2024年度漏洞态势分析报告-49正式版

目录目录-1-一、前言-3-二、2024年度漏洞数据统计与分析....................................................................-4-1.基于主流漏洞库已公开披露漏洞的总体趋势分析-4-2.基于主流漏洞库已公开披露漏洞的数据统计-5-3.基于主流漏洞库已公开披露漏洞的趋势预测........................................-10-4.基于主流漏洞库已公开披露漏洞的厂商分析........................................-11-5.基于国产厂商分布数据的解析................................................................-13-6.本章小结....................................................................................................-14-三、2024年度CWE排行榜解读-15-1.CWE简介..........................................................................................-15-2.2024年度CWE排行榜单................................................................-15-3.基于2024年度CWE数据的趋势分析-18-4.本章小结....................................................................................................-19-四、2024年度漏洞预警回顾..............................................................................-20-1.年度严重漏洞（CVSS3.1评分>=9.0）...................................................-21-2.基于2024年度漏洞预警数据的分析......................................................-25-3.本章小结....................................................................................................-27-五、2024年攻防演练高危漏洞回顾..................................................................-28-1.攻防演练期间常见漏洞类型分布概况....................................................-28--1-2.攻防演练中常见漏洞利用类型................................................................-30-3.本章小结....................................................................................................-32-六、AI安全隐患与未来趋势分析.......................................................................-33-1.简介-33-2.LLM安全威胁解读33-3.LLM内生安全漏洞列表-37-4.LLM应用过程中面临的风险场景-38-5.LLM安全治理框架建设-40-6.本章小结....................................................................................................