Part1 前言
大家好,我是ABC_123。过去几年我参与过不少攻防比赛,也以专家裁判身份观察过许多实战。往年参赛选手提交的漏洞类型变化不大,但今年情况明显不同——红队的漏洞挖掘方向正在被AI大模型重塑。JS代码分析、客户端漏洞、固件逆向、大模型应用安全等方向快速升温,成为年度大考中不容忽视的新热点。下面把这些变化做个梳理,也欢迎大家在云栈社区一起讨论补充。
Part2 技术研究过程
这个方向备受关注,但今年的演变速度超出预期。
提示词注入漏洞显著减少:2025年的赛场上还能看到大量提示词注入类漏洞,今年这类漏洞的出现频率和挖掘难度都在上升。主要原因是针对提示词注入的防护方案已逐渐成熟——在大模型调用链路中增加安全中间层,对用户提交的prompt和模型输出进行实时检测与过滤,大幅压制了注入攻击的成功概率。

大模型Web应用成为突破口:红队的注意力更多地转向了大模型聊天应用背后的Web系统。通过目录扫描可以发现不少藏在一级、二级目录中的业务漏洞,比如积木报表漏洞,以及近年曝出的React/Next.js类RCE漏洞。更重要的是,权限控制上的疏忽暴露了大量水平越权、垂直越权风险;用户管理功能的ID遍历、参数校验不足导致数据越权;翻页、排序等传统接口参数中仍潜伏着如 orderBy 参数引发的SQL注入问题。也曾有人利用Jeecg-Boot、JmReport等漏洞作为跳板。

AI自动化渗透步入实战:某次做裁判时,不少队伍称已在使用AI自动化渗透技术。详细询问后发现,多数仍停留在Skill编排、MCP调用的半自动化阶段。但极少数队伍已经落地了较成熟的AI自动化安全平台,借助它挖出了多个高价值漏洞,甚至包括一些人工很难发现的业务逻辑漏洞。时代确实在变。
大模型Agent安全问题:从单一聊天向Agent自动化演进时,具备代码执行、文件操作、数据分析等能力的AI Agent构成了新的攻击面。今年已有案例表明,攻击者可以构造特殊的业务需求,绕过沙箱限制、触发服务端代码执行,最终在容器内运行任意Python脚本并获得容器权限。本质上,这类漏洞源于Agent工具调用的权限控制与沙箱隔离不足——某些Agent查询接口因缺乏权限校验,直接返回了不应暴露的敏感数据;另一些场景中,攻击者通过构造输入绕过安全限制,让服务端执行系统命令并带回执行结果。

国产中间件漏洞
今年多场比赛中,红队提交的国产中间件漏洞数量明显攀升,例如东方通、宝兰德等产品。虽然这类漏洞一直存在,但频率的大幅提升与部分安全研究人员在GitHub上公开的漏洞分析文章、自动化利用工具有直接关系——门槛降低了,更多攻击者能够快速完成验证和利用,国产中间件便首当其冲。

前端JS代码中的漏洞挖掘
一个非常明显的变化是:从前端JS中挖漏洞已成为红队的重要突破口。这类漏洞集中在敏感信息泄露和接口安全问题上,比如API接口未授权访问、Key/Token泄露、JWT Token泄露等。通过分析前端JS文件,攻击者可以挖出隐藏接口、测试账号、敏感参数及后台功能入口,进而实现数据窃取或权限获取。
这种趋势的成因有两个:一是传统代码执行漏洞挖掘越来越难,Node.js、Vue.js、Python微服务等新栈的分析门槛偏高;二是AI大模型极大降低了JS代码审计和接口分析的难度,攻击者可以快速梳理复杂前端逻辑,自动提取API并分析参数关系,发现许多以往容易被忽略的隐蔽问题。另外,这类前端漏洞通常不会触发传统WAF规则,隐蔽性更强。一个看起来不起眼的未授权访问可能导致大量业务数据泄露,而泄露的appKey、appSecret、accessToken等凭证,甚至可能被用来操控物联网设备、摄像头或工业控制系统,酿成更严重的业务安全事件。
常见利用示例:
- JWT Token泄露导致权限绕过,挖出隐藏测试账号和用户敏感信息(银行卡号、身份证号等);
- 通过JS分析找出隐藏的文件上传接口;
- 借助AI辅助分析复杂业务参数逻辑,实现复杂越权漏洞利用;
- 利用AI结合JS逆向快速获取完整API接口清单;
- 摄像头系统中的appKey、appSecret、accessToken泄露,如某威视、某石设备的相关利用场景。

客户端漏洞挖掘门槛因AI降低
AI的发展把客户端漏洞挖掘的门槛狠狠压低了一截。过去需要丰富逆向分析和漏洞研究经验的事,现在借助AI辅助代码分析、漏洞定位和利用思路生成,普通攻击人员也能开展更深度的挖掘。
去年年底的攻防比赛中,我首次看到红队提交了一类非常难得的聊天软件零点击漏洞。攻击者只需向目标发送特定链接,无需用户任何点击,就能拿下Windows电脑甚至Android手机的权限(苹果系统未受影响)。大致原理是一个组合漏洞:利用聊天窗口内置浏览器内核解析HTML内容,构造复杂JavaScript触发XSS,再结合此前Chrome浏览器内核的沙箱逃逸漏洞,最终把一个小XSS升级为零点击攻击。

边界设备漏洞挖掘
随着AI在固件分析和逆向工程中应用增多,路由器、防火墙、网关等边界设备的漏洞挖掘能力也在快速成长。过去此类漏洞需要较强的固件分析、逆向工程和漏洞利用实力,但如今越来越多AI辅助分析的案例出现,边界设备成为红队关注的又一重要方向。
近两年,我多次看到年轻的红队选手已经能对设备固件进行深度分析,挖出数组越界、栈溢出等0day漏洞,并通过IDA Pro完成详细逆向,最终构造出可用的Exploit。除了内存类漏洞,固件分析还能暴露出大量隐藏的Web管理接口、未授权访问接口,结合这些接口漏洞甚至可以形成1‑click(一点击)漏洞。
传统Web安全漏洞
随着企业安全建设不断加码——WAF、防火墙、流量监控、AI安全研判和安全运营体系日渐成熟——传统Web漏洞的生存空间确实被压缩了。简单的SQL注入、XSS、文件上传越来越难直接利用,但不易触发安全设备告警的业务逻辑漏洞仍大量存在。
尽管如此,传统Web漏洞和一些组件漏洞依然保有一定价值。今年赛场上还能见到 /nacos/、/druid/、Swagger、Spring Boot Actuator /heapdump 的泄露,帆软报表漏洞、Spring Cloud Gateway漏洞、泛微E‑cology 10 RuntimeUtil组件远程代码执行、GeoServer、Log4j2、Java反序列化等案例。但与以往不同,攻击者更多是将这些漏洞作为攻击链的入口,结合权限绕过、业务逻辑分析和漏洞组合,进一步扩大攻击影响。

Part3 总结
- AI大模型正在深刻改变渗透测试和红队攻防模式。从漏洞分析、代码审计、逆向分析到攻击链构建,AI已成为提升安全人员效率的重要工具。
- 真正能用于实战的AI自动化平台已经出现,开始在部分重复性较高的工作上替代人力。但红队人员的经验判断、攻击思维、漏洞组合能力和复杂场景分析能力,仍然是AI难以完全替代的核心竞争力。
- 随着国产中间件在政企系统中大面积部署,越来越多的信创产品正在成为红队重点关注和攻击的面。
- AI大模型降低了前端代码分析门槛,从JS中寻找攻击入口正在变成红队新的常规作战能力。