。

在此次报告中，IDC从模型安全、数据安全、内容安全、应用安全、行业大模型适配、智能化统一管理等多个维度，对国内主流厂商展开全面评估。360基于“以模制模”理念打造的360大模型安全卫士，在模型安全、内容安全、智能化统一管理等关键维度均获五星满分评价，综合实力与阿里云、火山引擎共同位居前列，持续巩固360作为国内唯一兼具数字安全与人工智能双重能力企业的独特优势与行业引领地位。

具体而言，360大模型安全卫士面向企业和机构提供一站式的模型接入、数据管理、安全评测、任务管理及结果分析能力，帮助企业识别、量化并降低大模型在实际应用中的安全风险。覆盖风险检测、安全防护、模拟攻击、安全测评和AI资产及风险管理等五大方面：

· 风险检测：针对大模型输入输出的合规风险、提示注入风险、伦理风险等进行实时检测，支持批量检测与接口调用。

· 安全防护：对高风险输入提供安全代答、拒答等防护措施，结合可配置策略实现按需响应。

· 模拟攻击：通过自动化红队测试生成多种类型的攻击样本，验证模型在越狱攻击、规避审查、上下文污染等场景下的防御能力。

· 安全测评：基于自研的评测指标体系，从国家安全、公共安全、伦理安全、对抗安全、专业安全等维度对模型进行量化评分，生成可视化报告。

· AI 资产及风险管理：涵盖模型基座、模型管理、模型框架、模型工具、MCP、智能体等多维度资产及风险管理，实现模型应用全链路安全。

本次在IDC评估中多维度表现优异，是对360大模型安全卫士落地效果的高度肯定。目前，360大模型安全卫士已在政务、金融、能源、互联网等多个领域落地应用，帮助客户满足监管要求、降低安全风险、提升业务稳定性。

某金融客户表示，“通过360大模型安全卫士评估，我们在多数指标表现优异，大模型回答安全率达90％。评估还针对薄弱环节给出具体改进建议，不仅帮助我们摸清了AI安全短板，也为监管审核提供了有力支持。”

未来，360将继续深化跨领域优势，推进大模型安全卫士在各领域的实践应用，助力构建“可靠、可信、可控、向善”的AI生态。

梆梆安全发布《2025年Q3移动应用安全风险报告》。本报告基于梆梆安全移动应用监管平台在2025年第三季度的威胁监测数据与深度安全分析成果，系统梳理当前国内移动应用面临的新型攻击技术演进与安全趋势变化，聚焦盗版仿冒、境外数据传输、高危漏洞、个人隐私违规等多个维度，为移动应用安全建设工作提供参考与实践指引。

当前，我国互联网基础设施持续优化升级，数字经济与实体经济融合不断深入，移动互联网生态已逐步演进为支撑社会数字化转型的关键新型基础设施。根据CNNIC第56次统计报告显示，截至2025年6月，我国网民规模达11.23亿，互联网普及率达79.7%，其中手机网民规模为11.16亿，占整体网民的99.4%，进一步巩固了移动终端在数字接入生态中的核心地位。

在“人工智能+”行动计划的持续推动下，移动互联网发展正由“万物互联”向“万物智联”阶段加速演进。智能穿戴设备、智能家居与智能网联汽车等典型场景快速发展，手机应用程序作为智能生态的核心控制枢纽，与各类终端形成紧密协同。截至2025年6月，智能家居APP月活跃用户规模达3.72亿，智能网联汽车APP月活用户规模达0.89亿，智能家居与个人可穿戴设备的上网比例分别达21.4%与28.6%，反映出智能终端在网络接入中的广泛渗透与场景融合。

随着移动应用服务场景不断深化，应用安全、数据安全与合规治理面临日益严峻的挑战。违规收集用户信息、非授权使用数据、隐私泄露等安全事件频发，凸显出在技术防护与体系化治理层面构建全方位风险防控机制的迫切性。

（文末可扫码下载查看报告原文）

01国移动应用概况

根据梆梆安全移动应用监管平台对国内外1000+活跃应用市场实时监测的数据显示，2025年7月1日至2025年9月30日新发布的应用中，归属于全国的Android应用总量为108,645款，涉及开发者总量33,109家。

从APP的分布区域来看，广东省APP数量仍然位居第一，约占全国APP总量的19.95%，位居第二、第三的区域分别是北京市和上海市，对应归属的APP数量是17,548、10,950个。具体分布如图1所示：