-43-七、关于我们-45--2-一、前言发展构成了极大威胁。的趋势。在这些领域中，一些看似微小的漏洞，往往能够成为攻击者的突破口，造成系统瘫痪、数据泄露、甚至影响社会和国家的核心安全。2024年度漏洞态势分析报告旨在全面回顾和总结这一年内的漏洞数据，分国内外主流漏洞库的数据，报告全面梳理了2024年度漏洞的各项趋势指标，涵过对历史数据和2024年度漏洞数据的对比分析，揭示漏洞数量的变化趋势，以了2024年度高危漏洞的预警并整理出了2024助各界及时发现和修补网络漏洞，减少潜在的安全风险。-3-二、2024年度漏洞数据统计与分析基于主流漏洞库已公开披露漏洞的总体趋势分析自2024年1月1日至2024年12月17日，2024年度安恒信息CERT监测到NVD已公开披露漏洞共计21831个，较2023年同比增长22.08%，通过对历年NVD已公开披露漏洞数据的整理，近十年NVD漏洞库已公开披露漏洞数量分布如下图所示：1近十年公开新增漏洞数据从上述图表中可以看出，近十年NVD公开的漏洞数量呈现出显著的逐年增长趋势，尤其是在2020年之后，漏洞数量的增长速度明显加快。2015年NVD公开新增漏洞数量仅为147个，而到2024年这一数字已达到21831个，增长了约150倍。2017年公开漏洞新增数量突破10001042个，2020年以后，2020年到2024年的年均增长率高达域的压力正在持续增大。-4-基于主流漏洞库已公开披露漏洞的数据统计漏洞各等级分布概况根据NVD2023年度与NVD2024年度公开漏洞数据库中具CVSS3.1评分的漏洞数据分析，整体安全态势呈现出一定的上升趋势。数据详情如下：低危漏洞：NVD2024年度低危漏洞数量为2768个，2023年度低危漏洞数量2763个，2024年度较2023年度同比增长0.18%。中危漏洞：NVD2024年度中危漏洞数量为9821个，2023年度中危漏洞数量7014个，2024年度较2023年度同比增长40.01%。高危漏洞：NVD2024年度高危漏洞数量为3819个，2023年度中危漏洞数量3175个，2024年度较2023年度同比增长20.28%。严重漏洞：NVD2024年度严重漏洞的数量为5862023年度严重漏洞数量413个，2024年度较2023年度同比增幅为41.89%。2已公开披露漏洞数据等级分布-5-漏洞产生原因分布设计错误（3568条，占比最高，约60%），设计阶段的漏洞占绝对主导地盖面广，难以完全根除。CWE-657：不安全设计CWE-628：使用不正确指定参数的函数调用CWE-306：关键功能缺少身份验证CWE-862：缺少授权CWE-326：加密强度不足CWE-327：使用损坏或有风险的加密算法CWE-20：输入验证不当CWE-391：未检查错误条件CWE-248：未捕获的异常CWE-833：死锁CWE-670：始终不正确的控制流实施CWE-16：配置CWE-276：默认权限不正确表1设计错误致漏洞产生对应的CWE119420%用户输入的过滤和验证不足导致的漏洞，例如SQL注入、跨站脚本（）等。-6-导致数据泄露或系统控制。CWE-20：输入验证不当CWE-89：SQL注入CWE-78：操作系统命令注入CWE-94：代码注入CWE-116：输出编码不当或逃逸CWE-118：越界访问CWE-601：重定向CWE-209：通过错误消息暴露信息CWE-190：整数溢出CWE-327：使用损坏或有风险的加密算法CWE-77：命令注入表2输入验证错误致漏洞产生对应的CWE60510%区溢出攻击，导致系统崩溃或执行恶意代码。CWE-120：缓冲区溢出CWE-125：越界读取CWE-787：越界写入CWE-129：数组索引验证不当CWE-190：整数溢出CWE-191：整数下溢-7-CWE-680：整数溢出导致缓冲区溢出CWE-369：除零错误CWE-617：可达断言CWE-131：缓冲区大小计算错误CWE-805：使用错误长度值访问缓冲区CWE-22：路径遍历CWE-754：未正确检查异常或特殊情况CWE-124：缓冲区下溢CWE-134：使用外部控制的格式化字符串表3边界条件错误致漏洞产生对应的CWE1142%权访问，直接威胁系统安全性和敏感信息的保护。