2026网络安全趋势报告

务，打造全球网络安全行业的中国品牌。 序言趋势-1:【AI攻防】从智能军备竞赛到APT全链路智能化对抗，网络攻防正加速演变为以智能体为核心的新型对抗格局。预计到2026年，APT组织将率先实 与内容取证需求加速增长。 趋势-8：【云安全】到2026年，随着AI应用加速向云端迁移，新兴开源AI组件的引入及供应链复杂度的提升，将显著增加配置缺陷与漏洞利用的风险。这 30导致模型参数、模型聊天记录、AI密钥等核心资产面临严重的泄露 上AI数据安全的首要防线。 趋势-9：【数据安全】2025年是可信数据空间的落地元年，政策、标准层面的强力推动是其快速发展的首要动力；企业、行业、城市等广泛试点意味着可信数据空间正走向落地；技术上综合利用密码学、可信硬件和系统安全等 36手段，使数据要素流通在“外循环”的场景中“安全可控与安全可证”。 趋势-10：【低空经济】以全栈数字化评估重塑准入基线，构建物理安全与数据资产并重的内生免疫新体系。 加强对趋势的关注和研判，是了解行业动态、明确发展目标的重要途径。对于网络安全行业而言，洞察安全趋势并顺势而为，不仅有助于及时感知并防范风险，更有助于优化安全策略和资源匹配，具有十分重要的实践意义。研判网络安全行业趋势，不能脱离对合规和攻防实践等关键要素的全面分析。绿盟 总体来看，2026年度网络安全行业将重点在人工智能安全、数据安全、网络安全、重要场景等赛道集中发力。在人工智能安全方面，AI系统安全、内容安全、运营安全和智能体安全等将呈现多点开花；在数据安全方面，可信数据空间的推进体系化引领数据安全发展；在网络安全方面，攻防智能化、威情报体系智能化、代理型僵户网络等将见证安全理念的持续转型；在重大场景安全方面，低空经济等新兴市场将牵引安全行业风向。 诚挚期待本报告能为网络安全行业管理和产业发展略尽绵薄。并期待依托我司技术、产品和服务创新，全力投身打造网络安全新质生产力，为实现中国式现代化发展目标贡献力量。 2026年1月 生成式AI与自主智能体正在深刻重塑网络攻击范式。攻击活动不再依赖人工离散操作，而演进为AI主导的决策、执行与持续优化体系。以AI驱动的商务电子邮件欺诈（BEC）鱼叉式钓鱼和僵户网络为代表，攻击者借助大语言模型实现语态模仿、零样本学习及多模态欺诈（文本、图像、音视频）：显著削弱基于规则、特征与人工经验的传统检测能力。同时，黑灰产生态加速平台化与SaaS化发展，管高度集成，系统性降低高水平攻击的技术门槛。更为严峻的是，A/正逐步演变为攻击链条的“核心大脑”，能够自动解析海量业务数据，构建组织知识图谱，自主识别高价值目标并生成最优攻击策略，使 网络犯罪从“劳动密集型”转向“智能决策驱动”的工业化模式。在此背景下，APT组织成为AI攻防变革的先行实践者。自2025年以来，APT组织已系统性将生成式AI与大语言模型（LLM）融入整个攻击链条，从侦察、资源开发、初始访问、数据收集到命令控制（C2），实现全链路智能化作战能力的落地。其技术路径主要呈现两条：一是使用不受安全约束的定制恶意模型（如WormGPT、Hexstrike-Al、KawaiiGPT）生成攻击代码、钓鱼诱饵和欺诈内容：二是采用提示词工程、角色扮演等方式诱导主流模型绕过安全机制，间接获取攻击能力。这两条路径互为补充使APT攻击在效率、规模与持续性上获得系统性放大，显著提升攻击链条的整体智能化水平。从智能军备竞赛到APT全链路智能化对抗AI驱动攻击形态变革AI驱动攻击技术变革军备竞赛阶段深度伪造恶意代码恶意脚本AI驱动BEC变革多动的缴户网络心大脑技巧，咸功 APT全链路智能化攻爸侦察初始访问国命令控制图1.1APT全链路智能化攻击 在这一体系中，智能化对抗性暴露面验证（AEV）必须与AI深度融合，将传统静态验证工具升级为面向真实威胁环境的动态对抗能力，融入感知、推理与决策功能，并与检测、响应及策略体系协同演进，共同构建支撑智能防御决策的综合生态。