谷歌安全调查员与工程师团队发布的《2026年3月云威胁地平线报告》显示,网络犯罪分子在利用AI获取生产力提升方面已走在前面。基于2025年下半年的观察,谷歌云安全团队得出结论:漏洞披露与大规模利用之间的时间窗口已缩短了一个数量级,从原来的数周坍缩至仅剩数天。
报告指出,当前的防御重点应转向AI增强型防御。由于攻击者利用AI辅助探测目标信息并持续关注数据窃取,组织机构必须转向更加自动化的防御手段。目前,安全威胁并未直接指向Google Cloud、AWS或Microsoft Azure等核心基础设施,因为这些高价值目标防御严密。相反,威胁参与者(包括犯罪团伙和特定国家背景的代理人)正将目光投向第三方代码中未修复的漏洞。
报告详述了多个典型案例。其一是针对React Server Components(用于构建网页和移动应用UI的流行JavaScript库)中严重的远程代码执行(RCE)漏洞(CVE-2025-55182,俗称React2Shell)。该攻击在漏洞公开披露后的48小时内便已开始。另一个案例涉及XWiki平台的RCE漏洞(CVE-2025-24893),尽管该漏洞在2024年已修复,但由于补丁部署不广泛,攻击者(包括加密货币挖矿团伙)在2025年11月开始了大规模利用。
此外,代号为UNC4899的威胁组织(据信具有特定背景)通过接管Kubernetes工作负载窃取了价值数百万美元的加密货币。这些案例表明,随着AI显著提升了漏洞扫描和利用的效率,单纯依赖人工响应已无法应对当前的云安全挑战。
