攻防演练真正开始前，安全负责人最担心的往往不是“有没有漏洞”，而是：哪些漏洞最易被攻击方利用？哪些系统最容易成为突破口？有限时间内，应该先修哪里？

近日，360数字安全集团漏洞研究院基于漏洞情报数据库发布《2026攻防演练必修漏洞清单》，系统梳理政企单位在攻防演练前亟需关注的高危风险入口，为客户开展资产排查、漏洞修复和应急加固提供实战化参考。

报告显示，近一年新增已知利用漏洞共160条，其中严重漏洞66条、高危漏洞50条，严重与高危合计占72.5%；未授权可利用漏洞49条，占30.6%。这意味着，相当一部分漏洞已经不是“理论风险”，而是可能被攻击方直接拿来使用的“武器化”入口。

从全量数据看，679条漏洞中，严重和高危漏洞合计650条，占比高达95.7%。其中，SQL注入、命令注入、代码注入三类漏洞合计305条，占比44.9%。

这也说明，攻防演练前的漏洞治理，不能再停留在“发现多少、修复多少”的传统工作思路，而要转向：哪些漏洞最容易被攻击者利用？哪些资产最值得优先保护？哪些入口必须立刻收敛？

一、五类高危入口，建议安全负责人优先排查

1. AI与大模型应用工具：2026攻防演练的新兴高价值入口

随着大模型网关、智能体平台、低代码自动化工具在企业内部加速部署，AI基础设施正在成为新的高危攻击面。此类系统通常连接API密钥、自动化流程、业务数据和内部系统权限，一旦被攻击方利用，可能直接获取底层运行环境控制权，并进一步开展横向渗透。

对安全负责人来说，AI系统不能再被视为“创新应用”单独管理，而必须纳入资产台账、漏洞管理、权限治理和攻防演练重点防护范围。

2. OA、ERP与协同办公系统：外网突破的高频目标

OA、ERP、电子签章、报表平台等系统承载公文、财务、合同、供应链、组织架构等核心数据，又常常通过互联网或VPN对外提供服务，是攻防演练中最常见的外网突破入口。

这类系统建议在演练前完成全量资产盘点，重点排查未授权文件上传、SQL注入、反序列化、命令注入等漏洞。

3. 中间件与开发框架：一处漏洞影响多套业务系统

中间件和开发框架部署范围广、版本碎片化严重，一条RCE漏洞可能影响大量业务系统。此类漏洞往往利用工具成熟、攻击成本低，是攻防演练中高价值目标。

建议对互联网暴露的中间件和开发框架优先完成补丁升级、版本替换和访问限制，尤其要避免开发测试环境暴露在公网。

4. 网络与安全产品：防线本身也可能被绕过

防火墙、WAF、SIEM、EDR、SD-WAN、堡垒机、远程运维平台等安全和运维系统，一旦自身存在漏洞，攻击方不仅能获取设备控制权，还可能绕过安全策略、清除入侵痕迹、禁用告警规则，形成“灯下黑”风险。

演练前不仅要查业务系统，也要查防线本身。尤其要确认管理后台是否暴露在公网、是否启用强认证、是否完成补丁升级、日志是否具备独立备份能力。

5. 桌面软件与操作系统：钓鱼、提权与持久化的关键环节

桌面软件与操作系统漏洞常常承担两类角色：一是社工钓鱼链路的“最后一公里”，二是初始突破后的提权与持久化入口。

这类漏洞提醒客户，攻防演练不是只守服务器和Web系统，终端侧补丁、EDR监控、异常提权告警同样关键。

二、今年攻防演练的四个新变化

变化一：AI基础设施成为新兴攻击面

2026年攻防演练中，AI与大模型应用工具不再只是业务创新系统，而是新的高价值攻击入口。大模型网关、智能体平台、自动化工作流、AI编排工具一旦被利用，攻击方可能直接触达API密钥、业务数据和内部系统权限。

这意味着，企业不能只关注AI应用“能不能用”，更要关注AI基础设施“安不安全”。安全负责人应尽快将AI系统纳入资产管理、漏洞扫描、权限控制和演练前排查范围。

变化二：传统Web漏洞仍是主战场

‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍尽管攻击面正在向AI、云原生、安全设备扩展，但SQL注入、文件上传、命令注入、反序列化等传统漏洞，仍然是攻防演练中最稳定、最成熟、最常用的突破路径。

原因很简单：这类漏洞利用链成熟、公开资料多、攻击成功率高。对于防守方来说，基础漏洞治理依然是演练前最不能忽视的基本功

变化三：企业级软件供应链风险更受关注

‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍OA、ERP、协同办公、报表、电子签章等企业级软件在政企客户中部署广泛，一旦某一产品线或通用组件出现高危漏洞，可能形成“一点突破、全面受陷”的供应链风险。

因此，客户在排查漏洞时，不能只看单个系统是否暴露，还要关注同类产品、同一厂商、多套业务系统之间的关联风险。

变化四：安全设备自身成为防守盲区

过去，很多单位默认安全设备就是“防线”。但在实战攻防中，安全设备自身也可能成为攻击目标。

一旦防火墙、堡垒机、远程运维平台、端点管理平台被攻击方控制，防守体系可能被绕过、被篡改，甚至被反制。演练前，安全团队应对安全设备自身开展专项排查，特别是管理面暴露、弱口令、补丁缺失、日志留存等问题。

三、安全负责人应该如何用好这份清单？

第一，先做资产对齐。将企业现有互联网暴露资产、OA/ERP系统、中间件、安全设备、AI应用平台、终端软件版本与清单进行比对，明确哪些系统命中高危漏洞。

第二，按优先级修复，而不是平均用力。建议优先处理四类漏洞：未授权可利用漏洞、严重/高危漏洞、存在在野利用漏洞、位于互联网暴露面的漏洞。对无法立即修复的系统，应采取访问限制、临时下线、关闭非必要端口、加强WAF/IDS规则等临时防护措施。

第三，重点查“防线本身”。攻防演练前不仅要查业务系统，还要查防火墙、WAF、SIEM、EDR、堡垒机、远程运维平台等安全和运维系统。

第四，把AI应用纳入资产台账。智能体平台、大模型API网关、自动化工作流、AI插件和第三方组件，都应纳入常规资产管理和漏洞排查范围。

第五，建立演练中的监测与响应机制。围绕SQL注入、文件上传、命令执行、反序列化、异常外联、权限提升等高频攻击行为，提前部署检测规则和应急预案。

攻防演练考验的不是企业“有没有安全设备”，而是能否在真实攻击发生前识别最危险的入口、建立最清晰的修复优先级，并把风险压缩在可控范围内。360数字安全集团建议政企客户以《2026攻防演练必修漏洞清单》为基础，尽快开展一次面向实战的漏洞排查和暴露面收敛。

客户如需获取完整漏洞清单，开展资产命中比对、攻防演练前专项排查或应急加固服务，建议您订阅我们的「360数字安全-漏洞情报服务」。

订阅链接：https://vi.loudongyun.360.net。

可联系 360VRI@360.cn，

获取360漏洞情报能力与专家服务支持。