嘶吼

【梆梆安全监测】

安全隐私合规监管趋势及漏洞风险报告

（1026-1108）

●最新监管动态

监管通报动态

●监管支撑汇总

国家监管数据分析

●漏洞风险分析

各漏洞类型占比分析

存在漏洞的APP各类型占比分析 

01最新监管动态

1. 监管通报动态

10月24日，甘肃通管局依据相关法律法规，持续开展移动互联网应用程序（含小程序）个人信息合规专项整治行动。截至目前，尚有10款应用程序未完成整改或整改不到位，甘肃通管局现予以公开通报。2025年第四批通报涉及的9款应用程序，仍有5款未按要求完成整改，甘肃通管局现予以下架处置。

10月28日，工信部依据相关法律法规的要求，对APP、SDK违法违规收集使用个人信息等问题开展治理，经抽查，共发现42款APP及SDK存在侵害用户权益行为，上述APP及SDK应按有关规定进行整改，整改落实不到位的，工信部依法依规组织开展相关处置工作。

10月30日，病毒处理中心依据相关法律法规，检测发现70款移动应用存在违法违规收集使用个人信息情况。上期通报的病毒处理中心检测发现的69款违法违规移动应用，经复测仍有28款存在问题，相关移动应用分发平台已予以下架。

11月3日，四川和重庆通管局依据相关法律法规的要求，对川渝两地主流应用商店移动互联网应用程序（APP）进行了检查。截至目前，仍有11款APP/小程序未按要求完成整改。上述APP/小程序应限期完成整改落实工作，逾期不整改的，四川和重庆通管局将依法依规进行处置。

11月3日，北京通管局依据相关法律法规的要求，持续开展移动互联网应用程序隐私合规和网络数据安全专项整治。截至目前，尚有8款移动互联网应用程序未整改或整改不到位，北京通管局现予以公开通报。上期通报移动互联网应用程序并要求整改。截至目前，仍有7款移动互联网应用程序未整改或整改不到位，北京通管局现予以全网下架处置。

11月3日，上海通管局依据相关法律法规的要求，对APP（SDK）违法违规收集使用个人信息等问题开展治理。10月，上海通管局公示的一批存在侵害用户权益行为的APP（SDK）。经核查复检，尚有27款APP（SDK）未按照要求落实整改，上海通管局现对上述APP（SDK）采取下架处理。

11月3日，上海通管局依据相关法律法规的要求，对APP（SDK）违法违规收集使用个人信息等问题开展治理。经抽查发现53款APP（SDK）存在侵害用户权益行为，上海通管局现予以通报。

11月6日，安徽通管局依据相关法律法规的要求，对省内APP进行了拨测检查，检测发现28款APP存在违法违规收集使用个人信息的问题，安徽通管局对上述违规APP企业下达了责令改正通知书，要求限期完成整改工作。截至目前，尚有10款APP未完成问题整改，逾期不整改的，安徽通管局将依法依规组织开展相关处置工作。

11月10日，工信部依据相关法律法规的要求，对APP、SDK违法违规收集使用个人信息等问题开展治理，经抽查，共发现39款APP及SDK存在侵害用户权益行为，上述APP及SDK应按有关规定进行整改，整改落实不到位的，工信部依法依规组织开展相关处置工作。

11月11日，湖南通管局依据相关法律法规的要求，开展移动应用程序个人信息权益保护专项治理行动。9月，湖南通管局公开通报的41款未按期完成整改的移动应用程序，截至目前，仍有23款移动应用程序未按期完成整改，湖南通管局予以下架。

02监管支撑汇总

1. 国家监管数据分析

针对国家近两周监管通报数据，依据问题类型，统计涉及APP数量如下：

针对国家近两周监管通报数据，依据APP类型，统计出现通报的APP数量如下：

03漏洞风险分析

从全国的Android APP中随机抽取了2,376款进行漏洞检测发现，存在中高危漏洞威胁的APP为1,820个，即76.6%以上的APP存在中高危漏洞风险。而这1,820款漏洞应用中，有高危漏洞的应用共1,321款，占比72.58%，有中危漏洞的应用共1,776款，占比97.58%（同一款应用可能存在多个等级的漏洞）。存在不同风险等级漏洞的APP占比如下：

各漏洞类型占比分析

针对不同类型的漏洞进行统计，应用中高危漏洞数量排名前三的类型分别为Java代码反编译风险、HTTPS未校验主机名漏洞以及动态注册Receiver风险。各漏洞类型占比情况如下图所示：

存在漏洞的APP各类型占比分析

从APP类型来看，实用工具类APP存在漏洞风险最多,占漏洞APP总量的22.04%，其次为教育学习类APP，占比12.09%，生活服务类APP位居第三，占比10.31%，漏洞数量排名前十的类型如下图所示：

近日，2025中国—东盟数据安全产业创新合作论坛在广西南宁成功举办。论坛期间，中国软件评测中心联合数世咨询等机构正式发布了《2025中国数据安全企业全景图》。梆梆安全凭借在数据安全领域卓越的技术实力与专业服务，在数据跨境合规、数据资产识别、数据分类分级、数据加密、API安全、异常行为分析、数据安全检查工具箱、数据安全咨询服务、数据安全评估服务、数据安全人才培训服务、个人信息保护以及具备全球化服务能力等12项细分领域成功获选，充分体现了公司产品与服务的专业性以及行业的高度认可。

本次全景图系统梳理了国内数据安全产业的企业生态与市场格局，紧密围绕技术演进与场景创新，新增了前沿技术布局与热点应用场景，并突出对全球化服务能力的关注。在结构上，全景图共设立4个一级分类与34个二级分类，全面呈现我国数据安全产业的体系架构与发展动态，清晰反映出各细分领域中企业的分布格局与技术能力水平。该全景图的发布，不仅为政府与企业在把握产业态势、制定发展策略方面提供了权威参照，也将有力促进行业协同与生态共建。

梆梆安全入选详情

数据安全产品

数据安全服务

前沿技术与热点场景

全球化服务能力

作为数据安全领域的践行者，梆梆安全多年来持续深耕该领域，已构建起一套覆盖多场景的数据安全能力体系。公司在数据安全关键技术方面不断实现突破，依托自研的智能化产品与专业服务，形成包括API安全平台、移动应用合规平台、全渠道应用安全监测平台，以及涵盖个人信息隐私合规评估、个人信息保护合规审计、GDPR合规咨询等在内的综合服务矩阵。

基于上述能力，梆梆安全打造了覆盖数据全生命周期的防护体系，能够在复杂多变的实际应用环境中，为客户提供具备高度落地性与持续运营能力的安全支撑，有效应对日益动态化、高阶化的安全挑战。

关键场景实践中，梆梆安全聚焦于以下维度，实现精准能力部署：

风险监测与阻断：依托API安全平台、全渠道应用安全监测平台，构建持续化、体系化的安全感知与响应机制，实现对数据资产与业务接口的实时威胁感知与风险控制。

个人信息保护：系统性搭建专业的移动应用合规检测框架，通过覆盖应用全生命周期的自动化检测与深度分析，精准识别隐私合规性问题并输出风险评估报告及整改建议，助力企业高效构建合规防线。

数据跨境合规：围绕数据出境安全与跨境监管要求，提供涵盖GDPR汽车出海数据安全合规评估等服务，通过系统开展涉及个人信息的处理活动差距分析，精准识别合规薄弱环节，确保数据处理全流程符合目标市场法律法规，支撑企业在全球化运营中构建规范、可持续的数据跨境流动体系。

未来，梆梆安全将持续深耕数据安全核心技术，致力于推动人工智能与数据安全能力的深度融合。我们将以创新为引擎，不断迭代覆盖数据全生命周期的产品与解决方案，为千行百业的数字化转型构筑更智能、更可靠的安全基石，携手生态伙伴共同推动数据安全产业迈向高质量发展的新阶段。

最新发现，多个威胁者正借助OAuth设备代码授权机制，通过钓鱼攻击攻陷微软365账户。攻击者会诱骗受害者在微软官方设备登录页面输入设备代码，在受害者毫无察觉的情况下，完成对攻击者控制应用的授权，无需窃取凭证或绕过多因素认证，即可获取目标账户的访问权限。

尽管该攻击手段并非首次出现，但自今年9月以来，此类攻击的数量大幅增长，发起攻击的既包括TA2723这类以牟利为目的的网络犯罪分子，也有与国家相关联的威胁组织。

安全研究员监测到多个威胁团伙正利用设备代码钓鱼，诱使用户向威胁者开放微软365账户的访问权限，且此类攻击流程被用于大规模攻击活动的情况“极为反常”。

攻击工具与活动详情

黑客通过诱骗受害者在微软官方设备登录门户输入设备代码。在部分攻击中，设备代码会被伪装成一次性密码；在另一些攻击中，诱饵则是令牌重新授权通知。

研究人员发现攻击中使用了两款钓鱼工具包：SquarePhish v1、v2，以及Graphish，这些工具简化了钓鱼攻击的实施流程。

SquarePhish是一款公开可用的红队工具，通过二维码针对OAuth设备授权流程发起攻击，仿冒微软MFA/TOTP的合法配置流程。

Graphish是在地下论坛传播的恶意钓鱼工具包，支持OAuth权限滥用、Azure应用注册，以及中间人攻击。 

针对监测到的攻击活动，研究人员在报告中重点提及三类：

1.薪资奖金攻击：该攻击活动以文档共享为诱饵，搭配本地化的企业品牌标识，诱使收件人点击攻击者控制的网站链接。随后受害者会被要求在微软官方设备登录页面输入指定代码，完成“安全认证”，实则为攻击者控制的应用完成授权。