CWE-285：授权机制不正确CWE-287：身份验证不足CWE-288：身份验证绕过CWE-302：缺少授权CWE-306：缺少身份验证的关键功能CWE-862：缺少授权的功能CWE-863：权限验证不足CWE-264：权限分配错误CWE-266：权限和特权管理错误-8-CWE-269：错误的特权管理CWE-276：不当的默认权限CWE-732：不当的文件权限分配表4访问验证错误致漏洞产生对应的CWE1119条）conditions）在几乎相同的时间内争用资源，导致错误的结果或未授权的访问。。CWE-16：配置错误CWE-362：并发访问共享资源时缺少适当的锁定CWE-367：时间和状态中的竞争条件CWE-364：信号处理程序中使用可中断的操作CWE-665：不当的同步CWE-667：共享资源的过度使用CWE-821：信号处理机制中的竞争条件CWE-670：总是被占用的资源CWE-328：使用竞争条件的非安全算法CWE-667：资源释放的竞争条件CWE-755：使用前的验证错误表5其他错误致漏洞产生对应的CWE-9-32024年度漏洞产生原因分布（注：数据来源CNVD）漏洞产生原因解析引起的漏洞容易对多线程、高并发系统的稳定性和安全性造成严重影响。基于主流漏洞库已公开披露漏洞的趋势预测API服务的广泛-10-现。基于主流漏洞库已公开披露漏洞的厂商分析年度漏洞数据的厂商分布概况LinuxLinux1098Adobe洞数量为740个，主要与其核心产品（如、Photoshop）相关。和Google分别以555个和539了开源项目和互联网巨头存在较大漏洞风险。Apple和的漏洞数量分别为460个和366Cisco以278个漏洞位列第八，体现其网络设备和安全解决方案的潜在风险。Siemens和分别以247个和236个漏洞排在第九和第十，主要涉及工业控制系统和企业级解决方案的安全问题。要加大对漏洞管理和修复的投入。加强对网络设备（如Cisco）和工业控制系统（如Siemens）的安全监测，以防止潜在漏洞的利用。根据NVD已公开披露漏洞数据统计，漏洞来源厂商排名如下：-11-42024已公开披露漏洞厂商分布年度厂商分布较年度数据解析2024年整体披露的漏洞数量较2023年显著增长，特别是Linux相关漏洞激增，可能与其广泛使用的生态有关。2024年榜单中厂商覆盖从操作系统、互联Siemens5公开漏洞厂商分布-12-AdobeGoogle等核心厂商在两年间持续占据榜单前列，反映出其复杂的产品生态长期面临安全挑战。工业控制系统厂商（Siemens）和开源项目（、Linux）在2024年的排名和数量提升。年度厂商分布数据的分析总结开源项目漏洞数量增长明显，应进一步加强对Linux等开源生态的安全研究对Adobe积累。基于国产厂商分布数据的解析基于NVD尤其是在企业办公场景和物联网应用中的潜在威胁。2024年度NVD已公开披露漏洞国产厂商分布如下图所示：6已公开披露漏洞国产厂商-13-基于上述2024年国产厂商的漏洞分布显示，消费级和企业级网络设备是安全问题的重灾区，而芯片和办公软件领域的漏洞也需得到更多重视。(1)消费级产品安全问题显著：腾达的高漏洞数量反映出小型路由器、交换机在2024年成为主要攻击目标。(2)企业级网络设备漏洞较多：锐捷和华为的高排名表明，企业级网络设备以防出现企业重大安全问题。本章小结2024年度的漏洞数据分析显示，全球信息安全威胁形势持续加剧，主流漏幅尤为显著，2024年中危漏洞较2023年增长了40.01%20.28%。安全防护的重中之重。60%要目标。针对厂商分布情况，2024年LinuxMicrosoft和Adobe等厂商的漏洞数量居洞数量较多，需要着重关注这类厂商的安全公告发布。-14-三、2024年度CWE排行榜解读CWE简介CWE25（常见弱点枚举前25名）是由CWE（CommonEnumeration，常见弱点枚举）发布的一个年度报告，列出了在过去一年中最常CWE是一个由MITRE组织管理的公共框架，用于识别和分类各种软件漏洞和弱点。CWE25务拒绝等问题。了解CWE25的排名可以帮助开发人员、运维人员和安全专家优先识别和修复软件中的高风险安全弱点。CWE25漏洞的曝光频率和漏洞利用案例，多维度出发，对漏洞进行评级排行。