1、2024上半年网络安全漏洞态势报告2024 MIDYEAR CYBERSECURITY VULNERABILITY TRENDS REPORT工业和信息化部电子第五研究所软件与系统研究院科研创新部深信服千里目安全技术中心报告编写工作组工业和信息化部电子第五研究所：陈平、李帅、刘茂珍、余果、顾欣、魏光辉、陈俊名、张宇锖、谢梦珊、李颖琪深信服科技股份有限公司：周欣、王振兴、安东冉、禹廷婷、辛佳橼、胡屹松、杜笑宇、刘志远引言声明近年来，网络空间安全的战略地位不断提升，网络安全漏洞作为威胁网络安全的根本性因素之一，其重要性日益凸显。随着新兴技术的不断发展，网络架构日益复杂，系统间的互联互通更加紧密，使

2、得网络安全漏洞的形态和利用手段不断演变。在此背景下，深入了解网络安全漏洞的发展态势，把握其演变规律，对于提升网络安全防护能力、构建安全可信的网络环境具有重要意义。本报告旨在通过网络安全漏洞总体视角，分析漏洞发展态势与流行利用趋势；根据国内外开源软件漏洞发展现状，分析当前开源软件漏洞威胁态势和治理成效;从实际攻防场景出发，分析漏洞利用新趋势。与此同时，随着人工智能技术的快速发展，也为漏洞利用带了新的变化。本报告围绕以上内容开展分析，希望能够为网络安全行业提供有价值的参考，与全行业共同应对日益严峻的网络安全挑战。本报告由工业和信息化部电子第五研究所软件与系统研究院和深信服科技股份有限公司联合编写。

3、文中漏洞数据来源于 CNNVD、NVD 等国家级漏洞库和 KEV、OSV、Google Project Zero 项目等行业代表性数据，均明确注明来源，其余数据来源于报告编写团队，目的仅为帮助读者及时了解中国或其他地区漏洞威胁的最新动态和发展，仅供参考。本报告中所含内容乃一般性信息，不应被视为任何意义上的决策意见或依据，任何编制单位的关联机构、附属机构并不因此构成提供任何专业建议或服务。摘要2024 年漏洞发现和披露速度再次加快，2024 年上半年披露漏洞 20548 个，与 23 年同期相比增长 46.16%。预计年底收录漏洞数将突破三万个，这预示着今年的网络安全工作不能放松警惕，需要对安全

4、漏洞的防御和修复投入更多精力。2024 年全球漏洞利用的产品分布方面，操作系统和浏览器 0day 漏洞数量最多，其中浏览器 0day 漏洞量整体占比呈下降趋势；第三方组件的 0day 漏洞利用量呈上升趋势；针对移动设备的 0day 漏洞利用手段升级，其中接近 50%被用于执行间谍活动。2024 年上半年，披露开源软件漏洞 3618 个，高危及以上占比超 40%。今年仍然需要重点关注由开源软件漏洞引发的软件供应链安全风险。我国应加快开源软件漏洞治理步伐，抓住市场、人才、技术发展机遇与国际化合作趋势，建立“政产学研用”一体化协同共治体系，鼓励开源界先试先行。2024 年人工智能已成熟落地应用于未知

5、漏洞猎捕和漏洞优先级排序中。在未知漏洞猎捕方面，基于相似度算法和 AI Agent 模式 0day 漏洞归因定性，可以实现自动化 0day 猎捕。在漏洞优先级排序(VPT)上，人工智能结合 SSVC 决策树模型，能够快速推理决策出需要优先处置的漏洞。2024 年典型攻防场景中，以利用逻辑类 0day 漏洞和传输加密类 0day 漏洞为主，攻击者以此来隐藏攻击特征，比以往攻击更具隐蔽性。其中逻辑类漏洞主要包括业务接口漏洞、认证绕过、账密找回、越权访问等类型。2024 年典型攻防场景中，漏洞利用方式从战前储备 0day 漏洞逐渐向战前储备和后期新挖掘 0day 为主的方式转变。这一变化与攻防活动周

6、期拉长有较大关系，也与目标范围逐年扩大存在一定关系。引言摘要安全漏洞总体态势漏洞公开披露情况漏洞利用情况0day漏洞利用情况攻防场景漏洞利用趋势攻防场景下的0day利用情况攻防场景下的Nday利用情况攻防场景下的漏洞利用路径开源软件漏洞态势开源软件漏洞威胁态势开源软件漏洞的影响国外开源软件漏洞治理工作与成效我国开源软件漏洞治理挑战与机遇人工智能技术对安全漏洞的影响人工智能技术发展过程对安全漏洞利用的影响人工智能产品自身存在的安全漏洞风险人工智能技术为安全漏洞防御力提升赋能安全漏洞发展趋势总结与应对措施安全漏洞发展趋势总结开源软件漏洞治理措施建议攻防场景下安全漏洞治理措施建议人工智能场景下安全漏