攻击中使用的授权页面

2.TA2723攻击活动：TA2723是一个从事大规模凭证钓鱼的威胁组织，此前曾仿冒微软OneDrive、LinkedIn与DocuSign发起攻击，今年10月起开始使用OAuth设备代码钓鱼手段。该活动初期可能使用SquarePhish2工具，后续攻击浪潮则可能转向Graphish钓鱼工具包。

TA2723的OneDrive仿冒攻击

3.国家关联攻击活动：自2025年9月起，监测机构监测到一个疑似与俄罗斯相关联的威胁组织（追踪代号UNK_AcademicFlare），正滥用OAuth设备代码授权机制实施账户接管。该组织先攻陷政府与军方的邮箱账户，以此建立信任，随后分享仿冒OneDrive的链接，诱导受害者进入设备代码钓鱼流程。攻击主要针对美国与欧洲的政府、学术、智库及交通行业机构。

针对前期无害互动发起的恶意邮件

为拦截此类攻击，安全研究员建议企业尽可能启用Microsoft Entra条件访问，并考虑制定登录来源相关的安全策略。

黑客正针对两款远程文件安全访问共享产品——CentreStack与Triofox发起攻击，其所用的突破口，是这两款产品加密算法实现过程中一个此前未被公开披露的全新漏洞。

安全研究人员发出警告，攻击者可借助该漏洞获取硬编码加密密钥，进而实现远程代码执行。尽管该新型加密漏洞目前尚未获得官方漏洞编号，但Gladinet方面已向客户推送相关通知，建议用户将产品更新至11月29日发布的最新版本。该公司同时向客户提供了一套入侵指标，表明该漏洞已被用于野外攻击。

托管式网络安全平台Huntress的安全研究人员证实，目前至少有9家机构遭到攻击。攻击者在攻击中同时利用了上述新漏洞，以及一个编号为CVE-2025-30406的旧漏洞——这是一个本地文件包含漏洞，本地攻击者可利用该漏洞在无需身份验证的情况下访问系统文件。

硬编码加密密钥漏洞原理

借助Gladinet提供的入侵指标，Huntress的研究人员成功定位该漏洞的触发位置，并厘清了威胁者的利用方式。

研究发现，该漏洞根源在于Gladinet CentreStack与Triofox两款产品对AES加密算法的自定义实现环节——加密密钥与初始化向量（IV）被硬编码在GladCtrl64.dll文件中，攻击者可轻易提取。 

具体而言，密钥值由两段固定的100字节中日文文本字符串生成，且所有产品安装实例中的该字符串完全一致。 

漏洞的核心触发点在于对filesvr.dn处理器的处理逻辑：该处理器会使用上述静态密钥对t参数（即访问令牌）进行解密操作。 

任何获取这些密钥的攻击者，都可解密包含文件路径、用户名、密码及时间戳等信息的访问令牌，甚至能伪造令牌冒充合法用户，向服务器发送指令以读取磁盘中的任意文件。

研究人员指出：“由于这些密钥永久固定不变，我们只需从内存中提取一次，就能用其解密服务器生成的所有令牌；更危险的是，攻击者还能利用密钥自行加密生成恶意令牌。” 

Huntress观测到，攻击者会利用硬编码AES密钥伪造访问令牌，并将令牌的时间戳设置为9999年，以此实现令牌永久有效。 

随后，攻击者会向服务器发起请求，获取web.config配置文件。该文件中包含machineKey密钥，攻击者可借助此密钥，通过视图状态反序列化漏洞触发远程代码执行。

开发活动

目前，除已确认的攻击源IP地址147.124.216[.]205外，相关攻击的具体归属组织尚未明确。

在攻击目标方面，Huntress证实，截至12月10日，已有来自医疗、科技等多个行业的9家机构遭到攻击。研究人员建议，Gladinet CentreStack与Triofox的用户应尽快将产品升级至12月8日发布的16.12.10420.56791版本，同时更换系统的machineKey密钥。

此外，用户还应扫描系统日志，排查是否存在字符串vghpI7EToZUDIZDdprSubL3mTZ2——该字符串与加密后的文件路径相关联，是判定系统是否遭入侵的唯一可靠指标。

目前，Huntress已在其发布的报告中提供漏洞缓解指导方案，同时附上相关入侵指标，供安全防护人员用于加固防护体系，或排查自身系统是否已遭到入侵。

快手“T0级网安事故”全时间线：

18:00 - 21:00

傍晚时分，快手平台直播板块开始出现零星异常报告。部分敏感用户发现，个别直播间的内容开始偏离常规，出现暗示性语言和擦边球行为。

22:00

攻击进入实质性阶段。大规模、有组织的违规直播突然同时上线。监测数据显示，在短短15分钟内，超过200个直播间几乎同步开启，内容均涉及淫秽色情。

22:15
平台监控系统首次触发大规模异常警报。后台数据显示，多个直播间观看人数呈现异常增长曲线。

22:30 - 23:30
攻击达到高峰期。此时段内，平台同时存在的违规直播间数量维持在300个以上，其中30多个直播间观看人数突破5万，部分头部违规直播间观看人数更是一度冲破10万大关。

23:45

快手技术团队终于确认系统遭受有组织的黑灰产攻击，而不仅仅是普通的内容违规问题。后台日志分析显示，攻击者集中针对平台的直播封禁接口进行了特定模式的攻击，导致自动封禁机制部分失效。

12月23日 00:15
在攻击爆发约2.5小时后，快手平台强制关闭了直播功能。此时，平台直播频道开始显示“服务器繁忙，请稍后重试”的提示，而短视频等其它功能仍保持正常。

同时，平台开始大规模封禁涉事账号。后台数据显示，此轮处置共封禁账号超过5000个，其中大部分为近期新注册或被盗用的账号。

00:30
事件影响开始溢出至平台外。北京公安局海淀分局证实已接到多个市民报案，警方正式介入调查。快手官方随后发布第一份声明，确认平台“遭到黑灰产攻击”，并表示已向公安机关报警。

02、官方回应：黑灰产攻击，已紧急修复

快手方面回应称：平台遭到黑灰产攻击，目前已紧急处理修复中，平台坚决抵制违规内容，相应情况已上报给相关部门，并向公安机关报警。

此次事件并非偶然的漏洞利用，呈现了一套高度成熟、分工明确的攻击流水线。从资源准备到最终引爆，黑灰产展现了不亚于正规互联网公司的技术整合与工程化能力。其核心流程可归纳为以下三个关键阶段，环环相扣，构成了一套完整的“灰色流水线”。

第一阶段：建立“肉鸡”孵化器——账号的批量制造体系

攻击的起点，是解决“身份”问题。黑灰产不再依赖随机盗号，而是建立了标准化的账号生产链：

资源层：核心是“接码平台”与“SIM卡农场”（即猫池）的组合。前者提供全球范围的临时手机号接收服务；后者作为物理硬件，实现数SIM卡的集中管理与短信自动接收。

自动化层：通过定制脚本，将注册流程完全自动化：从平台获取号码→模拟App注册请求→自动抓取并填入验证码。这套体系能以极低成本，快速生成海量“干净”账号，完成了攻击兵力的原始积累。

第二阶段：穿上“隐身衣”——对抗风控的伪装与潜伏

批量注册的账号极易被识别。因此，黑灰产投入大量精力用于“对抗性身份塑造”，目标是让虚假账号在平台风控系统中“看起来像真人”：

网络身份伪装：使用动态VPS和庞大的代理IP池，将攻击流量分散到大量真实住宅或移动IP之后，有效规避基于IP的频次与地理位置规则。

设备身份克隆：利用工具深度伪造每个账号对应的设备指纹（包括型号、操作系统、各类硬件ID等），生成看似真实、唯一的设备身份，绕过设备风险识别模型。

行为模式模拟：账号在攻击前会经历“静默培养期”。通过脚本模拟正常用户的浏览、互动等行为，积累可信的行为轨迹，降低账号风险评分，为后续高危操作铺平道路。

第三阶段：发动“蜂群”攻击——精准协同的分布式打击

这是技术含量最高的环节，关键在于实现大规模节点的毫秒级协同：

指挥中枢：攻击者架设中心化控制服务器，负责存储攻击素材、推流地址，并制定精确到秒的攻击时间线。

任务同步：采用分布式任务调度技术。在预定时刻，控制端向所有在线代理节点同步下发加密的攻击指令包。各节点通过时间同步协议校准，确保动作一致性。

瞬时引爆：指令触发后，所有节点同步执行：调用平台接口创建直播间、获取推流凭证、将预录制的违规视频流推送至服务器。从而实现“万播齐发”，在极短时间内冲垮常规审核与响应机制。

此次事件清晰地表明，黑灰产攻击已从零散的漏洞利用，升级为具备资源供应链、技术对抗链、协同指挥链的完整作战体系。攻击方犹如一支拥有技术中台的“灰色军队”，进行的是系统对系统、工程对工程的较量。

在复盘了惊心动魄的十分钟攻击后，一个核心问题浮出水面：这场需要精密策划、庞大资源和技术协同的“闪电战”，究竟出自何人之手？基于公开的攻击手法和黑灰产活动规律，我们尝试勾勒几种可能的画像。

综合来看，此次攻击的发起者，极大概率是一支技术成熟、分工明确、具备“企业级”运作能力的国内专业黑灰产组织。这并非散兵游勇的偶然行为，而是一次典型的产业化协同犯罪。