2024年度CWE排行榜单CWE25的漏洞类型涉及多种攻击方式和漏洞利用手段，包括注入攻击（SQL冲区溢出）减少。-15-序号ID名称较2023年相比1CWE-79跨站点脚本上升1位2CWE-787越界写入下降1位3CWE-89SQL注入-4CWE-352跨站请求伪造(CSRF)上升5位5CWE-22路径遍历上升3位6CWE-125越界读取上升1位7CWE-78操作系统命令注入下降2位8CWE-416下降4位9CWE-862缺少授权上升2位10CWE-434危险文件上传-11CWE-94代码注入上升12位12CWE-20输入验证不当下降6位13CWE-77命令注入上升3位14CWE-287身份验证不当下降1位15CWE-269权限管理不当上升7位16CWE-502反序列化下降1位17CWE-200敏感信息泄露上升13位18CWE-863授权错误上升6位19CWE-918服务器端请求伪造(SSRF)-20CWE-119缓冲区溢出下降3位21CWE-476空指针解引用下降9位-16-22CWE-798使用硬编码凭证下降4位23CWE-190整数溢出下降9位24CWE-400上升13位25CWE-306缺少关键功能的身份验证下降5位表6CWE排行榜单总览分析从2023年到2024CWE的前25大漏洞类型出现了不同主要变化分析如下：上升排名的漏洞类型：CWE-94代码注入：上升12位，代码注入漏洞（命令注入、脚本注入等）在2024年成为更严重的问题。越来越多的应用程序存在不安全的代码执行或动态代码生成功能，攻击者能够利用这些漏洞进行远程代码执行攻击。CWE-200敏感信息泄露：上升13位，数据泄露方面的漏洞问题日益严重。没有使用足够的加密和访问控制手段进行防护。CWE-17不受控制的资源消耗：上升13位，资源消耗的控制问题变得更加重要，攻击者可能利用不当的资源管理进行拒绝服务攻击（DoS）。CWE-352跨站请求伪造(CSRF)5应用程序日益增多的跨域请求和不安全的认证机制有关。CWE-86962024年成为更为突出的安全问题，攻击者可以通过绕过授权机制获得未授权的访问权限。-17-下降排名的漏洞类型：CWE-416Use-After-Free4源清理，该漏洞的出现频率有所下降。CWE-120缓冲区溢出：下降3位，现代编译器和安全防护措施的进步（如栈保护、ASLR等）相关，缓冲区溢出在现代应用中的威胁性有所降低。CWE-787越界写入：下降1位，随着编程语言和编译器的提升，越界写入漏洞的出现频率有所减少。CWE-223更好的提升。CWE-400不受控制的资源消耗：上升13位，拒绝服务（DoS）攻击的资源消耗问题变得更加突出。未变动的漏洞类型：CWE-89SQL注入和CWE-434漏洞依然存在，但随着开发人员对SQL注入防护技术（如框架、参数化查询等）和上传文件的安全限制越来越重视，它们的排名变化不大。基于2024年度CWE数据的趋势分析应用程序中存在的不安全代码生成或缺乏输入验证，导致代码注入与执行漏洞有所增加。可以从CWE-94（代码注入）的排名大幅提升得出，漏洞研究人员对于代码注入漏洞的挖掘力度有所加大。从CWE-200（敏感信息泄露）的排名大幅上升反映了当下的数据泄露问题。-18-足。身份认证和授权机制的薄弱，CWE-863（授权错误）排行提升。CWE-400（不受控制的资源消耗）的上升可以表明拒绝服务攻击（DoS）问日益增加。从（Use-After-Free用的可能性。本章小结耗、身份认证等领域的安全问题，以提升整体的网络安全防护水平。-19-四、2024年度漏洞预警回顾MMM漏洞情报监测平台是由安恒研究院自主研发并持续运营维护的专业机制，平台有效支撑安恒CERT团队，能够在海量漏洞数据中迅速识别出严重且供充分的分析依据，帮助完善漏洞细节，确保漏洞处置的高效性与精准性。72024漏洞监测平台漏洞处置等级分布2024年，安恒CERT共监测并发现各类漏洞信息39,226条。经过MMM漏2,484条漏洞被判定为处置等级较高的103盖漏洞187个，其中包括80条高危漏洞通告和23条严重漏洞通告。-20-年度严重漏洞（CVSS3.1评分>=9.0）(1)GitLab存在任意密码重置漏洞（CVE-2023-7028|DM-202312-003214）码重置进行帐户接管。