且标输出8环境辅助建议安全工程师智能渗透测试大脑战术意图识另自标 执行指令下发智能结果分析工具调度执行智能体技战法知识库WTan4携向移动渗透测试工具库较击链图谱教文件及信息1含05权限提力洋a06方街规您Mimikatz身份权限及低据系统配置和管理凭据 身份与行踪，彻底溶解在一个庞大、合法且动态的中间层中。1代理型户网络急剧发展，充当隐基础设施绿盟科技伏影实验室监测数据显示，近年来代理型僵尸网络呈现逐步增多的趋势。此类恶意家族可进一步分为两种主要类型：早期出现的代理型僵尸网络家族，其核心功能以实施DDoS攻击为主，内置的代理模块主要用于隐藏自身的C&C基础设施。而自2025年以来，纯代理型僵尸网络开始日益凸显，其功能高度聚焦于流量转发，在网络中充当路由中转节点。这一趋势表明，攻击者的目标已不再局限于隐蔽自身的C&C基础设施，而是逐步转向扮演网络流量中转的底层基础设施构建者，为其他恶意软件提供流量隐匿的基础服务。 2022202320252022025HAEDBotIRCtorBot伏影实验室发现井PolarEdge伏影实验室发现井ContainerbotEnemyBotAndoryu Botnet伏影实验室发现井命名家族，KekSek命名家族，结合代理模块用于隐藏代理模块用于面命名家族，代理模团伙运营：其代理转发，隐藏攻击来IRC和tor代理实现自身C&C自身C&C隐藏攻玫击来漫图1.3代理型僵尸网络逐步增多2025年以来，以PolarEdge为代表的“代理型”僵户网络急剧发展，为了实现代理节点的大批量部署，部分攻击者在实施过程中甚至无视部署活动对外产生的“噪声”，大张旗鼓地“攻城略地”。2025 0000003665722e6a70od4d414940204652.4fzghpmimf 1@nai1.Q00000346f 6d 3e 0d0a200p003E32353020322e312e30204f6boda2502.1o.ok..81203c792d/686173000000592949L2900592e636f2e6a703e3aon-sogo .co. 情报失效 loc发布即过用封锁导致人规檬误报，影正常用户图1.5代理型僵尸网络的特点 僵尸网络乃至整个网络犯罪基础设施的发展方向正在进行一次深刻的变革：从追求直接破坏，转向构建深度的隐匿能力和基础服务能力。这场由攻击者发起的架构革命，正使基于“黑名单”和“指纹库”的传统防御逻辑逐步失灵。代理型僵户网络的兴起，标志着网络攻防进入一个更复杂的“中间层战争”若隐若现的”代理链路”并理解其恶意意图的一方。这要求整个行业在技术、数据和协同方式上，进行一场深刻的范式转移。 届时超过15%的日常工作决策将交由A/智能体自主完成。然而，随着智能体被赋予API联动、外部系统操作及自主任务规划等高级权限，技术能力的跃升也导致了威胁面的同步扩张与质变。安全对抗的焦点正从传统的“内容生成层面”迅速向“系统行为和决策层面”转移。与早期攻击者仅通过"语义诱导”促使模型生成违规内容的提示词越狱（Jailbreaking）不同，2026年的安全态势呈现出更为严峻的态势：攻击者已将越狱视为突破防御边界的跳板，其核心目标升级为通过滥用智能体的工具权限，实现对底层应用漏洞的精准利用。自2025年以来，A/安全事件呈现新形态、高频率的爆发趋势。2025年5月，GitHubMCP跨仓库的数据泄露漏洞，攻击者通过动持开发者本地AlAgent，窃取私有仓库源代码、密钥等敏感数据；2025年7月，恶意MCPServer出现，针对大模型IDECursor的安全攻击事件造成攻击者可随意篡改和窃取 代码、凭证、操纵Cursor等；2025年8月，Al浏览器Comet曝出提示词注入漏洞，攻击者在用户无感知的情况下盗取账号；2025年11月，攻击者利用AI辅助生成攻击脚本，导致全球23万台暴露公网的RayAl计算集群被攻陷。