攻击的产业化：攻击团队已拥有从资源储备、技术对抗到协同指挥的完整“技术中台”，短时间内调动、协调并有效控制数以万计的“僵尸”账号（肉鸡）发起同步攻击，需要掌握庞大且稳定的国内“肉鸡”资源网络、代理IP池以及验证码接收渠道。这背后是一个扎根于国内互联网土壤的庞大灰色资源供应链。其运作模式堪比一家小型科技公司。这标志着攻击已从“工具化”进入“工业化”阶段。

动机的复合化：如此大动干戈，其目的绝非“炫技”那么简单，而是有着清晰的利益诉求：首要且直接的目的是快速规模化的经济变现，这是最核心的驱动力。通过直播引流→社交账号盗取→实施诈骗，形成了一条高效、可复制的“黑产流水线”，能在极短时间内将流量非法转化为经济利益。潜在目的可能是能力展示与市场干扰。成功瘫痪一个顶级互联网平台的核心业务，本身就是对自身技术能力的“最强广告”，有助于该组织在黑市中提升声望、抬高“服务”报价。同时，不能完全排除其受雇于某些商业竞争对手，进行市场干扰的可能性，但经济利益始终是根本出发点。

防御的新挑战：对手不再是利用零散漏洞的黑客，而是成体系、有预算、有持续性的“灰色军队”。防守方必须构建与之匹配的、覆盖全链路的“纵深防御”体系，并从单点防护思维转向持续性的动态对抗和体系化作战思维。

对于平台和企业而言，防御思维必须升级：对手不再是利用单一漏洞的“点”式攻击，而是发起多维度、全链条协同的“面”式打击。未来的防御体系，必须构建覆盖“资源对抗—行为识别—实时研判—智能熔断”的纵深防御和动态对抗能力，方能应对此类工业化攻击的挑战。

针对这一极端突发情况，快手在23日0时前后采取了“无差别关停”的紧急止损措施。截至凌晨0时45分，直播频道已恢复正常。

12月23日，快手-W(http://1024.HK)开盘跌3.3%，报64.50港元/股；截至发稿，报63.95港元/股，下跌4.12%。

原文链接

12月22日晚间，国内知名短视频平台快手遭遇有组织的黑灰产攻击，大量直播间被非法植入色情低俗内容，引发广泛关注。截至发稿，平台方已采取紧急措施，封禁违规直播间，并向公安机关报案。

据消息，当晚众多网友反映，快手平台部分直播间突然出现播放淫秽影片、进行擦边低俗表演等异常内容，个别直播间实时观看人数甚至达到上万人。这些内容显然与平台日常审核标准严重不符，疑似系统遭外部恶意攻击所致。

并且有网友提醒，千万不要点击相关链接。攻击者很可能利用色情内容的吸引力，在短时间内聚集大量用户，再通过技术手段诱导用户点击恶意链接。一旦用户点击，设备就可能被植入恶意程序，导致个人信息泄露、账号被盗、甚至进行诈骗。

图片来源于网络

面对突发情况，快手方面连夜启动应急机制，技术人员紧急介入处理。目前，大量异常直播间已被封禁，平台基本功能恢复正常。

快手官方称，快手遭到黑灰产恶意攻击，导致部分直播间出现违规内容。平台已第一时间启动应急预案，目前正在紧急处理修复中。快手强调，平台一贯坚决抵制各类违规内容，对于此次攻击事件，已及时将情况上报相关部门，并向公安机关正式报警。

网络安全专家指出，此类针对大型互联网平台的针对性攻击，通常是有组织的黑灰产团伙利用技术漏洞或自动化工具实施的恶意行为。

12 月 18 日，专注推动网络与安全融合的全球性综合网络安全解决方案供应商 Fortinet，在京成功举办 2025 年终媒体会。恰逢公司成立 25 周年、进入中国市场 23 年的重要节点，Fortinet 中国区总经理李宏凯、中国区技术总监张略、北亚区 OT 业务负责人王宏善及首席攻防专家王涛等悉数出席，共同回顾2025年网络安全行业关键词，深入展望2026年网络安全图景，并深度解析公司在AI驱动安全领域的战略规划与技术成果，全面展示Fortinet从集成化安全平台到AI驱动自动化防御的演进之路。

稳健增长，平台战略筑牢企业安全底座

李宏凯在分享中指出，尽管全球市场环境复杂多变，Fortinet依然凭借其“集成化、自动化、智能化”的平台战略实现增长。截至2025年，Fortinet全球客户数量已突破90万，员工规模超1.5万人，成为全球最大的一站式网络安全平台提供商之一。《财富》100强企业中，80%选择采用Fortinet解决方案，印证了其技术架构在企业复杂环境中的卓越适应性。

Fortinet 中国区总经理 李宏凯

“安全技术的演进必须稳健务实。Fortinet不会追逐短期技术热点，而是以统一操作系统 FortiOS 为核心，构建覆盖安全网络、统一SASE、AI驱动安全运营的融合架构，坚持将每一类产品深度集成至Security Fabric统一平台中，这正是我们在过去25年，尤其是近两年市场波动中保持增长的核心，”李宏凯强调。2025年，Fortinet的统一SASE、AI驱动的安全运营（SecOps）与OT解决方案成为增长最快的业务板块。

攻击工业化，防御应迈向机器速度时代

张略在解读《2026年网络威胁趋势》报告时指出，网络攻击已进入以“规模化、自动化、武器化”为特征的“攻击工业化”时代。在这一阶段，攻击者利用生成式AI批量制作钓鱼邮件、自动挖掘并利用漏洞，将攻击周期从数月压缩至分钟级，实现多轮次、大规模协同攻击。攻击技术本身不再是核心门槛，攻击的规模与速度成为更关键的威胁维度，OT环境等成为首要目标。报告预测，2026年专为犯罪设计的自主智能体将大量出现，攻击速度与规模将呈指数级跃升。

Fortinet中国区技术总监 张略

面对威胁态势的量变，张略强调，防御体系必须同步升级至“工业化”水平——即以全球威胁情报为驱动，实现自动化侦测、实时响应与策略动态优化。Fortinet依托其“融合”与“整合”的双重基因，将FortiGuard全球威胁情报、AI增强分析平台与人机协同运维体系深度结合，把安全能力嵌入网络的每一个节点，构建起统一平台下的集中安全管理框架。这一体系能够将威胁处置效率从传统的“数天”提升至“分钟级”，真正实现“以AI的速度对抗AI攻击”，推动网络安全防御全面迈入“机器速度”时代。 

OT安全新前沿 坚实保障工业数字化转型

王宏善分享了OT安全领域的最新进展。他指出，OT系统普遍面临系统老旧、兼容性困境、人才断层和替代成本高等挑战。Fortinet凭借在Gartner多项评估中的领导者地位，以及创新的IT/OT融合解决方案，为制造行业提供全方位防护。

Fortinet北亚区 OT 业务负责人 王宏善

展望未来，王宏善介绍了三大前沿OT安全应用：工业容器防火墙，嵌入工业制造商等设备内核实现虚拟化防护；工业5G安全，为智能制造的私有5G网络提供隔离与防护；船舶SASE，通过全球PoP点为远洋船舶提供实时安全运维与轨迹优化，助力中国船舶制造业走向全球。Fortinet 已在这些领域落地标杆项目，助力客户实现安全与业务的双重推进。

AI赋能安全运营 构建未来安全新生态

首席攻防专家王涛系统阐释了Fortinet“AI for Security”（人工智能安全）与“Security for AI”（安全的人工智能）双轨战略，并围绕三大AI能力支柱展开实战化演示，展现从威胁识别到响应的全流程智能化升级。

Fortinet中国首席攻防专家 王涛

在“AI for Security”方面，FortiAI-Protect依托FortiGuard全球威胁情报与AI能力，实现对已知/未知威胁的主动防御与自动化拦截。

而在安全运营层面，集成于FortiAnalyzer、FortiSOAR等产品的FortiAI-Assist已实现从“智能辅助”到“实战专家”的升级。王涛现场演示，安全人员只需通过自然语言指令，系统即可自动关联日志、绘制攻击链并推荐处置方案，将调查响应时间从小时级压缩至分钟级，并可自动生成SOAR剧本，实现闭环处置。

针对“Security for AI”，Fortinet提出“安全AI基础框架”，并在此基础上构建了覆盖AI数据中心全链路的端到端分层防护体系。该体系从边界安全、身份管理，到应用与API防护直至AI运行时安全与训练模型保护，形成纵深防御架构。王涛现场演示了框架中关键一环——计划于明年发布的“AI运行时安全”方案。该方案能够有效防御“提示词注入”等新型攻击，并对AI使用进行成本优化与合规审计。

王涛总结指出，FortiAI的目标并非替代专家，而是成为安全分析师身边“永不疲倦的超级智囊”，推动威胁应对从“人工驱动”迈向“人机协同”新范式。

技术支点：量子安全、统一SASE构筑韧性网络

在技术前沿层面，Fortinet于2025年取得多项突破性进展。首先，基于自研NP7及SP5芯片的防火墙在超高吞吐与能效比上持续领先，成为大型AI数据中心客户的首选。其次，Fortinet率先推出量子安全方案，支持后量子密码学与量子密钥分发，以应对“先存储、后解密”的远期数据威胁。此外，Fortinet与NVIDIA达成合作，将其安全能力集成至BlueField DPU芯片，为AI数据中心提供硬件级安全加速。