(2)ConfluenceandServerCVE-2023-22527|DM-202301-000034）执行。(3)Jenkins存在任意文件读取漏洞（CVE-2024-23897|DM-202401-002896）未经身份验证的攻击者能够利用该漏洞读取Jenkins控制器文件系统上的任意文件。(4)JetBrains存在身份验证绕过漏洞（CVE-2024-27198|DM-202402-002846）式的更改，或在构建中注入恶意代码，获得服务器管理控制权。(5)FortiOS&存在越界写入漏洞（CVE-2023-42789|DM-202309-001361）FortiOS&存在越界写入漏洞允许攻击者通过特制的HTTP请求执行未经授权的代码或命令。(6)libzma/xz库存在后门（CVE-2024-3094|DM-202403-002139）xz的上游tarball中发现了恶意代码，其存在的恶意代码可能允许对受影响-21-的系统进行未经授权的访问。liblzma构建过程从源代码中存在的伪装测试文件中提取预构建的目标文件，使用该文件修改liblzma代码中的特定函数，产生一个修改后的liblzma库，任何链接到该库的软件都可以使用该库，拦截并修改与该库的数据交互。(7)存在命令注入漏洞（CVE-2024-24576|DM-202401-003634）致任意的shell命令执行。(8)CVE-2024-3400|DM-202404-001652）未经身份验证的攻击者能够在防火墙上以权限执行任意代码。(9)Git存在远程代码执行漏洞（CVE-2024-32002|DM-202405-002232）该漏洞允许攻击者在“克隆”操作期间对影响版本实现远程代码执行。(10)PHP-CGI存在远程代码执行漏洞（CVE-2024-4577|DM-202405-001058）由于PHP-CGI字符序列绕过CVE-2012-1823的防护，远程攻击者可以向应用程序发送特制的HTTP请求并在系统上执行任意操作系统命令。(11)ServerCVE-2024-37079|DM-202406-000059）具有Server网络访问权限的攻击者能够通过发送特制的数据包来触发该漏洞，从而可能导致远程代码执行。(12)ServerCVE-2024-37080|DM-202406-000060）-22-具有Server网络访问权限的恶意参与者可能会通过发送精心编制的网络数据包来触发此漏洞，这可能会导致远程代码执行。(13)GeoServerCVE-2024-36401|DM-202405-00466）由于不安全地将属性名称评估为OGC请求参数允许未经身份验证的用户通过针对默认GeoServer安装的特制输入执行任意代码。(14)GitLab存在身份验证绕过漏洞（CVE-2024-6385|DM-202406-003791）该漏洞允许攻击者在某些情况下以其他用户的身份触发pipeline。(15)Windows远程桌面授权服务远程代码执行漏洞（CVE-2024-38077|DM-202406-001541）该漏洞源于WindowsRDL中（通常需要手动开启）的一个堆溢出问题。由需要用户交互的情况下完全控制受害者的服务器。(16)Windows存在远程代码执行漏洞（CVE-2024-38063|DM-202406-001527）Windows在处理IPV6以通过发送特制的IPV6数据包实现远程代码执行。(17)VMwarevCenterServer存在堆溢出漏洞（CVE-2024-38812|DM-202406-002643）vCenterServer在DCERPC协议实施过程中存在堆溢出漏洞，具有Server网络访问权限的攻击者可以通过发送特制的网络数据包来触发此漏洞，可-23-能导致远程代码执行。(18)IvantiEndpointManager存在远程代码执行漏洞（CVE-2024-29847|DM-202409-001485）EndpointManager已公的攻击者实现远程代码执行。(19)OracleServer存在反序列化漏洞（CVE-2024-21216|DM-202410-003014）未经身份验证的攻击者通过T3/IIOP进行网络访问来入侵服务器，成功利用此漏洞后，攻击者可能执行任意代码从而完全控制服务器。