每年公开披露的CVE漏洞数量持续攀升，2024年已创下新纪录，达到4万个，2025年也确定再次刷新纪录，截至11月初已超过去年总量，全年CVE数量有望突破4.5万个。

纵观每年都有新产品漏洞被披露，看似问题不断增多，但CVE其实是关键的安全机制。它为特定弱点赋予唯一标识，便于标记、追踪与修复，反而是提升产品安全的起点。

需要澄清的是：如果指的是产品上市前的缺陷问题，当然是越少越好，才能避免产品带漏洞上市；而从整体安全生态角度看，许多安全概念需要“反向”理解——若讨论的是已登记在案的CVE漏洞，则代表这些风险不再是不可知的未知威胁。另一方面，部分漏洞本可避免，尽管业界强调“安全设计”，但这一转变不会迅速完成，市面上的产品仍存在大量技术债务亟待偿还。

在今年早些时候举行的美国黑帽大会上，我们采访了趋势科技旗下全球最大的漏洞赏金计划ZDI的负责人Brian Gorenc，就漏洞数量增长现象请教他的看法。当时我们注意到：2025年1月至6月披露的漏洞已达2.5万个，势必将超越2024年全年总量，全年可能达到5万个。（截至11月底为4.3万个）

对于CVE数量持续增长，Brian Gorenc指出，若仔细观察这一现象，可以发现“漏洞研究”正迅速成为备受重视的专业领域。他从两个层面进行解析：

（一）从研究人员角度看，近年来投入寻找程序错误与安全弱点的人数显著增加。像趋势科技ZDI这样的漏洞赏金计划，使研究人员能够通过发现漏洞获得收入，吸引了全球大量新人才加入，持续报告新漏洞，推动了整体CVE数量的增长。

（二）从供应商角度看，厂商越来越普遍地将CVE作为披露和沟通漏洞的通用语言。同时，近年来MITRE与CVE工作组持续推动厂商成为CNA（CVE编号授权机构），使企业能够自行发放CVE编号，流程日益标准化和简化。

因此，在上述双重推力下，形成了CVE数量逐年攀升的格局。此外，网络安全议题在全球范围内日益普及，漏洞影响的讨论已逐渐成为常态，这促使整个市场意识到：若不正视并公开处理漏洞，将丧失与竞争对手的市场地位，这一观念的转变至关重要。

过去对漏洞通报机制缺乏认知的中小企业，如今也开始跟进投入此类机制，这也是ZDI持续重点推动的方向。

事实上，我们在大陆也观察到类似趋势。国家信息安全漏洞共享平台（CNVD）正在积极拓展其职能，通过搭建漏洞披露平台，为研究人员与国内厂商之间建立更畅通的沟通桥梁。2025年下半年，相关机构也启动了“漏洞猎捕”专项行动，推动更多国内企业采用漏洞赏金计划，及早发现并修复尚未被公开的潜在风险。

被登记为CVE的漏洞越多，未必是坏事，往往意味着更多漏洞正在被修复。

随着CVE数量增加，许多人仍存在一个误区：CVE漏洞越多，系统就越不安全。但事实是：这些安全风险本就存在，只是过去未被赋予CVE编号，缺乏正式记录与公开披露而已。

Brian Gorenc也认同这一观点，他表示：“当你看到CVE数量上升时，往往意味着有更多错误正在被修复。”因为一旦获得CVE编号，通常会伴随补丁或防护措施的发布，这反而是好事。

尽管少数情况下漏洞尚未获得修复，但至少问题已被公开曝光，而非长期隐藏在无人知晓的状态中。

Brian Gorenc笑着说，他更担心的是“没有CVE”的供应商，而非拥有大量CVE的厂商。因为这通常意味着厂商的产品缺乏充分审计与检测，也没有建立完善的漏洞披露政策（Vulnerability Disclosure Policy, VDP）。这类厂商往往不知如何修复漏洞，也不熟悉使用CVE进行对外沟通，未能接入保护客户所需的整体安全生态体系。

当你看到CVE数量增加时，往往意味着更多漏洞与弱点正在被修复。我们更需要担心的是没有CVE的供应商产品，这通常代表厂商未建立漏洞披露政策（VDP），可能不知如何修复，也不熟悉用CVE对外沟通，未能接入保护客户所需的整体安全生态体系。—— 趋势科技安全研究副总经理暨ZDI计划负责人 Brian Gorenc（图片来源：趋势科技）

攻击者不仅盯高分漏洞，也常串联低分漏洞发起攻击

另一个值得探讨的问题是，已知CVE漏洞所对应的CVSS评分。通常评分越高，风险越大，越可能被利用，因此企业优先修复高分漏洞。

但攻击者深知高分漏洞的修复窗口期极短，因此从多起安全厂商披露的攻击事件可见，不少攻击会串联多个中低风险漏洞实现入侵。

对此，Brian Gorenc深有感触地表示，当漏洞被评为严重或CVSS满分（10分）时，企业通常会立即启动修复和防护机制，加强监控，响应非常迅速，攻击者对此心知肚明。

相比之下，低分漏洞往往不会被企业列为优先修复目标。例如，一些企业规定CVSS评分9分以上漏洞需一周内修复，而较低风险漏洞可能被拖延数月，成为攻击者可利用的防御缺口。

他补充道，许多现代攻击技术本就需要多个漏洞协同配合才能成功利用目标系统，因此，利用多个低严重性漏洞组合攻击，已成为常见手段。

Brian Gorenc认为，可以简单将攻击者分为两类：一类是“懒惰型”攻击者，偏好利用高分且易攻的漏洞；另一类是“精准低调型”攻击者，专门寻找那些不会被快速修复的低分漏洞，在环境中长期潜伏渗透。

因此，他也提醒防御方：不要因“低严重性”字面含义产生误判——当这些低分漏洞被有技巧地串联起来时，同样可能造成极其严重的后果。

至于零日漏洞利用（zero-day exploit），这些漏洞由黑客率先发现并用于攻击，如何应对这一威胁？他强调，所有供应商都必须高度重视产品安全，这一点毋庸置疑。

对ZDI而言，零日漏洞始终是核心关注重点。因此，他们投入大量资源，目标是在第一时间获取并掌握这些漏洞，通过赏金奖励鼓励安全研究人员通过合法渠道向ZDI报告，而非将漏洞出售至地下黑市。此举有助于提前了解未来可能的攻击手法与威胁形态，实现主动防御。

同时，ZDI也在持续扩大举办Pwn2Own漏洞奖励竞赛，促进研究社区与厂商共同解决潜在漏洞问题。

运用AI辅助产品安全已是趋势

对于利用AI加速挖掘产品弱点，Brian Gorenc表示，目前已有团队开始使用Agentic AI自动发现漏洞。另一个应用方向是将大语言模型（LLM）用于强化逆向工程流程。据他观察，不少逆向工程工具厂商已将AI整合进产品，辅助分析汇编语言与程序行为。

以ZDI自身为例，他们正将生成式AI与Agentic工具纳入分析流程，旨在提升自动化水平，更高效地进行分析，并更精准地评估漏洞的可利用性。他最后强调，在理想情况下，我们应尽量在软件开发阶段就解决大量常见漏洞。事前预防永远比事后补救更关键，成本也更低得多。