最近，國外著名的安全研究機構CheckPoint發現高吞吐量小龍系列芯片的數字信號處理芯片(DSP)有很多漏洞，總數達到400多個。研究人員表示，由于受到攻擊的DSP芯片幾乎在世界上所有的安卓手機上都看到，世界上受到這個脆弱性影響的機型超過了40%，其中有世界著名品牌的手機。

報告指出，攻擊者不僅可以利用這些漏洞將手機變成完美的監控工具，還可以使手機不斷響應，鎖定手機信息，使用戶永遠無法訪問。此外，攻擊者還可以利用惡意軟件和其他惡意代碼完全隱藏惡意活動。

目前，高吞吐量發表聲明確認了這些脆弱性的存在，并發表了修復程序，建議用戶只從可靠的位置安裝應用程序。但是，考慮到受這些漏洞影響的設備數量和安卓更新速度，補丁很難在短時間內輕松到達所有設備，這意味著安全問題仍然存在。

安全死角:在系統脆弱性下的人為脆弱性

高吞吐量DSP芯片被暴露的脆弱性引起關注時，用間諜工具、史詩級脆弱性、致命危險性等語言闡述暴露事件的嚴重性，強調系統脆弱性安全卡住脖子的問題。在這背后，實際上有圍繞安全漏洞的挖掘、公開和利用，發展成越來越繁榮、組織性高的巨大地下市場。

像很多東西一樣，風景背后有另一面，軟件系統也是如此。各種類型的軟件系統在為用戶帶來便利和提高工作效率的同時，由于信息系統在設計、開發、測試、部署和應用中存在漏洞或缺陷，使漏洞具有普遍性和長期性，貫穿軟件的全生命周期。

但實際上，脆弱性本身并不危害，但所有的安全威脅都是由于脆弱性的利用。針對極大的經濟效益訴求，攻擊者在未經許可的情況下，利用<愛尬聊_百科知識大全>這些漏洞訪問網絡，竊取數據，操作數據，使網絡癱瘓的功能，獲得經濟效益和隱私數據。

安全漏洞已成為重大信息安全事件的主要原因之一，頻繁的安全漏洞事件使世界關注到空前的高度。2017年5月12日，非法者利用Windows系統的永恒藍洞制作WannaCry威脅病毒，在世界范圍內迅速大規模爆炸，至少招募了150個國家、30萬用戶，直接損失達到80億美元。今年3月，萬豪連鎖酒店公開了安全漏洞，影響了520萬人以上酒店客人的數據，涉及到個人的詳細隱私信息。

近年來，暴露的漏洞數量逐漸上升，記錄不斷更新。根據SkyboxSecurity最新發布的2020年脆弱性和威脅性趨勢報告，截至2020年為9799份，2019年為7318份，增長率為34%。該數據也超過了2018年前6個月報告的最高記錄8485份，表明2020年新的漏洞數量很可能突破新的記錄。騰訊安全威脅信息中心數據顯示，截至2019年12月底，79%的企業終端至少有一個高危漏洞沒有修復，網絡安全風險不言而喻。

聯動推廣，打造漏洞產業鏈實踐閉環

在漏洞市場內外雙重刺激下，包括前端制造商、上游漏洞發現、中游漏洞披露、下游漏洞利用等漏洞產業化鏈逐漸形成，從而達到防御黑客攻擊的目的。

作為漏洞產業的核心樞紐，以政府漏洞庫為代表的漏洞平臺發揮著巨大的價值，是衡量漏洞危險程度的重要標準。在我國，國家計算機網絡應急技術處理協調中心(CNCERT)與國內重要信息系統機構、基礎電信運營商、網絡安全廠商、軟件廠商和網絡企業建立的國家網絡安全漏洞庫聯合，統一收集驗證、警告發布和應急處理系統，切實提高安全漏洞的整體研究水平和及時預防能力。

軟件行業是軟件漏洞行業的源頭，如何在前期快速識別和修補漏洞尤為重要。目前，國內外主要安全制造商、白帽黑客和研究/評估機構在漏洞挖掘和防御方面貢獻了很大的力量。作為互聯網安全領先品牌，騰訊安全早在2016年就成立了七大聯合實驗室，專注于挖坑，負責向第三方廠家匯報，同時也為用戶提供了挖坑修復解決方案。

在協助廠家修復漏洞方面，騰訊安全聯合實驗室目前在漏洞挖掘、檢測和防御等重要環節形成了完善的漏洞防御系統。在遵循國際漏洞披露規則的前提下，聯合實驗室首先向受影響的制造商提交了漏洞相關情況說明，協助受影響的制造商進一步提高產品安全性能，保護廣大用戶的網絡安全。同時，騰訊安全聯合實驗室與騰訊其他業務平臺聯合，多年向Adobe、蘋果、微軟、谷歌等國際廠商提交漏洞研究報告，不斷推進網絡安全生態的發展。

在騰訊安全聯合實驗室中，業內被稱為脆弱挖掘機的騰訊安全玄武實驗室相繼發表了BadBarcode、BadTunel、應用克隆、殘留再利用、BucketShock、BadPower等重要研究成果，發現并協助國內外著名企業修復了數千個安全問題。在智能網聯汽車安全研究上，騰訊安全科恩實驗室曾榮獲特斯拉CEO埃隆馬斯克寫親筆信致謝、入選特斯拉安全研究員名人堂、全球首個寶馬集團數字化及IT研發技術獎等榮譽。隨著當前產業互聯網時代的到來，護航產業數字化變革、守護全網用戶的信息安全也已成為騰訊安全聯合實驗室的重要使命之一。

隨著互聯網的快速發展，漏洞提交平臺和漏洞獎勵計劃也應運而生。如今，漏洞獎勵計劃已經成為世界互聯網公司的重要安全戰略之一。過去一年，微軟花費1370萬美元獎勵產品漏洞的發現者比去年同期的440萬美元多了兩倍以上。在2019年黑帽大會上，蘋果升級漏洞懸賞計劃從以前的每個漏洞20萬美元上升到100萬美元，希望用白帽黑客的力量解決自己產品的安全危險。

此外，每年全球召開各種黑客大會和脆弱性挑戰比賽，深入探討信息安全領域的發展趨勢、創新技術和風險脆弱性，集中黑客最強的大腦促進網絡安全的發展。隨著新基礎設施時代的到來，新基礎設施下的安全至關重要。本月初，國內首個新基建安全大賽正式啟動，目標就是邀請行業技術精英，共同探索新基建場景應用中潛在的安全風險，將最終賽果反哺新基建安全標準制定。

當前，以人工智能、云計算、區塊鏈等為代表的新技術基礎設施將進一步融入數字社會，漏洞產業或將面臨全新挑戰的同時，必然也會保持高速發展，相信未來漏洞產業鏈也將涌現更多的業務模式和服務形態，來助力產業互聯網時代安全建設。