统一SASE战略亦在2025年进入规模化落地阶段。目前Fortinet已在全球部署超170个POP节点，并计划于2026年在中国大陆北上广深度布局本地化节点，为企业出海与混合办公提供低时延、零信任架构的安全访问能力。

面向2026年，Fortinet 中国将继续深耕高科技、制造、金融、能源、汽车等重点行业，推出场景化安全解决方案。开发全新AI Runtime Security产品，并将加速 SASE PoP 点落地，支持中国企业出海；同时强化OT安全、AI安全等新兴领域的生态合作与人才培养。25年来 ，Fortinet从未偏离融合安全的初心。未来也将继续以平台化、智能化、自动化，助力客户构建适应AI时代的弹性安全体系，共同筑牢数字世界防线。

一款名为DroidLock的新型安卓恶意软件被安全人员发现，该软件不仅能锁屏勒索受害者赎金，还可获取短信、通话记录、联系人、音频录音等信息，甚至能直接删除设备数据。

DroidLock支持攻击者通过虚拟网络计算共享系统获得设备的完全控制权，同时还能在屏幕上生成悬浮层，以此窃取用户的锁屏图案。

研究人员指出，这款恶意软件的攻击目标为西班牙语用户，其传播渠道为恶意网站——这些网站通过推广仿冒合法应用的虚假安装包，诱导用户下载安装。 

据了解，该恶意软件的感染流程始于一个投放程序，它会诱骗用户安装包含核心恶意载荷的次级程序。

Loader 应用（顶部）和 DroidLock 应用（底部）

恶意应用会以“应用更新”为借口植入主恶意载荷，随后申请设备管理员权限与辅助功能权限，凭借这些权限实施各类恶意操作。

借助已获取的权限，DroidLock可执行多种恶意行为，包括清空设备数据、锁定设备、修改个人识别码（PIN）、密码或生物识别信息，以此阻止用户访问自己的设备。 

分析显示，DroidLock内置15条可执行命令，涵盖发送通知、在屏幕生成悬浮层、静音设备、恢复出厂设置、启动摄像头、卸载应用等操作。

DroidLock 支持的命令

一旦接收到对应的勒索指令，该恶意软件会通过网页视图立即弹出勒索悬浮窗口，要求受害者通过一个Proton邮箱地址联系攻击者。若受害者未能在24小时内支付赎金，攻击者便威胁会永久销毁设备内的文件。

DroidLock的勒索覆盖

DroidLock并不会对文件进行加密，而是以销毁文件为要挟索要赎金，最终达成与传统勒索软件相同的目的。除此之外，攻击者还可通过修改设备锁屏密码，完全剥夺用户对设备的访问权限。

该恶意软件窃取锁屏图案的功能，是通过加载恶意安装包资源目录中的另一悬浮层实现的。当用户在这个仿冒的锁屏界面绘制解锁图案时，图案信息会被直接发送给攻击者。攻击者设计这一功能，是为了能在设备闲置时段通过VNC实现远程访问。

安全人员建议安卓用户：若非来源绝对可信，切勿从谷歌应用商店外的渠道下载安装APK文件；安装应用时，务必核查其申请的权限是否与功能匹配；同时应定期使用谷歌应用防护服务对设备进行安全扫描。

12月15日，快快网络与集美大学共建“工业智能与网络安全创新实验室”授牌仪式隆重举行。集美大学计算机工程学院院长王宗跃、副院长付永刚，快快网络COO兼快快研究院院长姚鳗芸、总经理张功洪、人力资源总监杨玉群出席活动，共同见证这一重要时刻。

作为厦门本土高新技术企业，快快网络以AI、DDoS、大数据等技术为底座，在云计算、云安全领域深耕十余年，不仅落地系列产品与解决方案，更在AI智能防护、AI智能安全运营领域落地了系列产品，并积累了扎实的实战经验，并形成了核心竞争力。实验室的成立，标志着公司在“AI赋能安全”战略布局上迈出关键一步，也将成为技术研发与产业应用深度融合的核心支点。

未来，快快网络将持续聚焦AI安全及防护等前沿赛道，加大研发资源与资金的系统性投入，深化AI创新技术打磨，构建适配众多行业用户需求的高效、便捷、可进化的智能安全免疫体系，强化AI技术壁垒，积极响应“数字中国”、“一带一路”等国家战略，助力地方乃至全国数字经济安全高效发展。

制作 / 古木子月

（接上集）

制度层面，核心是

“简单明确、责任到人”

不用照搬

行业大企的复杂规范

围绕核心风险

制定几条关键规则即可

比如明确

“敏感信息不私存、

陌生链接不点击”的操作底线

规定“账号权限随岗变动、

离职立即回收”的管理要求

确定“发现异常

先断网再上报”的

应急步骤

制度的价值在于

让员工形成共识

把安全变成

日常操作的一部分

这是零成本

却效果显著的防护环节

工具层面，遵循

“轻量化、按需匹配”原则

优先选择

无需本地部署

按实际需求付费的服务

比如覆盖终端安全的

基础防护工具

能实现病毒查杀、

异常操作提醒即可

网络防护

用现有设备的内置功能

配合简单的

访问控制设置

就能挡住大部分外部风险

远程办公场景下

用双认证机制

替代复杂的专用系统

既保障安全

又降低使用门槛

工具的核心

是“够用就好”,避免冗余功能

支付额外成本

运营层面，强调

“低频次、易执行”

不用安排专人负责

每月花固定时间

做一次简单巡检

检查核心文件的存储状态

工具防护是否正常

账号权限有无异常

每季度组织

一次短时间培训

用真实风险案例

替代枯燥讲解

强化员工安全意识

这种低投入运营模式

能让防护体系持续生效

终端数据安全

聚焦核心环节，守住数据底线

终端是数据流转的

关键节点

也是风险高发区

低成本防护的核心

是围绕“存储、传输、备份”

三个环节

建立简单易执行的

管控机制

存储 环节

避免敏感数据

分散存放在个人设备

通过统一的加密存储空间

归集核心信息

同时给终端设备

开启基础加密功能

确保设备丢失或异常时

数据不会轻易泄露

操作上不用复杂设置

借助系统自带功能或

轻量化工具就能完成

投入小却能筑牢

数据存储的第一道防线

传输 环节

明确敏感信息的

传输规则

不用个人通讯工具

传递核心数据

通过企业内部的加密通道

或合规协作工具完成

对外传输时设置审批环节

避免信息随意外发

同时通过工具

设置简单的告警机制

当检测到异常传输行为时

及时提醒

堵住数据外泄的漏洞

备份 环节

数据丢失的损失

往往远超备份投入

低成本备份

不用依赖专业设备

采用“本地+云端”的

双重备份方式即可

本地备份

存于专用存储设备

云端备份

选择按需付费的基础服务

定期做恢复测试

确保备份可用

这种方式投入低

却能在数据意外丢失时

快速止损

是性价比极高的防护动作

落地启示：精准

是低成本安全的核心

一家以数据为核心的企业

曾因担心安全投入过高

迟迟未做防护

后来通过梳理发现

核心风险是

“客户信息存于员工电脑、

无备份且可随意转发”

他们没有采购复杂系统

而是通过

“规范存储路径+

简单终端工具+

定期备份”的组合方式

仅用少量投入

就解决了核心问题

后续未再发生

数据安全事件

省钱

咨询帮你避开无效投入

较少的预算

就能覆盖“基础防护+

终端数据安全+合规底线+

风险排查+应急响应”

比自己对接多个服务商

省30%-50%成本

省心

不用懂技术

不用养团队

咨询团队定方向

运营团队保落地

企业只需配合1-2个对接人

就能实现常态化安全防护

有效

以风险为导向

不做“形式化防护”

聚焦核心资产和高频风险

真正实现“防得住、用得顺”

作为咨询引领的

一体化安全运营者

我们始终相信

企业的安全防护

不在于“多复杂”

而在于

“多精准、多落地”

特别鸣谢：看懂村
漫画形象参考：看懂村

来源：重庆信通设计院天空实验室

近日，专注推动网络与安全融合的全球性综合网络安全解决方案供应商 Fortinet®（Nasdaq：FTNT），重磅发布一项创新集成方案：将FortiGate VM（虚拟云防火墙）直接部署于NVIDIA BlueField-3数据处理器（DPU）之上运行。该方案通过把核心安全模块从传统主机层迁移至BlueField平台，将网络与安全能力深度嵌入AI数据中心基础设施层，开创了隔离式基础设施加速的新范式。此举不仅确保了关键业务负载性能零损耗，更为企业高性能私有云及AI环境提供了原生、无缝的安全防护。

AI时代的数据中心算力与安全挑战

人工智能时代，改造升级后的数据中心需要为私有云和边缘应用提供数倍于传统架构的吞吐量。然而，传统安全架构正面临AI时代的严峻瓶颈，以往企业主要依赖两类方案：

一是传统物理防火墙或独立安全设备，虽性能稳定但缺乏灵活性，难以适应云环境动态扩容；

二是主机内软件防火墙或虚拟安全实例，虽部署灵活却也会共享CPU算力，一定程度影响业务性能。

更棘手的是，传统安全服务链需多次引流、层层检测，在AI超大流量场景下极易形成性能瓶颈。

FortiGate VM与BlueField-3 DPU的深度集成，正是为破解这些难题而生——通过将防火墙、网络分段和零信任控制策略卸载至DPU执行，快速响应安全与性能需求的动态变化，帮助企业显著提升网络隔离水平、降低数据传输延迟，并简化跨环境的一致策略部署。

