据三六零(601360)消息,近日,360数字安全集团漏洞研究院发布《2026攻防演练必修漏洞清单》,系统梳理了政企单位在攻防演练前亟需关注的高危风险入口。报告指出,在近一年新增的160条已知利用漏洞中,严重与高危漏洞合计占比达72.5%;在全部679条漏洞中,严重和高危漏洞合计占比高达95.7%,其中SQL注入、命令注入、代码注入三类漏洞占比44.9%。报告强调,攻防演练前的漏洞治理需转向实战化思维,优先关注最易被利用的漏洞和资产。
一、五类高危入口建议优先排查
1. AI与大模型应用工具:成为新兴高价值攻击入口。大模型网关、智能体平台等AI系统通常连接敏感权限与数据,一旦被利用可能直接获取控制权。典型漏洞包括LiteLLM的未授权SQL注入、LangChain的未授权反序列化等。
2. OA、ERP与协同办公系统:外网突破的高频目标。这类系统承载核心数据且常对外提供服务,需重点排查未授权文件上传、SQL注入等漏洞。
3. 中间件与开发框架:一处漏洞可能影响多套业务系统。建议对互联网暴露的相关组件优先完成补丁升级和访问限制。
4. 网络与安全产品:防线本身可能被绕过。防火墙、WAF、堡垒机等安全设备若存在漏洞,可能导致策略被绕过或告警被禁用,需重点检查管理面暴露、补丁等情况。
5. 桌面软件与操作系统:钓鱼、提权与持久化的关键环节。需重视终端侧补丁、监控与异常提权告警。
二、今年攻防演练的四个新变化
变化一:AI基础设施成为新兴攻击面,需将其纳入常规安全管理范围。
变化二:传统Web漏洞(如SQL注入、文件上传)仍是主战场,基础漏洞治理不可忽视。
变化三:企业级软件供应链风险更受关注,需关注同类产品或通用组件漏洞的广泛影响。
变化四:安全设备自身成为防守盲区,演练前需对安全设备开展专项排查。
三、安全负责人应如何用好这份清单?
第一,先做资产对齐,将企业资产与清单比对,明确命中高危漏洞的系统。
第二,按优先级修复,优先处理未授权可利用、严重/高危、存在在野利用及位于互联网暴露面的漏洞。无法立即修复的应采取临时防护措施。
第三,重点排查“防线本身”,即各类安全和运维系统。
第四,把AI应用纳入资产台账进行常规管理。
第五,建立演练中的监测与响应机制,针对高频攻击行为部署检测规则和预案。
报告指出,攻防演练考验的是企业在攻击发生前识别最危险入口、建立清晰修复优先级的能力。360建议政企客户以此清单为基础,尽快开展面向实战的漏洞排查和暴露面收敛。
原文:攻防演练前,这679个漏洞建议先查一遍(来源:三六零(601360))
