安全设备成“灯下黑”？360报告揭示攻防演练高危入口

mulunbo

近日，360数字安全集团漏洞研究院发布《2026攻防演练必修漏洞清单》，系统梳理了政企单位在国家级攻防演练前亟需关注的679个高危风险入口，并首次将AI基础设施列为独立攻击面。

清单显示，随着大语言模型在企业内部加速部署，大模型API网关、AI工作流平台、开发框架等新兴组件在过去一年集中暴露多条严重和高危漏洞，涉及未授权SQL注入、代码注入、反序列化等类型。此类组件通常部署在企业核心网络区域并拥有较高系统权限，安全审查往往滞后于功能迭代，一旦被利用，可能导致底层运行环境控制权和关键凭据外泄。
报告关注的另一重点是网络安全设备自身漏洞。防火墙、堡垒机、SD-WAN控制器等安全防护设备被曝出多条严重漏洞，涉及身份验证绕过、命令注入等高危场景。安全设备通常拥有较高网络权限，一旦被攻破，攻击方可借此绕过安全策略、篡改配置，甚至关闭告警规则，削弱防守方监测能力。
清单同时揭示，注入类漏洞占比超四成，近三分之一漏洞无需登录凭证即可利用。供应链集中风险持续累积，两家头部企业级软件厂商合计暴露漏洞超160条，OA、ERP等核心业务系统是漏洞密度最高的领域。一条底层框架的漏洞，可同时波及整个行业生态中数以万计使用相同组件的系统，放大效应不容小觑。
面向即将到来的攻防演练，360建议政企单位建立“事前排查、事中监测、事后固化”的漏洞治理闭环：演练前完成互联网暴露面梳理和高危漏洞修复；演练中加强对文件上传、命令执行、异常外联等行为监测；演练后结合攻击路径复盘，持续完善补丁管理和安全策略。
据悉，该清单依托360漏洞情报数据库，综合公开漏洞库、厂商安全公告、威胁情报研究及历年攻防演练实战数据形成。基于连续十年支撑国家级网络攻防实战演习的经验，360已将漏洞挖掘智能体融入传统漏洞研究体系，实现未知漏洞自主发现、已知漏洞自主复现及线索实时入库，构建从漏洞发现、情报研判到防护响应的闭环。未来，360将持续发挥AI驱动的威胁研判能力与攻防实战优势，筑牢政企数字化发展的安全底座。

com2

谢谢楼主分享！