DPU集成开启基础设施加速新篇章

FortiGate VM由Fortinet统一的FortiOS操作系统驱动，具备业界领先的下一代防火墙能力，可为混合云、多云及AI数据中心提供一致化安全保护，并搭载集中策略管理与深度可视化功能，大幅降低安全运维复杂度。此次与NVIDIA BlueField的深度集成，意味着企业可以将防火墙、网络分段、零信任控制等核心安全功能从主机CPU卸载至DPU硬件。

这一突破性方案在消除性能损耗的同时，大幅增强了AI工作负载的多租户隔离能力，同步优化数据吞吐效率与威胁检测精度。FortiGate VM与BlueField平台的无缝融合，使企业能够直接在基础设施层高速执行网络分段策略，核心性能与安全价值体现在：

● 性能无损，吞吐破限：FortiGate VM直接在BlueField DPU上执行运算，彻底绕过主机CPU，显著降低延迟，实现超高吞吐量，轻松承载大规模流量洪峰。

● 零信任分段，安全隔离：将网络与安全功能卸载至BlueField DPU的独立信任域，实现安全平面与业务计算负载的完全隔离。

● 私有云部署，化繁为简：提供经过验证的标准化部署指引，采用开放式虚拟交换机（OVS）网桥技术进行网络配置（广域网使用OVS交换，局域网基于VXLAN隧道），并支持在配备BlueField DPU的服务器上直接部署FortiGate VM镜像。

● 多租户架构，弹性扩展：该方案尤其适合需要硬件加速检测、安全隔离和大规模服务链编排的云服务商、电信边缘计算提供商及企业私有云环境。

重塑AI基础设施安全边界，实现高速与安全兼得

相比传统模式，FortiGate VM与NVIDIA BlueField的深度集成开创了第三条路径——DPU硬件承载原生安全，可为企业带来：

● 硬件加速检测，主机零负载：安全策略由硬件加速执行，策略定义与编排则完全通过软件实现，彻底解放主机CPU。

● 基础设施级零信任原生集成：在BlueField网络架构层面直接执行防火墙功能与网络分段策略，无需引流绕道。

● 运营提效，成本优化：将网络与安全功能卸载至专用硬件，显著降低基础设施复杂度与总体拥有成本。

此次Fortinet联合NVIDIA打造深度集成方案，使企业得以在保持CPU算力无损的前提下，以线速执行防火墙、网络分段及零信任策略，为客户构建安全可靠、性能卓越且可弹性扩展的AI驱动型数据中心奠定坚实基础。目前，FortiOS 7.6.3及以上版本已全面支持基于NVIDIA BlueField的FortiGate VM集成方案。

12月12日至13日，由致公党中央经济委员会、科技委员会指导，致公党福建省委会主办的第八届科技创新促进经济发展论坛在厦门举行。全国人大常委会委员、华侨委员会副主任委员、致公党中央副主席曹鸿鸣出席论坛并讲话，致公党中央经济委主任、福建省委会主委罗恩平，国投集团董事、党组副书记李程·丹增尼玛在论坛上致辞。

曹鸿鸣对论坛的成功举办表示祝贺。他指出，在中国式现代化建设新征程全面开启、全球科技创新格局深刻调整背景下，聚焦人工智能发展的前沿议题举办本次论坛，彰显了我们坚定不移贯彻国家创新驱动发展战略的政治自觉，体现了致公党与时俱进、服务大局的使命担当。他表示，以人工智能为代表的新兴技术正深度融入经济社会发展各个领域，也带来伦理治理、数据安全、算法公平、数字鸿沟等一系列挑战，我们要认真学习领会习近平总书记关于发展人工智能的重要指示精神，增强战略意识、抢抓历史机遇、营造良好环境、应对风险挑战，把握形势、趋势、蓄势，激发动力、活力、潜力，加强对话、深化合作，推动人工智能创新发展向实、向新、向善。

罗恩平在致辞中表示，本次论坛立足国家发展大局，汇聚各方智慧，旨在搭建思想碰撞、经验分享、共识凝聚的高端平台，共同探索以科技创新驱动高质量发展的路径。连续举办八届的科技创新促进经济发展论坛，是深入贯彻习近平总书记关于科技创新的重要论述，赓续多党合作优良传统，弘扬致公党百年基本经验，兼听广纳、汇聚众智，助力中国式现代化建设的具体行动和生动实践。

李程·丹增尼玛在致辞中表示，AI驱动的全球创新需要多领域人才的协同攻坚，国投集团与国投智能股份将秉持开放合作理念，与社会各界在科技、产业、人才一体推进上深化协作。希望通过论坛碰撞思想火花、凝聚合作共识，为科技创新赋能经济高质量发展、助力强国建设和民族复兴注入更加强劲的动能。

本次论坛以“百年致公·侨海联智：AI驱动下的全球创新与合作”为主题，汇聚来自政府部门、致公党组织、专家学者、有关企业的嘉宾进行交流探讨。论坛由致公党福建省委会经科委、致公党厦门市委会、国投智能信息科技股份有限公司、福建致公美亚参政议政基地、国投集团党外代表人士建言献策滕达工作室等承办。

论坛上，致公党福建省委会副主委、数字中国研究院(福建)院长宋志刚，国投生物制造创新研究院有限公司首席科学家林海龙，教育部信息技术新工科联盟网络空间安全工委会主任委员胡瑞敏，致公党中央科技委委员、南开大学人工智能学院教授孙青林，中国信息通信研究院人工智能研究所安全与具身智能部主任石霖等五位嘉宾，分别从发挥数据要素作用推动人工智能发展、人工智能赋能生物制造、全要素监管下的有组织安全飞行、自动化与人工智能、人工智能安全风险洞察和应对等角度进行演讲分享。

致公党福建省委会副主委、厦门市委会主委、厦门市副市长张志红，致公党福建省委会专职副主委兼秘书长王惠忠分别主持论坛开幕式和论坛大会。

致公党河南省委会主委司富春，致公党中央参政议政部部长郑业鹭、副部长陈文良，中共福建省委改革办副主任祝维剑，福建省政协经济委副主任张福寿，致公党中央经济委副主任罗双全、陈家榕，致公党中央科技委顾问徐平东、副主任南寅，中共厦门市委统战部副部长陈宏，致公党中央科技委副主任、厦门市委会副主委、国投智能信息科技股份有限公司董事长滕达等出席论坛。

参加论坛的还有致公党部分省级组织负责人，致公党中央经济委、科技委委员和致公党福建省委会、厦门市委会各专委会成员，各设区市委会、省直工委会和福建致公各调研合作基地负责人，福建省和厦门市有关部门同志，有关侨领、专家学者、企业家等。

在近期的React2Shell漏洞攻击事件中，一款名为EtherRAT的新型恶意植入程序被安全研究人员发现，该程序不仅内置五种独立的Linux系统持久化机制，还会借助以太坊智能合约与攻击者建立通信链路。

研究人员认为，这款恶意软件的特征与朝鲜黑客组织在Contagious Interview攻击活动中使用的工具相符。他们在React2Shell高危漏洞（CVE-2025-55182）披露仅两天后，便从某遭入侵的Next.js应用中成功提取到EtherRAT样本。

EtherRAT整合了多项复杂功能，包括基于区块链的命令与控制（C2）通信、多层Linux持久化、载荷实时重写，以及依托完整Node.js运行时环境实现的反检测能力。尽管其与朝鲜Lazarus组织发起的Contagious Interview攻击存在诸多特征重合，但在多个核心层面仍具备独特性。 

React2Shell是React服务端组件（RSC）Flight协议中存在的最高级别反序列化漏洞，攻击者可通过特制HTTP请求实现无认证远程代码执行。

该漏洞影响大量运行React/Next.js的云环境，在上周漏洞公开数小时后便已出现野外利用。随着自动化攻击工具的普及，已有跨多个行业的至少30家组织机构遭入侵，攻击者借此窃取凭证、开展加密货币挖矿，并部署通用型后门程序。

EtherRAT的攻击链路

Sysdig指出，EtherRAT采用多阶段攻击链路，其流程如下：

1. 漏洞利用与初始载荷投放：首先通过React2Shell漏洞在目标设备上执行Base64编码的Shell命令，该命令会尝试通过curl、wget或python3（备选）工具下载恶意Shell脚本s.sh，并每300秒循环执行一次直至下载成功。脚本获取后会先经过校验，再被赋予可执行权限并启动。

脚本逻辑

2. 运行时环境部署：脚本会在用户目录$HOME/.local/share/下创建隐藏文件夹，从nodejs.org直接下载并解压合法的Node.js v20.10.0运行时环境。随后写入加密载荷数据块与混淆后的JavaScript投放器，通过已下载的Node二进制文件执行投放器，执行完毕后脚本会自行删除。

3. 恶意程序解密与加载：名为.kxnzl4mtez.js的混淆JavaScript投放器会读取加密数据块，通过硬编码的AES-256-CBC密钥完成解密，并将解密结果写入另一隐藏JavaScript文件。该解密后的文件即为EtherRAT植入程序，最终通过前一阶段安装的Node.js环境完成部署。

高级植入程序的核心特征

基于以太坊智能合约的C2通信

EtherRAT采用以太坊智能合约实现C2操作，该方式不仅具备灵活的运营能力，还能有效抵御反制与关停措施。其会并行查询9个公共以太坊RPC节点，并以多数节点的响应结果为准，可防止单点节点投毒或域名劫持攻击。