(20)FortinetFortiManagerCVE-2024-47575|DM-202409-002444）FortiGate与FortiManager协议（FGFM）中的关键功能缺少认证，攻击者通过注册未经授权的FortiManager或FortiGate设备获取系统配置数据，包含设备的IP意代码或命令。(21)ApacheSolr存在身份验证绕过漏洞（CVE-2024-45216|DM-202408-003847）该漏洞主要影响使用PKIAuthenticationPlugin（通常在启用Solr身份验证时默认激活）的Solr实例。攻击者可以在任意SolrAPI路径的末尾添加伪造结尾，API获取敏感数据或进行修改操作，对系统安全构成较大风险。-24-(22)CyberPanel存在远程命令执行漏洞（CVE-2024-51567|DM-202410-005383）未经身份验证的远程攻击者可以通过对缺乏充分验证和过滤的upgrademysqlstatus接口参数进行利用，从而绕过身份验证并通过构造恶意请求进行命令注入，执行任意命令。(23)IvantiEndpointManager存在SQL注入漏洞（CVE-2024-50330|DM-202410-50330）EndpointManager存在SQL注入漏洞，未经身份验证的攻击者可以利用该漏洞实现远程代码执行。基于2024年度漏洞预警数据的分析年度漏洞预警数据的漏洞类型统计根据对2024年度安恒CERT预警漏洞的统计分析，受影响的产品范围广泛，涵盖了常见的开发工具（如Git、Jenkins等）、企业关键业务系统（如、vCenterServerApacheSolr）82024年度预警漏洞类型分布-25-90%SQLSQL任意文件读取漏洞则使攻击者可以访问服务器上的敏感配置文件、日志文件等，泄露系统信息。年度漏洞预警数据的趋势预测通过对2024年度安恒CERTvCenterServerFortinetFortiManager如，在本年度库、libzma后门等相关漏洞的披露即可说明开源生态可能面临恶意代码植入和供应链攻击的挑战。基于漏洞预警数据中的高发漏洞类型RCE2024年度漏洞预警数据中占比高达AltoCVE-2024-3400）-26-和PHP-CGI存在远程代码执行漏洞（CVE-2024-4577）等漏洞，这类漏洞攻击门槛低且可能导致完全失控。身份验证绕过漏洞在2024年度漏洞预警数据中占比21%GitLab存在身份验证绕过漏洞（CVE-2024-6385），重点关注对关键业务系统（例如FortiManager、ApacheSolr）的保护，通常情况下攻击者对这类型漏洞进行利用的时候会结合其他漏洞进行组合利用，进一步扩大影响范围。后门和供应链漏洞在2024年度漏洞预警数据中占比不高，但这类型的漏洞libzma/库存在后门（CVE-2024-3094）。本章小结系统安全并保护敏感数据免受攻击。-27-五、2024年攻防演练高危漏洞回顾根据2024年度攻防演练期间安恒信息CERT第一时间对相关漏洞进行研判，并针对高危和高频漏洞及时发布相关预警信息。并对演练期间捕获的在野0day漏洞及时将其档案添加至漏洞库并完善策略。现的漏洞类型，为安全防护提供数据支持。攻防演练期间常见漏洞类型分布概况2024CERT野漏洞档案共计227114111次演练期间捕获的在野0day漏洞中，SQL注入漏洞成为攻击者最常使用的漏洞类型，占新增在野漏洞档案的45.94%。经研判后，累计对111个漏洞发布漏洞预警，其漏洞类型分布如下：9年度攻防演练在野漏洞预警类型分布-28-SQL注入漏洞SQLSQL产品包括：XX图书馆集群管理系统XX报表XXERPXXXX管理系统XX企业管理系统XX人力资源信息管理系统等远程命令执行漏洞主机，安装恶意软件或窃取数据。涉及该类漏洞的系统包括：XX财务系统XXCMSXX业务协作平台XX堡垒机等XX网关任意文件上传漏洞包含Shell或恶意脚本。任意文件读取漏洞则允许攻击者访问本不应访问的文件，泄露敏感信息。涉及这类漏洞的系统包括：XX管理系统XXCRM-29-XX企业管理系统XX云平台XX视频平台等身份验证绕过漏洞这类漏洞常被用于提升攻击权限或获得未授权访问。