随着信息技术的广泛应用，网络攻击的手段和技术层面越来越复杂，挑战企业和个人的安全防线的同时，也对社会的安全管理和意识提出了更高的要求。漏洞是网络防御的基础，深入了解漏洞本质、追踪其演变态势并采取相应防御措施，成为保障网络安全的关键所在。

近日，360数字安全集团重磅发布《2024年度网络安全漏洞分析报告》（以下简称《报告》），综合分析2024年内爆发的漏洞整体态势，解析不同行业漏洞分布差异成因，剖析多起典型案例技术细节，并拓展了一系列影响深远的全球网络安全事件，以期为企业、机构及专业人士提供有价值的洞察，更好地构建安全防线。

《报告》显示，2024年全球漏洞总数达到44,957个，相较于2023年增长超过50%，创下历史新高。其中，高危和严重漏洞的占比超过50%。这一趋势反映了软件开发和使用的复杂性在不断增加，漏洞的发现和披露周期也在缩短，全球企业在漏洞披露、修复的过程中，面临着更大的压力和挑战。

2024年，360漏洞情报团队基于安全大模型，结合使用广度、行业关注度、客户关注度、漏洞攻击复杂度和补丁发布情况等多维度指标对全年披露的漏洞进行综合研判分析，发布了超800条需要用户重点关注的漏洞情报，其中600条易被利用，300余条为需要尽快修复的高危漏洞，有效帮助企业、机构和相关从业者进行针对性安全防护。

《报告》指出，跨站点脚本攻击（XSS）和SQL注入仍然是最常见的漏洞类型，分别占据了漏洞数量的前两位。尽管近年来安全措施不断加强，但这些经典漏洞仍然频繁出现在网络安全事件中，表明很多系统在基本的安全设计和开发实践中依然存在隐患。

2024年攻防演练期间，360累计捕获80,702条攻击样本，通过360漏洞云情报订阅服务平台发布漏洞预警180余条，其中超98%为高危及严重级别漏洞，帮助广大企业精准定位关键风险并前置修复，结合主动防御策略，有效降低80%以上的攻击威胁。数据显示，办公自动化系统（OA）成为攻击重灾区，ERP等核心业务系统紧随其后。由此可见，攻击者往往更倾向于针对企业日常运营中涉及广泛、数据密集的业务系统发起攻击。

漏洞行业化差异明显，360独家分类标准精细化情报颗粒度

《报告》对不同领域的漏洞分布情况进行了详细分析，显示出行业间存在明显的安全差异。从整体分布来看，通用行业漏洞占比接近90%，教育、金融和医疗等关键行业紧随其后，暴露出大量安全隐患。

360漏洞情报团队沉淀多年攻防演练实战经验，根据不同的攻防场景和漏洞利用特征，制定了针对攻防场景下的独家行业分类标准，对所有漏洞数据进行了行业标注，实现对全量漏洞数据的标准化分析，进而帮助企业深入了解各行业的漏洞分布特点，实现全量漏洞数据的高效管理与精准识别。

同时，人工智能技术发展迅速，也带来诸多风险挑战，2024年，360曝光了近40个大模型相关安全漏洞，影响范围覆盖llama.cpp、Dify等知名模型服务框架，以及Intel等国际厂商开发的多款开源产品，敲响人工智能安全警钟。此外，人工智能相关法律法规持续出台，联合国通过人工智能全球决议、欧盟的《人工智能法案》以及中国《人工智能生成合成内容标识办法（征求意见稿）》的发布，体现了全球各国对AI技术潜在风险的高度关注。不难看出，AI与新兴技术的治理将成为各界关注的焦点。

面对复杂且不断变化的漏洞威胁，360作为国内唯一兼具数字安全和人工智能能力的公司，充分利用安全大模型对漏洞治理关键能力进行智能化升级，形成了覆盖漏洞治理生命周期各阶段的安全技术及服务能力和可面向不同行业及业务方向的漏洞服务平台，提供优质的漏洞情报订阅服务、可控的安全众测/众包服务、及时的漏洞应急响应服务、高效的漏洞补丁推送服务，以及专业的漏洞安全专家服务。

未来，360将依托自身在漏洞安全领域的技术积累，助力提高网络产品安全漏洞的研究水平和预警能力，推动数字安全生态的健康发展，为构建更加安全、可靠的网络环境贡献力量！