此外，该恶意软件每500毫秒便会向C2发送随机生成的类CDN格式URL，并通过AsyncFunction构造器执行攻击者下发的JavaScript代码，形成可完全交互的Node.js命令行环境。

构建随机URL

朝鲜黑客此前便曾使用智能合约进行恶意软件投放与分发，该技术被称为EtherHiding，谷歌与GuardioLabs均曾发布相关技术报告。

Linux系统的五层持久化机制

EtherRAT在Linux系统中具备极强的持久化能力，通过部署五层冗余机制确保控制权不丢失，具体包括：

·定时任务（Cron jobs）

·bashrc配置注入

·XDG自动启动项

·Systemd用户服务

·配置文件（Profile）注入

借助多维度持久化手段，即便目标系统经历重启或运维操作，攻击者仍能维持对受感染设备的访问权限。

自主更新与载荷重混淆能力

EtherRAT的另一独特功能是可通过向API端点发送自身源代码实现自主更新。其会接收功能一致但混淆方式不同的替换代码，完成自身覆盖后启动新进程运行更新后的载荷。该机制既能帮助恶意软件规避静态检测，也可阻碍逆向分析，同时支持按需加载特定攻击功能。

鉴于目前React2Shell漏洞已被多方黑客组织利用，系统管理员需尽快将React/Next.js版本升级至安全版本。研究人员建议用户应快速排查上述持久化机制的存在痕迹、监控以太坊RPC相关流量、审计应用程序日志，并及时轮换各类账户凭证。

安全研究员最新发现，一款隐蔽的恶意攻击活动自2月起持续活跃，攻击者在微软VS Code应用市场上架19款恶意扩展程序，通过在依赖文件夹中植入恶意软件的方式，专门针对开发者发起攻击。调查显示攻击者使用了一个伪装成.PNG格式图片的恶意文件实施攻击。 

VS Code应用市场是微软为其广受欢迎的VS Code集成开发环境（IDE）打造的官方扩展门户，开发者可通过该平台下载扩展程序，实现功能拓展或界面个性化定制。

由于该平台用户基数庞大，且存在引发高危害性供应链攻击的潜在风险，一直以来都是威胁者的重点攻击目标，相关攻击手段也在不断迭代升级。

据观察，这些恶意扩展程序均预先打包了node_modules文件夹，以此规避VS Code在安装过程中从npm软件源获取依赖组件的流程。

攻击者在这个内置的依赖文件夹中植入了经过篡改的依赖包，涉及path-is-absolute与@actions/io两款组件，并在其index.js文件中添加了一个恶意类。该恶意类会在VS Code集成开发环境启动时自动执行。

恶意代码添加到index.js文件

需要特别指出的是，path-is-absolute是一款在npm平台上极为热门的软件包，自2021年以来累计下载量已达数十亿次，而此次被植入恶意代码的版本仅存在于该攻击活动涉及的19款扩展程序中。

index.js文件中新增的恶意类，会对一个名为lock的文件内的混淆型JavaScript投放程序进行解码。此外，依赖文件夹中还包含一个伪装成.PNG图片文件（文件名为banner.png）的压缩包，其中藏匿着两款恶意二进制文件：一款是名为cmstp.exe的合法系统工具滥用程序（LoLBin） ，另一款则是基于Rust语言开发的木马程序。

目前，安全研究员仍在对这款木马程序展开分析，以明确其全部功能。

研究人员表示，该攻击活动涉及的19款VS Code恶意扩展程序，名称均基于以下名称变体衍生而来，且发布版本号均为1.0.0：

·Malkolm Theme

·PandaExpress Theme

·Prada 555 Theme

·Priskinski Theme 

目前，涉事的19款恶意扩展程序现已全部被下架处理。但对于此前已安装这些扩展程序的用户而言，需立即对自身系统进行扫描，排查是否存在被入侵的痕迹。

鉴于威胁者持续开发新手段，规避软件开发常用公共代码仓库的安全检测，安全人员建议用户在安装各类扩展程序前务必对软件包进行全面检查，尤其是当发布方并非信誉良好的正规厂商时。

用户应仔细梳理软件包中包含的所有依赖组件，特别是像VS Code扩展程序这类将依赖组件内置打包、而非从npm等可信源获取的情况，更需提高警惕。

12月17日，ISC.AI 2025第六届创新百强（简称“创新百强”）颁奖典礼在京圆满落幕。本届评选由ISC.AI平台、大模型产业联盟主办，并得到赛迪顾问、数世咨询、数说安全、光合行·AIGC、密码资本、北京新一代信息技术产教联合体、全国信息安全产教融合共同体、全国人工智能+安全产教融合共同体、全国数智安全行业产教融合共同体、河北省数字安全与人工智能行业产教融合共同体、BP商业伙伴、安在、看雪、安全419、嘶吼、安全客等产业、教育、媒体合作伙伴，悬镜安全、赛宁网安、从云科技、上海淇毓、天懋信息、经纬信安、帕拉迪等战略合作厂商，以及40余家投融资机构、科研院校的鼎力支持。

当日，政府代表、高校学者、企业负责人、投融资机构代表及媒体人士齐聚现场，围绕“数字安全、人工智能、智能体等前沿领域的核心技术突破方向”，“科技成果向产业应用转化的有效路径探索”，以及“科教融汇培养复合型人才的实践范式”等方向议题，展开多轮深度对话与经验分享，并共同见证了新一届创新百强荣耀榜单，以及多项具有领先创新成果的发布。

智能体驱动创新变革

业界领袖巅峰对谈

伴随人工智能向智能体形态的深层跃迁，打造一个更富活力、韧性、安全与竞争力的“AI+新质生产力”生态，已成为把握未来发展的关键机遇。

在领导致辞环节中，中关村朝阳园党工委委员、管委会副主任、区科信局局长陈雷表示，人工智能与数字安全的深度融合是未来重要趋势。朝阳区拥有丰富的全域应用场景和完备的政策体系，是数字安全解决方案的最佳试验田，也是相关企业创新创业的首选地。

“十四五”期间，朝阳区已构建起以产业互联网、人工智能、数字安全为支柱的“3+X+N”产业创新体系，并推出“1+1+4”科技产业支持政策。面向“十五五”，区域将进一步依托360等数字安全龙头企业，联动区内70余家AI企业生态，打造“AI+数字安全”特色产业园，并从资金、基金、人才、空间等方面提供全方位保障。欢迎本次评选的所有获奖企业、高校和创新机构走进朝阳、投资朝阳，携手共创，一路朝阳。

360数字安全集团总裁胡振泉表示，2025年是“智能体元年”。智能体在塑造AI时代“超级个体”与“超级组织”的同时，也被黑客利用、批量复制，这将推动网络对抗进入“人机对抗”新阶段。因此，安全行业必须率先拥抱智能体。作为首家以智能体驱动安全业务的公司，360已展开系统实践：一方面以AI重构防护体系，基于安全大模型打造超百个可协同作战的安全智能体，复现高阶专家能力；另一方面针对大模型与智能体自身风险，提出“以模制模”的AI治理路径。

未来，360将围绕三大方向持续赋能各界伙伴：一是攻坚核心技术，提升智能体在复杂场景中的自主决策与安全防护能力；二是开放智能体工厂，助力政企高效构建贴合业务需求的专属智能体；三是深化产教融合，持续输送具备技术与安全双重素养的复合型人才，携手在智能体浪潮中筑牢安全根基，致力让AI世界更安全、更美好。 

360数字安全集团副总裁、ISC.AI品牌主理人卜思南表示，随着AI发展进入以智能体为核心的下半场，本届创新百强以“多、真、强”为指引全面升级。赛道拓展至数字安全、AI安全及AI应用三大方向，覆盖16个前沿领域，并创新采用“AI智能体+跨域专家团”双轨评审机制，系统识别高潜力创新项目。自11月启动以来，活动共吸引全国500余家企业、超100所高校参与，累计征集方案800余份，其中超过80%涉及智能体技术。

他强调，AI时代亟需技术、业务与安全能力兼备的复合型人才。为此，评选积极联动全国多个产教融合联合体，共同构建“教、产、研”协同培养生态。同时，基于纳米AI平台赋能，本届评选深度整合全部申报材料，创新推出“智能体专家”，旨在为产业提供持续可追溯的决策参考与人才洞察，切实推动创新成果与产业需求深度融合。

随后，赛博英杰创始人兼CEO谭晓生与数世咨询创始人李少鹏分别以《新一代人工智能对网络安全产业的重塑》、《数字安全企业创新与发展之路》为题，全面解析了AI浪潮下的行业变革，为数字安全的未来发展提供了前瞻洞见与务实策略。

围绕科技创新与产业创新融合的核心议题，悬镜安全CCO董毅与山石网科安全计算与运营产品线产品总监朱凯数字供应链安全治理、智能体重塑安全等角度，分享了各自在实践中的领先应用成果与行业思考。 

校企协同推动科教融汇

智能体人才培养计划发布

为进一步培育具备高水平实践能力的复合型AI智能体人才，本次创新百强颁奖典礼现场正式发布了《360人工智能智能体工程师标准及认证》，率先构建起产教融合、科教融汇的新型合作平台。