涉及产品包括：XX协同办公管理平台XX企业管理系统XX企业级低代码平台等反序列化漏洞的数据破坏程序的正常流程，执行任意代码。涉及产品包括：XX云财务系统等命令注入漏洞通常用于执行恶意脚本或控制远程主机。涉及产品包括：XX多业务智能网关XX系统等攻防演练中常见漏洞利用类型是安全攻防的重点关注对象，也是漏洞修复和安全防御策略的重要参考。(1)SQL注入漏洞是典型的SQL-30-用的漏洞之一。(2)远程命令执行漏洞危害极大，攻击者可以完全控制目标设备，执行任意别是在针对关键网络设备或基础设施进行渗透测试时。(3)身份验证绕过漏洞常用于获取管理员权限或访问特定受限资源。在攻防演练中，利用这类漏洞，攻击者可以直接获取系统权限，绕过安全防护。(4)命令注入漏洞允许攻击者绕过系统安全，执行系统命令，造成系统崩溃大攻击范围。(5)任意文件上传/读取漏洞常见于应用，攻击者通过上传恶意文件或利用这类漏洞与其他漏洞组合利用，对系统进行入侵或进一步攻击。(6)反序列化漏洞，攻击者能够直接控制应用程序并执行恶意代码。这类漏洞。基于或.NET等技术栈的应用中较为常见，常被用于入侵和执行远程命令。基于以上的漏洞分类，SQL注入漏洞和远程命令执行漏洞在攻防演练期间最为常见且危害性最大。由于应用的普遍性，SQL注入漏洞成为攻击者攻击SQL破网络防护，进一步渗透到其他系统或网络中，扩大攻击规模。-31-本章小结在2024年度攻防演练期间，最常被利用的漏洞主要集中在SQL注入、远程命令执行和任意文件上传/读取等类型。应用和网络设备，尤其是存在SQL安全演练，以提升网络安全防护能力，降低潜在风险。-32-六、AI安全隐患与未来趋势分析简介开放式应用安全为核心使命的国际非营利组织。通过文档、工具、视频、会议和论坛提供一系列免费应用安全性。2023年，工作组启动了一个新项目，创建一份重点关注大型语言模型（LLM）应用威胁的类似报告。大型语言模型应用十大威胁报告确定了相关威胁，提供了漏洞和实际攻10大关键风险。LLM安全威胁解读以下是LLM的排名和标题：LLM01：提示词注入（PromptInjection）LLM02：不安全的输出处理（InsecureOutputHandling）DataLLM04：拒绝服务模型（ModelDenialService）LLM05：供应链漏洞（SupplyChainVulnerabilities）LLM06：敏感信息泄露（SensitiveInformationDisclosure）LLM07：不安全的插件设计（InsecurePluginDesign）LLM08：过度代理（ExcessiveAgency）LLM09：过度依赖（Overreliance）LLM10：模型盗窃（ModelTheft）-33-表71.LLM01：提示词注入（Injection）LLM会覆盖系统提示词，而间接注入操纵外部数据源进行注入攻击，从而导致LLM执行意外操作。例如，攻击者向基于LLM的支持聊天机器人注入包含“忘记所验证发送电子邮件，从而导致远程代码执行，获得未授权访问和权限升级。2.LLM02：不安全的输出处理（InsecureOutputHandling）当LLMSQLSSRF用户通过类似聊天的功能为后端数据库制定SQL据库表将被删除。3.LLM03：训练数据中毒（Poisoning）训练数据中毒攻击是指攻击者故意修改或注入有害数据到AI模型的训练数以使其适应并输出有偏见和虚假的数据。4.LLM04：拒绝服务模型（ModelDenialofService）API类攻击可以使得AI模型在正常使用时无法响应用户请求，甚至直接使系统崩溃或瘫痪。例如，攻击者向LLM洪水般发送大量的超长输入，经过精心制作从而-34-LLM利用处理变长输入的任何低效之处。这些输入会对LLM的资源造成过多负担，可能导致性能下降，妨碍系统响应合法请求。5.LLM05：供应链漏洞（SupplyChain）在生成式AI模型的开发、训练、部署和维护过程中，攻击者通过破坏或篡改软件、硬件、数据集、第三方库或服务，导致AI系统的安全性受到威胁。通常发生在AI模型的开发和部署流程中的某个环节，攻击者通过恶意修改或操控的Python库来入侵系统，这在第一次OpenAI数据泄露中发生过。