这些事件共同表明，安全对抗已从传统的软件漏洞攻防，升级至多模态环境交互与自主智能体决策层面的系统性攻防。面对技术革新和其带来的安全风险挑战，绿盟科技早在2024年，就开始孵化了AI安全围栏（AI-GR），以实现对AI系统的全流程约束与韧性防护，旨在为构建可信赖的智能化业务环境提供坚实保障。面对技术革新与安全风险的同步升级，绿盟科技前瞻布局，已于2024年率先孵化和构建了AI安全围栏（AI-GR） 体系，旨在通过对AI系统的全流程约束与韧性防护，为构建可信赖的智能化业务环境提供坚实保障。9 泄露事件为例，攻击者利用其在文件读取与工具调用上的验证缺失，通过构造特定的攻击指令成功突破限制，直接窃取了核心源代码。这一风险的普遍性在GraySwanAl主办的全球最大规模智能体红队https://x.com/jianxliao/status/1898861051183349870?s=61 访问或非法金融操作。当下AI自身安全主要由监管驱动，聚焦于内容合规与数据隐私的静态安全评估体系已显得捉襟见肘。未来AI自身安全评估必须紧扣行为风险这一核心变化，向AI红队驱动的动态全链路评估转型。传统的合规性检查将不再是评估的终点，评估重心将转移至高强度的实战攻防演练。这要求需要建立模拟从攻击者植入恶意指令-智能体错误推理-调用敏感工具-执行破坏操作的完整攻击链路，重点检测智能体在面对复杂攻击时的行为边界与上下文的抗干扰能力。值得注意的是，GraySwan的竞赛结果显示，模型的参数量或推理能力与安全性之间并不存在正相关关系，更强的模型反而可能因遵循指令能力过强而更容易被利用。因此，未来的评估将高度依赖自动化AI红队工具，利用对抗性模型生成海量变异攻击样本，对智能体的每一次API调用、文件读写进行持续的压力测试，确保在高频度的攻击下，智能体的行为始 终不偏离安全基线，构建新一代的AI自身安全风险评估体系。（二）AI安全防御AI安全防御，从静态检测规则过滤向语义意图识别与多源风险关联的主动防御演进。当前的AI防御仍主要依赖安全围栏与静态规则体系。安全围栏以内容风险识别为核心，侧重拦截已经显性的高危输出：静态规则体系依托正则与关键词匹配，长期承担基础的输入过滤任务。但随着攻击者开始采用更强的语义规避与链式构造策略，如上下文重写、语义拆解与多轮信号稀释等攻击方式，这些机制逐渐暴露出结构性局限。事实上，在对AI安全态势的持续跟踪过程中，我们发现了同时，安全业界也有公司对AI安全威胁进行了一系列的调查。据调查③显示，约70%企业将快速发展的生成式AI生态视为最大安全担忧，且快速转型的压力可能削弱防御准备，反映出业界对这一趋势的高度关注和内部的潜在威胁。在此背景下，欧盟AI法案（EUAIAct）在其第15条明确规定：高风险AI系统应在整个生命周期中保证健壮性与网络安全，这进一步凸显了单靠结构化过滤在应对深层语义攻 2https:/genai.owasp.org/2025/03/06/owasp-gen-ai-incident-exploit-round-up-jan-feb-2025/@https://www.artificial-intelligence-act.com/Artificial._Intelligence_Act_Article_15.html 11 注入、角色劫持、诱导式指令、规避表达等多类型攻击的识别能力。业界趋势显示，大多数越权行为和过结合模式匹配、语义相似度计算，以及LLM参与的风险评估机制，防御系统应能够从单轮输入中辨识出用户是否试图改变模型身份、绕过系统限制或触发敏感任务，只要识别机制足够精准，就能在攻击 形成前及时阻断。在此基础上，AI防御将进一步向多源风险关联发展，不仅关注单条输入的风险信号，还会结合输入端线索、模型行为趋势和外部调用或操作记录等信息，提前预警可能的利用链或越权操作。随着国际研究和安全实践越来越强调意图级检测与跨源关联能力，这一趋势表明未来AI防御将更加主动、动态和智能化，既能在提示