360集团高级副总裁、数智化集团CEO殷宇辉，360集团首席科学家、360数字安全集团CTO潘剑锋，360数字安全集团副总裁、ISC.AI品牌主理人卜思南等企业代表，与青岛恒星科技学院大数据与智能信息工程学院党总支书记朱成波，北京信息职业技术学院产业互联网学院院长徐振华，湖南科技职业学院软件学院副教授任科，毕节职业技术学院党委委员、副院长王天军，北京北大方正软件职业技术学院助理校长、人工智能学院院长彭晓东等校方代表，共同见证了该计划的发布，此举标志着校企双方在推动科研与实践深度融合方面迈出了关键一步。

未来，ISC.AI将进一步携手校企，深化产学研协同，共同探索智能体人才培养新路径，持续完善新质人才赋能体系，致力于打造数字创新人才高地，为科技与产业深度融合提供有力支撑。

创新百强榜单揭晓

智能体专家赋能行业前瞻

基于“AI智能体+跨域专家团”双轮驱动的协同评审机制，本届评选结果在产业与学术界的多位专家见证下正式揭晓。数字安全、人工智能安全与人工智能三大赛道的百余家优秀企业荣登年度创新百强榜单，树立了行业创新发展的新标杆。

同时，重庆大学、广东科技学院、湖南科技职业学院、青岛恒星科技学院基于在推动科技进步与产学研融合方面的突出贡献，荣膺“科创杰出成果奖”。 

随后，中关村朝阳园管委会产业促进一处处长陈磊与360数字安全集团总裁胡振泉共同揭晓了“创新力十强”获奖厂商，进一步聚焦并彰显了产业内的顶尖创新力量。

此外，本届评选深度融合评审结果与行业调研数据，在颁奖典礼上重磅发布了两项关键成果：《ISC.AI 2025创新性案例》与《ISC.AI 2025创新能力全景图谱》。同时，所有评审过程中积累的企业数据、解决方案、榜单信息以及落地成果，均已收录于“ISC.AI 2025创新百强智能体专家”。该智能体将为行业用户、投资机构及相关单位提供持续洞察，助力精准把握创新动向、明晰技术开发生态、研判产业发展态势。

未来，随着智能体技术持续向自主化、协同化与场景化演进，其将成为驱动数字化转型向纵深发展的核心引擎。在此趋势下，ISC.AI创新百强将持续发挥其作为产业创新“连接器”与“加速器”的关键作用，通过构建开放协同的智能生态、促进技术成果与产业需求高效对接，发掘并培育更多创新力量，为数字中国建设注入持续动能。

MITRE公布了2025年度最危险的25类软件弱点榜单，这些弱点是2024年6月至2025年6月期间披露的39000余个安全漏洞的核心诱因。

软件弱点指软件在代码编写、功能实现、架构搭建或设计环节中存在的缺陷、程序错误、安全漏洞等问题，攻击者可利用这些弱点，入侵运行存在问题软件的系统。一旦成功利用这些弱点，威胁者即可控制被入侵设备，发起拒绝服务攻击，或是窃取敏感数据。

为编制本年度榜单，MITRE分析了2024年6月1日至2025年6月1日期间收录的39080条CVE漏洞记录，依据各类弱点的危害程度与出现频率进行打分排名。

尽管跨站脚本攻击（CWE-79）仍稳居榜单首位，但与去年的榜单相比，多个弱点的排名出现较大变动，其中排名上升幅度最大的包括缺失授权（CWE-862）、空指针解引用（CWE-476）、缺失身份验证（CWE-306）。

本年度新增入选榜单的高危害、高流行度弱点包括：经典缓冲区溢出（CWE-120）、基于栈的缓冲区溢出（CWE-121）、基于堆的缓冲区溢出（CWE-122）、访问控制不当（CWE-284）、通过用户可控密钥绕过授权（CWE-639）、无限制或限流的资源分配（CWE-770）。

这类弱点往往易被发现和利用，会催生可被利用的安全漏洞，让攻击者得以完全控制目标系统、窃取数据，或是导致应用程序无法正常运行。榜单明确了攻击者入侵系统、窃取数据或破坏服务时，所利用的最关键的软件弱点。

12月1日，嘶吼安全产业研究院发布《嘶吼2025中国网络安全产业势能榜》。梆梆安全凭借在安全领域的持续深耕与务实创新，再次入选“专精型”企业榜单，同时也因在行业中的广泛影响力，登上“声量品牌力”专项榜单，展现出良好的发展态势与品牌认知度，进一步体现了在移动安全细分领域的专业优势。

嘶吼安全产业研究院表示，在当前复杂的环境下，准确识别并激发产业内在动力尤为重要。《嘶吼2025中国网络安全产业势能榜》既是对当前产业发展的一次梳理，也为观察行业未来趋势提供参考，有助于引导企业关注长期健康发展，聚焦成长质量、技术演进与可持续经营，共同构建更具韧性的产业生态。

该榜单包含3类企业总榜与4项专项子榜，围绕“稳、增、新、转、形”五个维度，通过系统化的评估模型对参与企业进行分析，旨在客观呈现不同市场参与者的核心价值，推动行业向质量提升与创新驱动方向发展。

连续多年入选“专精型”企业榜单，这反映出行业对梆梆安全在移动安全领域长期专注与持续进步的认可，也体现了公司通过不断提升服务能力、推进技术迭代、促进成果转化、实现稳步成长并拓展市场所积累的综合实力。

此次入选“声量品牌力”专项榜单，表明梆梆安全在行业中具备一定的品牌影响力与资源整合能力。这既得益于梆梆安全在移动安全领域积累的专业口碑与行业认可，也与持续开展技术研究、生态合作与行业服务所建立的联结价值密切相关。

作为国内最早一批专注于移动安全领域的企业，梆梆安全建立了全面的“移动应用安全防护”生态体系，业务上形成“以移动安全为主体，联动安全服务和物联网安全”的“一体两翼”业务体系，通过专业的安全服务为政府、企业、开发者和消费者等客户打造安全稳固可信的网络空间生态环境；技术、产品、解决方案和咨询服务共同搭建构成“四位一体”的产研体系，软件、硬件与控制的多管齐下，逐步实现由软及硬、由内而外的联防联控。

在生态合作方面，梆梆安全积极推进产业协同，不仅与麒麟、统信等国产操作系统完成产品适配，并推出全栈鸿蒙NEXT产品，同时也与国内高校合作共建车联网安全研究院、移动与物联网安全联合实验室等平台，持续深化产学研融合，助力行业整体安全能力提升。

展望未来，梆梆安全将继续依托自身在专业领域的技术积累，深化移动安全相关技术的研究与应用，以创新为导向，持续输出对行业具有实用价值的成果。公司愿与行业伙伴携手，共同致力于网络空间安全的建设，助力网络安全生态实现健康与可持续发展。

12月8日，嘶吼2025网络安全“金帽子”年度评选结果重磅揭晓！在百余家安全企业的激烈角逐中，CACTER金融信创邮件安全网关解决方案凭借“全栈信创+高效防护”的硬核实力突围——不仅高分跻身大众评分TOP5，更成为邮件安全领域唯一斩获“年度优秀行业解决方案”的标杆案例。这份荣誉，是对CACTER技术领先性的权威认证，更奠定了CACTER在金融信创邮件安全赛道“独一档”的领跑地位。

直击金融信创三大痛点

全栈适配+高效拦截+闭环管控”精准破局

随着金融信创从“试点探索”迈入“全面推广”，“自主可控”已成行业刚需，而邮件作为承载交易指令、客户数据、内部协同的“核心业务第一入口”，其安全与国产化替代直接关系金融机构命脉。针对金融行业“国外产品依赖、新型威胁频发、系统兼容困难”三大痛点，CACTER为其打造了“全栈适配+高效拦截+闭环管控”的信创邮件网关解决方案：

·全栈信创兼容，告别国外依赖：CACTER方案基于国产CPU架构搭建，能深度适配麒麟、统信等主流国产操作系统，以及达梦、电科金仓等国产数据库，可直接平滑替换梭子鱼、趋势科技等国外产品，从根本上规避“断供”风险；

·智能高效拦截，防护更精准：搭载自研NERVE2.0神经网络平台，通过深度学习实现威胁实时识别新型威胁，反垃圾邮件准确率99.8%，误判率仅0.02%，整体防护效率显著提升；

·独家域内安全闭环，阻断内部扩散：提供从外到内的全链路邮件安全管控，支持对已投递的高级恶意威胁邮件自动召回，阻断威胁在域内扩散。

获100+金融机构认可

鹏华基金信创成转型范本

当前，CACTER已收获100+金融机构的实战认可，成为行业自主可控的可靠选择。其中，管理超万亿资产的“老十家”公募机构——鹏华基金，正是典型示范。2022年启动邮件系统改造时，鹏华基金曾面临“非信创网关断供风险高、传统规则库防不住新型钓鱼攻击”的双重困境。引入CACTER信创邮件安全网关后，凭借“适配强、拦截准、运维省”三大优势，鹏华基金不仅顺利完成国产化替代，还实现了安全与合规的双重达标，成为金融信创邮件安全改造的可复制样本。

从解决行业痛点到收获100+金融机构认可，再到此番摘得“金帽子”年度优秀行业解决方案奖，CACTER 的每一步都紧扣金融信创 “自主可控、安全高效” 的核心需求。这一系列成果，正是行业对CACTER“能打硬仗、善打胜仗”的产品实力的最强背书。CACTER将以此次获奖为新起点，不止于“替代”，更致力于“引领”：用更前瞻的信创适配、更精准的智能防护，与金融行业并肩探索自主可控的“最优解”，共筑金融信创安全基石。 