6.LLM06：敏感信息泄露（SensitiveDisclosure）由于生成式AI模型通常在大规模数据集上进行训练，某些模型可能会从训LLM可能会在其回复中泄露机密数据指生成式AI模型在生成内容或响应用户查询时，无意间漏洞。例如，毫不知情的合法用户A在与LLM应用程序进行非恶意交互时，通过LLM向其显示了某些其他用户的数据。7.LLM07：不安全的插件设计（InsecurePluginDesign）LLMSQLWHERESQLSQL注入。-35-8.LLM08：过度代理（Agency）AIAPI面，攻击者能够利用这些额外的代理层进行操控或窃取数据。例如，一个基于LLM人员选择使用的插件还包含发送邮件的功能。LLM可能受到间接提示注入攻击，构造恶意的入站邮件欺骗LLM户的邮箱发送垃圾邮件。9.LLM09：过度依赖（Overreliance）生成式AI系统过度依赖某些组件、模型、外部服务或第三方资源，这种依组件发生故障、被攻击或被滥用时，整个系统的安全性和稳定性都会受到影响。尤其是在集成多个AI模型、API响整个系统的运行。例如，某软件开发公司使用LLM来协助开发人员，LLM建AI的软件中，这凸显了交叉检查LLM的重要性，特别是涉及第三方代码或库时。10.LLM10：模型盗窃（ModelTheft）未经授权的第三方通过逆向工程、数据抓取或其他恶意手段窃取训练好的AI模型及其知识产权的行为。由于生成式AI模型通常包含大量的训练数据、算-36-权、商业机密泄露以及算法性能的滥用。例如，恶意攻击者绕过LLM的输入过滤技术和前文，执行侧信道攻击，将模型信息提取到受其控制的远程资源中。LLM内生安全漏洞列表越重要的作用。大规模模型作为AI领域的关键技术之一，随着计算平台的算力为了人工智能安全的关键构成部分。在此将对本年度较为高危的LLM漏洞进行举例，详情如下：CVE漏洞编号漏洞影响主体漏洞描述llama.cpp是一个开源软件库，可对Llama等CVE-2024-42478llama.cpprpc_tensor结data任意地址读取。llama.cpp是一个开源软件库，可对Llama等各种大型语言模型进行推理。在rpc_tensorCVE-2024-42477llama.cpptype成员可能导致全局缓冲区溢出（global-buffer-overflow），可能导致内存数据泄露。Llama.cpp是C/C++中的LLM推理。CVE-2024-32878llama.cppgguf_init_from_file中存在使用未初始化堆变在一个简单的POC-37-果该文件是精心构建的，则可能会控制此未初

始化的值并导致任意地址空闲问题。这可能会进一步导致被利用。导致llama.cpp崩溃CVE-2024-43598LightGBM篡改未知值可能会导致利用内存损坏的攻击。

H2O是开源的一个用于分布式、可扩展机器学习的内存平台。H2O及之前CVE-2024-45758版本存在安全漏洞，该漏洞源于攻击者可以任

意设置JDBC文件读取和命令执行。Chainer是一个基于Python的深度学习框架，ChainerMN是Chainer深度学习框架的一个扩展，用于支持并行训练模型。CVE-2024-48206Chainer文件下的chunked_bcast_obj方法，使用了pickle.loads反序列化数据，pickle在反序列化时可以执行任意代码造成危害。表8相关高危漏洞程里，有能力抵御各类安全威胁与攻击。LLM应用过程中面临的风险场景LLM-38-景：(1)大模型敏感信息泄露（SensitiveDisclosure）大模型在许多实际应用场景中往往需要处理大量敏感数据和个人隐私信息，用于恶意行为，如身份盗用、金融诈骗以及社会工程攻击。以及在用户与LLM交互的过程中，用户可能会无意中输入敏感数据，这些数据随后可能会被LLM隐私和其他安全漏洞。(2)大模型训练数据中毒（Poisoning）信息、误导重要决策。(3)大模型提示词注入（Injection）-39-智能模型的安全限制或行为约束，以使其执行原本被禁止或限制的任务或操作，达到大模型“越狱”的效果。在这种情况下，LLM实际上充当了攻击者的代理，在不触发常规防护措施或向最终用户发出入侵警报的情况下进一步实现他们的目标。(4)模型盗窃（ModelTheft）增加，被盗模型可能用于更多非法用途。取多重防护