00:00:00去年是网络安全史上创纪录的一年,但可惜并不是什么好兆头。
00:00:04去年发布的 CVE 漏洞数量超过了 48,000 个,正式创下了
00:00:10单年发现漏洞数量的历史新高。
00:00:13而且看来,未来的形势只会更加严峻。
00:00:17在这段视频中,让我们深入分析这些数据,探究为什么漏洞数量
00:00:22会激增,以及我们该如何应对。
00:00:29去年的漏洞数量增长了 18%,这意味着平均每天都会
00:00:35发现 130 个新的安全缺陷。
00:00:39更可怕的是,在 2025 年初,约有 28% 的已知漏洞利用
00:00:46是在漏洞披露后的 24 小时内发起的。
00:00:49这意味着在开发者发布补丁之前,攻击者就已经在
00:00:54积极利用漏洞并瞄准相关系统了。
00:00:57毋庸置疑,AI 编程让攻防两端都变得更加容易。
00:01:01随着“氛围编程” (vibe coding) 的兴起,由于 AI 编程代理
00:01:07设置的安全措施较弱,导致新系统暴露在未知的漏洞中。
00:01:11而对于攻击者来说,扫描系统关键问题的速度从未像现在这样快,
00:01:17生成针对这些新漏洞的利用脚本也变得前所未有的简单。
00:01:22但观察漏洞利用的类型会发现,令人惊讶的是,跨站脚本攻击 (XSS)
00:01:27和 SQL 注入仍然是最常见的攻击方式。
00:01:32因此,在你的应用或系统中实施规范的输入清理 (input sanitization),
00:01:38是保护自己最简单有效的方法之一。
00:01:40如果谈到具体的 Web 框架,WordPress 依然是新增 CVE 的重灾区,
00:01:45仅在 WordPress 上就发现了约 7000 个新漏洞。
00:01:52所以我建议尽量避开 WordPress。
00:01:55但如果你打算在下个项目中使用 WordPress,请务必尽量
00:02:00减少插件的使用,因为绝大多数(约 90%)的 WordPress 相关漏洞
00:02:07都来自第三方插件,6% 来自主题,只有 4% 来自 WordPress 核心软件。
00:02:15所以 WordPress 核心代码相对安全,但插件通常维护不善,
00:02:21有些安全问题甚至会被长期忽视。
00:02:23不过这引出了一个值得思考的问题。
00:02:25哪些语言和框架是相对安全的呢?
00:02:28数据显示,平均而言,内存安全语言(如 Rust、Java、Go、C#、Python
00:02:36或 Swift)被认为比内存不安全语言(如 C、C++ 或汇编语言)更安全,
00:02:43因为后者允许直接的指针操作。
00:02:47研究表明,在微软和谷歌等大型代码库中,
00:02:52约 70% 的高危安全漏洞都是由内存安全问题引起的。
00:02:592025 年的一个重大转变是,CISA、NSA 和白宫等机构
00:03:06都在积极推动开发者放弃内存不安全的语言。
00:03:11在评估漏洞风险时,代码密度也是一个值得关注的指标,
00:03:16谷歌 2025 年的数据显示,Rust 代码的漏洞密度仅为每百万行 0.2 个,
00:03:26而传统的 C 或 C++ 代码则接近每百万行 1000 个。
00:03:32这完全可以理解,因为 C 和 C++ 自 70 年代就已存在,
00:03:37大量的历史遗留代码中仍潜伏着未修复的漏洞。
00:03:42所以如果你在纠结下个项目选 C 还是 Rust,单从安全角度来看,
00:03:47这个事实就足以让你向 Rust 倾斜了。
00:03:52如果我们看操作系统,那么目前漏洞最多的操作系统
00:03:58非 Linux 内核莫属。
00:03:59这并不奇怪,因为众所周知,Linux 内核无处不在。
00:04:04它支撑着服务器、安卓系统、物联网设备等等。
00:04:09正因如此,它受到了研究人员的严密审查。
00:04:12所以会有大量的漏洞被发现并公开。
00:04:15此外,任何开源项目都注定会吸引更多潜在攻击者的目光。
00:04:20那么在迈向 2026 年之际,问题是,我们该如何更好地未雨绸缪,
00:04:25保护我们的系统免受未来的威胁?
00:04:28现实情况是,我们面对的不再仅仅是人类黑客。
00:04:32我们正在进入一个“机器对抗机器”的战争时代。
00:04:36因此,今年你应该关注以下三大安全支柱。
00:04:40第一,优先考虑内存安全。
00:04:43对于所有新开发项目,请优先选择 Rust、Go、Swift 等内存安全语言。
00:04:49从 C 和 C++ 转型是降低漏洞密度最有效的方法。
00:04:55第二,实施 AI 驱动的监控。
00:04:58由于攻击者现在利用 AI 在漏洞披露后 24 小时内发起攻击,
00:05:05仅靠人工监管已经不够了。
00:05:06你应该部署自动化检测系统,通过行为分析来
00:05:12实时识别异常。
00:05:13在这类监测工具中,Better Stack 是个很棒的选择。
00:05:17Better Stack 现在内置了 AI 原生错误跟踪功能,甚至还包含一个
00:05:24AI SRE 机器人,可以在系统出现异常时随时向你发出警报。
00:05:28第三,最小化供应链攻击面。
00:05:32这一原则适用于所有现代开发。
00:05:35减少依赖项。
00:05:37大多数漏洞都源于第三方插件和库。
00:05:41这一点在去年的“React to Shell”恶意漏洞中尤为明显,
00:05:46James 对此做了精彩的深入分析,你可以在这里观看。
00:05:49最后,第四件事是订阅我们的频道,
00:05:54以确保你不会错过任何关于新重大漏洞的更新。
00:05:58Better Stack 频道会尽全力让你掌握最新行业动态,
00:06:03包括解读新发现的漏洞。
00:06:06希望这段视频对你有所帮助,如果是的话,请务必
00:06:10点击视频下方的点赞按钮让我们知道。
00:06:13我是来自 Better Stack 的 Andres,我们下期视频再见。