软件漏洞武器化速度创历史新高，AI生成概念验证代码激增

根据VulnCheck周三发布的报告，在过去一年中，虽然只有不到1%的软件漏洞在野外被实际利用，但这些漏洞被武器化的速度和规模达到历史新高。

研究人员追踪了超过14,400个与约10,500个独特CVE相关的漏洞利用，比上一年增长16.5%。这一增长的很大比例与AI生成的概念验证代码有关。

研究人员警告说，这些AI生成的代码大部分都是不具备功能性的。

研究结果突显了安全团队在优先处理最严重威胁时面临的困难。威胁组织越来越能够在网络防御者应用安全补丁和采取其他缓解措施之前对漏洞进行武器化。

VulnCheck安全研究副总裁凯特琳·康顿表示："防御者长期以来一直将公开漏洞利用代码的可用性视为重要的风险信号。"

康顿说，研究表明，大量AI生成的信息正在为试图判断什么是合法威胁、什么可以被忽略的防御者制造问题。

超过50%与勒索软件相关的CVE首次被识别是零日漏洞的结果。

React2Shell漏洞（编号CVE-2025-55182）是2025年最严重的漏洞，已知有236个漏洞利用。

微软Sharepoint漏洞（编号CVE-2025-53770）已知有36个漏洞利用。

Q&A

Q1：软件漏洞武器化速度为什么会加快？

A： 威胁组织越来越能够在网络防御者应用安全补丁和采取其他缓解措施之前对漏洞进行武器化，加上AI生成的概念验证代码激增，使得漏洞武器化的速度和规模达到历史新高。

Q2：AI生成的漏洞利用代码质量如何？

A： 研究人员警告说，这些AI生成的代码大部分都是不具备功能性的。虽然AI能够大量生成概念验证代码，但其中很多并不能实际工作。

Q3：2025年最严重的软件漏洞是什么？

A： React2Shell漏洞（编号CVE-2025-55182）是2025年最严重的漏洞，已知有236个漏洞利用。此外，微软Sharepoint漏洞（编号CVE-2025-53770）也比较严重，已知有36个漏洞利用。