图1 全国APP区域分布TOP10

从APP的渠道分布来看，截止统计周期内，全国移动应用分发市场有1,260家，位居渠道排名前三的分别为VIVO应用商店、应用宝、搜狗市场。全国移动应用渠道分布如图2所示：

图2 全国移动应用渠道分布TOP10

从APP的功能和用途类型来看，实用工具类APP数量稳居首位，占全国APP总量的 20.25% ；教育学习类APP位居第二，占全国APP总量的11.96%；商务办公类APP排名第三，占全国 APP总量的9.32%。各类型APP占比情况如图3所示：

图3 全国APP类型分布TOP10

02全国移动应用安全分析概况

根据《2025年Q2移动互联网行业数据研究报告》，当前人均移动应用安装量稳定在75款左右，日均移动设备使用时长在第二季度显著增长，已接近6小时，反映出移动应用对用户日常生活的深度渗透。整体来看，风险集中在数据违规收集、数据恶意滥用、数据非法获取、数据恶意散播。这些风险广泛存在于当前主流APP中，严重威胁数据安全与个人信息安全。

梆梆安全移动应用监管平台通过调用不同类型的自动化检测引擎，对全国Android应用进行抽样检测，风险应用从盗版（仿冒）、境外数据传输、高危漏洞、个人隐私违规4个维度综合统计，风险应用数量如图4所示：

图4 风险应用数量统计

01漏洞风险分析

从全国Android APP中随机抽取22,136款进行漏洞检测，发现存在漏洞威胁的APP为17,318个，即78.23%以上的APP存在中高危漏洞风险。在这17,318款APP的漏洞中，高危漏洞占比74.06%，中危漏洞占比98.03%（同一APP可能存在多个等级漏洞）。

对不同类型的漏洞进行统计发现，多数安全漏洞可以通过应用加固方案解决，由此也反映出部分开发者与运营者重功能轻安全防护，安全意识薄弱。应用中高危漏洞数量排名前三的类型分别为Java代码反编译风险、HTTPS未校验主机名漏洞、动态注册Receiver风险。各漏洞类型占比情况如图5所示：

图5 漏洞类型占比TOP10

从APP类型来看，实用工具类APP存在的漏洞风险最多，占漏洞APP总量的20.77%；其次为教育学习类APP，占比12.27%；生活服务类APP位居第三，占比8.89%，漏洞数量排名前10的APP类型如图6所示：

图6 存在漏洞的APP类型TOP10

02盗版（仿冒）风险分析

盗版APP是指未经版权所有人同意或授权的情况下，利用非法手段在原APP中加入恶意代码，进行二次发布，造成用户信息泄露、手机感染病毒，或其他安全危害的APP。

自2005年以来，为打击网络侵权盗版行为，国家版权局、工业和信息化部、公安部、国家互联网信息办公室四部门联合启动“剑网行动”，该行动针对网络侵权盗版的热点难点问题，聚焦网络细分领域，查处了一批侵权盗版大案要案，有效打击和震慑了网络侵权盗版行为，营造了良好的网络版权秩序，保护了互联网企业版权合法权益。“剑网2025”专项行动于2025年5月至11月开展，本次专项行动聚焦6个主要方面开展版权整治，包括：视听作品、动漫及游戏领域、计算机软件、网络存储+传播领域、网络销售、流媒体智能终端。

从全国的Android APP中随机抽取159款进行盗版（仿冒）引擎分析，检测出盗版（仿冒）APP 159个，其中实用工具、新闻阅读、游戏娱乐类应用是山寨APP的重灾区，各类型占比情况如图7所示：

图7 盗版（仿冒）APP类型TOP10

03境外传输数据分析

当前，随着数字经济的深入发展和全球化进程的加速，数据跨境流动已成为企业运营不可或缺的环节。重要数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能直接危害国家安全与公共利益。因此数据出境合规管理，不仅是提高数字经济全球竞争力的基础，更是守护国家安全的保障。

国家互联网信息办公室会同相关部门持续完善数据出境安全管理体系，相继出台《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等核心法规，并建立个人信息保护认证制度，为数据处理者提供了多维度、全流程的合规指引。

从全国的Android APP中随机抽取5,515款Android APP进行境外数据传输引擎分析，发现其中515款应用存在往境外的IP传输数据的情况，从统计数据来看，发往澳大利亚的最多，占比52.04%；其次是发往美国，占比37.67%。无论是针对移动应用程序自身程序代码的数据外发行为，还是针对第三方SDK的境外数据外发行为，都建议监管部门加强对数据出境行为的监管。数据传输至境外国家占比排行情况如图8所示：

