随着日历翻到2025年，网络安全专家正在盘点上一年度常见漏洞和暴露（CVEs）的主要趋势，揭示快速演变的威胁形势。

对2024年CVE数据的详细回顾表明，漏洞的性质、严重程度和数量发生了显著变化，这引发了网络安全社区对新挑战和机遇的讨论。

严重性下降：漏洞逐渐趋于轻微

2024年最显著的发现之一是CVSS（通用漏洞评分系统）v3.1严重性评分下降。与2023年相比，平均CVSS评分从7.09降至6.9，中位数从7.2降至6.5，降幅达9.7%。这是多年来首次，中位数和平均评分从高危降至中危。

这一趋势与过去几年观察到的CVSS评分下降的总体趋势一致，引发了关于是软件变得更安全，还是漏洞评估方式发生了变化的质疑。

当分析替代数据集（如CVEDetails.com）时，情况也是一致的。其数据显示的平均评分降幅更明显，从2023年的7.7降至2024年的7.1，这是自2016年引入CNA（CVE命名机构）系统以来的最大年度降幅。

严重和高危漏洞减少

2024年高危和严重漏洞的数量也相对下降。根据NVD（美国国家漏洞数据库）的数据，严重CVE的占比从2023年的15.7%降至2024年的13.7%，高危CVE从37.1%降至33.5%。CVEDetails.com的数据也观察到类似趋势，报告称这些类别的数量同比下降了5%。

这一趋势表明，被发现的漏洞类型可能发生了变化，识别出的灾难性安全漏洞减少了。

“预留 ”CVE及行业影响

另一个有趣的趋势是“预留”CVE（已发现但尚未发布或解决的漏洞）总数同比下降了7%。从历史上看，这种下降往往与经济不确定时期或行业动荡时期相吻合。

根据Vulnerability.blog的报告，网络安全社区的猜测表明，2023年和2024年大规模的技术裁员可能是造成这种下滑的原因之一，因为开发人员和安全研究人员数量减少，意味着发现漏洞的数量也会减少。另一方面，一些专业人士认为，这可能表明软件开发实践有所改善，或者重点转向了生成式人工智能等新兴技术。

WordPress：CVE数量激增的案例研究

尽管整体严重性趋势下降，但WordPress及其相关插件的CVE数量却出现了历史性激增。2024年，Wordfence、WPScan、PatchStack等CNA报告称，与WordPress扩展相关的漏洞大幅增加，其中许多被归类为严重漏洞。例如：

• Wordfence报告称，CVE数量从2023年的948个增加到2024年的3322个。
• PatchStack记录的CVE数量同比去年，从2644个增加到3918个。

尽管数量庞大，但严重漏洞的比例相对稳定，甚至在某些情况下有所下降，这表明WordPress的安全性正在发展。许多专家认为，这是该平台日益成熟以及其开发社区积极主动预防性解决安全问题的证据。

新领域：人工智能相关漏洞

2024年的另一个突出主题是围绕生成式人工智能和大型语言模型（LLMs）漏洞的讨论日益增多。尽管与AI相关的CVE的确切数量尚未明确界定，但包括CVE.org在内的行业领导者都承认了需要对AI漏洞进行明确分类。随着AI越来越多地融入关键系统，建立明确的指南来为这些技术识别和分配CVE将是2025年及以后的重点。

2024年观察到的趋势表明网络安全格局发生了微妙的转变。虽然漏洞的严重性似乎在下降，但系统（如AI、WordPress生态系统）的日益复杂，也带来了新的挑战。

这些趋势是软件开发更安全的标志？还是表明研究人员和攻击者的关注点正在转移？当网络安全界反思这些见解时，以下问题依然存在：新兴技术将在未来的漏洞塑造中扮演什么角色，行业又将如何适应快速变化的威胁环境。

参考链接：

https://cybersecuritynews.com/2024-cve-review/#google_vignette