梆梆安全「具身智能安全」系列专题，致力于前沿风险研究，期待与行业伙伴携手并进，共探智能时代的安全无人区。

当智能从屏幕背后的算法，迈入拥有实体、可交互、能行动的物理世界，具身智能的时代正加速到来。从灵活的家庭助手到奔驰的自动驾驶汽车，从精准的手术机器人到高效的工厂机械臂，它们正在重新定义生产力与生活方式。

然而，当代码拥有“手脚”，其安全风险也从虚拟空间溢出到现实世界——一次感知的误判、一个决策的漏洞，都可能瞬间转化为设备损坏、运营中断甚至人身伤害。因此，为具身智能构建安全体系，已不再是单纯的软件防护，而是一项关乎物理安全、系统可靠与社会信任的复杂工程。

系统脆弱性分析：内外交织的风险全景

业内研究者提出，具身智能系统的风险来源可划分为外源性攻击与内源性缺陷。外源性脆弱性 主要来自其与开放环境的持续交互，尤其在接入物联网与云平台后，系统暴露在复杂的网络攻击面之下。攻击者可能利用弱身份认证、未加密的通信链等薄弱环节，实现远程入侵与控制，其威胁模式正变得日益多元和自动化。

内源性脆弱性 则根植于系统自身，包括硬件可靠性、软件代码缺陷及控制逻辑的设计不足。例如，自动驾驶规划模块的一个边界条件错误，或在极端场景下机器人关节控制算法的响应延迟，都可能直接引发物理事故。这类风险虽在设计和测试阶段可部分预见，但仍需通过持续验证与韧性设计来管控。

攻击目标聚焦：感知、决策与执行的“靶心”

攻击者往往瞄准系统最核心的三大环节进行突破：

感知系统：通过对摄像头、激光雷达、毫米波雷达等传感器实施数据投毒、信号欺骗（如GPS欺骗）或物理干扰，使系统“看错”世界，形成错误的环境认知。

控制系统：利用运动规划、决策算法中的漏洞，或劫持控制指令，导致机器人执行异常轨迹、发生碰撞或完成危险动作。

通信通道：干扰或劫持车联网、机间通信等无线链路，阻断关键指令或状态同步，造成系统失联或协同失效。

网络安全攻击方式与防御纵深建议

1. 中间人攻击

攻击者劫持设备与云端或控制端之间的通信会话，不仅窃取敏感数据，更能实时篡改关键指令与状态信息。例如，篡改自动驾驶车辆的导航更新数据使其驶入危险区域，或伪造工业机器人的应答信号以掩盖其异常状态。

防御建议：强制实施身份认证与端到端加密通信，部署具备深度学习能力的网络流量分析系统，实时检测会话劫持、协议异常等中间人攻击特征，实现自动化响应。

2. 传感器欺骗攻击

此类攻击旨在污染系统感知的源头数据。攻击者通过生成对抗样本欺骗视觉系统，发射干扰信号欺骗激光雷达，或模拟导航信号欺骗GPS，从而在系统决策前端植入“幻觉”。

防御建议：构建传感器融合架构，利用不同物理原理的传感器进行交叉验证。部署轻量级在线异常检测平台进行实时数据分析，同时对关键传感器数据链路进行物理隔离与信道加密。

3. 固件攻击

固件是硬件设备的“神经中枢”。攻击者通过漏洞利用、劫持OTA升级通道或物理接触，植入恶意固件，从而获得对执行器、传感器等底层硬件的持久、隐蔽控制权，常能绕过上层安全防护。

防御建议：实施安全启动流程与运行时固件完整性校验、安全检测，并建立动态安全监控平台进行监测与响应处置。

4. 侧信道攻击

攻击者不攻击算法本身，而是通过采集和分析设备运行时的功耗、电磁辐射、时序或声音等物理侧信道信息，逆向推导出加密密钥、决策阈值等核心机密。

防御建议：推荐使用抗侧信道攻击的加密算法，并对关键硬件进行物理屏蔽与环境噪声控制。

5. 勒索软件攻击

勒索软件侵入系统后，加密控制软件、关键配置文件或地图数据，甚至锁定人机交互界面，致使整个具身智能系统瘫痪，以此勒索赎金，对连续作业的工业与商业场景造成巨大损失。

防御建议：遵循最小权限原则与严格的网络分段策略。部署终端防护系统，精准识别勒索软件的文件加密、网络通信等恶意行为。建立并定期演练离线、不可篡改的备份恢复体系。

6. 供应链攻击

这是最具隐蔽性的威胁之一。攻击者在第三方软件库、开源组件、硬件芯片或开发工具中植入后门，污染产品源头。此类漏洞潜伏期长，发现难，且修复涉及全产业链，危害极大。

防御建议：实施覆盖软件与硬件全生命周期的供应链安全治理。对软件侧进行持续漏洞扫描；对硬件侧推行身份认证机制；通过运行时应用自保护技术监控内存中的异常行为。

从安全到可信，构建负责任的人机共生未来

在具身智能的落地中，安全是必须守住的物理与伦理底线。这意味着系统需具备全方位的防御能力：在技术上，实现从感知、决策到执行的全链路威胁对抗（如抗传感器欺骗、防指令越狱、防执行器劫持）与恶意意图识别；在规范上，构建基于合规的数据治理体系，践行数据安全与个人信息保护、隐私计算与算法公平性，确保人机交互清晰可辨且符合社会伦理。

而可信，则是驱动广泛采纳与深层协作的情感高阶。它建立在安全之上，源于稳定可靠的表现、透明的交互机制以及对人类尊严与自主性的尊重。只有同时筑牢安全底线与提升可信体验，具身智能才能真正融入社会，释放其巨大潜能。

当机器不仅能“行动”，更能“思考”，我们是否已为其踏入现实世界做好了充分准备？我们部署的防御体系，能否跟上攻击技术迭代的速度？在效率与安全的权衡中，我们是否赋予了安全足够的优先级？最终，又该由谁来为一次智能体的“物理越界”承担责任？

这不仅是技术问题，更是关乎责任与未来的共同议题，值得每一位行业从业者、参与者及使用者，持续思考，共同作答。

参考文献：

[1] 《Towards Robust and Secure Embodied AI: A Survey on Vulnerabilities and Attacks》

[2] 《Towards Safe and Trustworthy Embodied AI:Foundations, Status, and Prospects》

[3] 《具身智能安全治理丨人工智能与公共安全》

[4] 《《人工智能安全治理框架》2.0版正式发布》

【梆梆安全监测】

安全隐私合规监管趋势及漏洞风险报告

（1109-1122）

●最新监管动态

监管通报动态

●监管支撑汇总

梆梆安全监管支撑数据

国家监管数据分析

●漏洞风险分析

各漏洞类型占比分析

存在漏洞的APP各类型占比分析 

01最新监管动态

1. 监管通报动态

11月13日，浙江通管局依据相关法律法规，对APP、小程序违法违规收集使用个人信息等问题开展治理。截至目前，尚有13款APP、小程序未按要求完成整改，浙江通管局现予以通报。

11月13日，广东通管局依据相关法律法规的要求，持续开展移动应用程序专项治理工作，截至目前，尚有3款APP未完成整改，广东通管局现予以通报。

11月14日，广东通管局依据相关法律法规的要求，持续开展移动应用程序专项治理工作，截至通报规定时限，经核查复检，尚有5款APP未按照要求完成整改反馈，广东通管局现予以下架。

11月24日，甘肃通管局依据相关法律法规的要求，持续开展移动互联网应用程序（APP）及小程序个人信息合规专项整治行动。抽测发现有10款APP未完成整改或整改不到位，甘肃通管局现予以公开通报。2025年第五批通报的违规APP，仍有3款未按要求完成整改，甘肃通管局现予以下架处置。

11月26日，上海通管局依据相关法律法规的要求，对APP（SDK）侵害用户权益的违规行为持续开展整治。抽查，共发现71款APP（SDK）存在侵害用户权益行为，上海通管局现予以通报。

02监管支撑汇总

1. 梆梆安全监管支撑数据

依据近两周监管支撑发现存在隐私合规类问题的APP数据，从APP行业分类及TOP3问题数据两方面来说明。

1)问题行业TOP3：

求职招聘类

网上购物类

其他

2)隐私合规问题TOP3：

TOP1：164号文-1 违规收集个人信息；

TOP2：认定方法 2-1 未逐一列出APP(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等；

TOP3：认定方法 3-3 实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围；

2. 国家监管数据分析

针对国家近两周监管通报数据，依据问题类型，统计涉及APP数量如下：

针对国家近两周监管通报数据，依据APP类型，统计出现通报的APP数量如下：

03漏洞风险分析

从全国的Android APP中随机抽取了1,623款进行漏洞检测发现，存在中高危漏洞威胁的APP为1,257个，即77.45%以上的APP存在中高危漏洞风险。而这1,257款漏洞应用中，有高危漏洞的应用共944款，占比75.1%，有中危漏洞的应用共1,215款，占比96.66%（同一款应用可能存在多个等级的漏洞）。存在不同风险等级漏洞的APP占比如下：

各漏洞类型占比分析

针对不同类型的漏洞进行统计，应用中高危漏洞数量排名前三的类型分别为Java代码反编译风险、HTTPS未校验主机名漏洞以及动态注册Receiver风险。各漏洞类型占比情况如下图所示：

存在漏洞的APP各类型占比分析

从APP类型来看，实用工具类APP存在漏洞风险最多,占漏洞APP总量的21.68%，其次为教育学习类APP，占比11.14%，生活服务类APP位居第三，占比10.18%，漏洞数量排名前十的类型如下图所示：