图8 数据传输至境外国家占比TOP10

从APP类型来看，实用工具类APP往境外IP传输数据的情况最多，占境外传输APP总量的17.67%；其次为其他类APP，占比10.49%；生活服务类APP占比9.51%，位列第三。各类型占比情况如图9所示：

图9 境外传输数据APP各类型占比TOP10

04个人隐私违规分析

2025年央视“3·15”晚会揭露了黑灰产业利用技术手段非法攫取个人隐私的乱象，包括披着合法外衣的“电子签高利贷陷阱”以及滥用AI技术骚扰用户的黑色产业链，个人信息安全面临严峻挑战。针对这些问题，国家监管机构高度重视。3月28日，中央网信办、工业和信息化部、公安部、市场监管总局联合发布《关于开展2025年个人信息保护系列专项行动的公告》，深入治理APP、智能终端、公共场所人脸识别等场景中违法违规收集使用个人信息的典型问题。

当前，APP强制索权、违规收集使用个人信息等问题日益突出，暴露出企业在数据合规体系建设上的滞后。面对持续收紧的监管态势，企业须将“隐私合规”置于产品设计的核心。

基于《信息安全技术 个人信息安全规范》《APP违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等相关要求，从全国Android APP中随机抽取5,515款进行合规引擎分析，检测出76.72%的APP涉及隐私违规现象，如：违规收集个人信息、超范围收集个人信息、强制用户使用定向推送功能等。各违规类型占比情况如图10所示：

图10 个人隐私违规类型占比情况

从APP类型来看，实用工具类APP存在个人隐私违规问题最多，占检测总量的17.77%，其中五成以上涉及频繁申请权限问题；教育学习类APP存在隐私违规问题占检测总量的11.98%，位居第二；其他类APP存在隐私违规问题占检测总量的9.88%，位居第三。涉及个人隐私违规APP各类型占比如图11所示：

图11 个人隐私违规APP类型TOP10

05第三方SDK风险分析

第三方软件开发包（SDK）是由广告平台、数据服务商、社交网络及地图服务商等第三方提供的功能集成工具。为降低开发成本、提升功能实现效率，APP开发与运营方普遍在应用程序中集成各类第三方SDK，以快速实现相应服务。然而，一旦所集成的SDK存在安全漏洞，将可能引发供应链式安全风险，导致所有集成该SDK的应用程序面临被攻击的威胁。

从APP类型来看，实用工具类APP内置第三方SDK的数量最多，占比20.61%；其次为教育学习类APP，占比12.84%；其他类APP位列第三，占比8.48%。内置第三方SDK应用各类型APP占比如图12所示：

图12 内置第三方SDK应用各类型APP占比TOP10

06应用加固现状分析

在移动应用深度渗透生产生活的今天，其安全性已直接关系到用户隐私与企业核心资产。然而，若一款APP未经任何安全加固措施便上线运营，其在黑客与黑灰产眼中无异于“裸奔”，面临着如被逆向分析、反编译、二次打包、恶意篡改等诸多安全风险。因此，对APP进行专业的安全加固，通过代码混淆、加密、运行时保护等一系列技术，为应用穿上“铠甲”。

从全国的Android APP中随机抽取32,779款进行加固引擎检测，检测出已加固的应用仅占应用总量的38.9%。

从应用类型来看，APP加固率排名前三的分别是金融理财、党政机关、新闻阅读类APP。不同APP类型加固占比如图13所示：

图13 不同APP类型加固占比

综合来看，报告揭示了当前移动生态中严峻的安全态势，超过78%的受测应用存在中高危漏洞，隐私违规应用占比高达76.72%，反映出开发环节中安全防护与合规意识的普遍缺失。此外，盗版仿冒、数据跨境传输、第三方SDK引入的供应链风险等问题亦不容忽视，共同构成移动业务健康发展的多重挑战。

面对日益复杂的风险环境，仅依靠单点防御已难以应对系统化威胁，构建覆盖开发、运营、监管与用户侧的全链条治理体系势在必行。梆梆安全提示：企业需将安全与合规前置至产品设计阶段，强化代码防护与数据治理；用户也应提升安全意识，审慎授权、规范用网。

作为深耕移动安全领域多年的践行者，梆梆安全始终致力于为企业提供体系化、智能化的安全解决方案。面对AI技术重塑安全格局的新阶段，我们将进一步融合大数据分析、AI赋能产品，打造更智能的应用防护、风险感知与响应体系，助力客户在复杂环境中筑牢安全防线，实现业务的可信数字化发展。

扫描下方二维码即可下载《2025年Q3移动应用安全风险报告》完整版