【解讀全球資安漏洞數量暴增的現象】CVE數量創新高，突顯風險意識抬頭

每年公開揭露的CVE漏洞數量持續攀升，2024年已創下新紀錄達4萬個，2025年也確定再度刷新紀錄，截至11月初已超越去年總量，全年CVE數量上看4.5萬個。

綜觀每年都有新產品漏洞被揭露，看似問題不斷增加，但其實CVE是關鍵的安全機制。它讓特定弱點有身分標號，能被清楚標記、追蹤與修補，反而是提升產品資安的關鍵之一。

需要先釐清的是：如果指的是產品上市前的弱點問題，當然是越少越好，才能避免產品帶著漏洞上市；再者，站在整體安全生態角度，許多資安概念要「反向」來看待，如果談的登記在案的CVE漏洞，則代表不再是無法掌握的未知風險。另一方面，有些漏洞本該可以避免，儘管大家強調設計即安全，但局面不會那麼快扭轉，市面產品可能仍有不少技術債要還。

在前幾個月舉行的2025美國黑帽大會上，我們採訪趨勢科技旗下全球最大漏洞懸賞計畫ZDI的負責人Brian Gorenc，請教他對於漏洞增加狀況的看法。因為當時我們注意到：2025年1至6月揭露的漏洞數量已達2.5萬個，勢必超過2024年的總量，因此全年有可能達到5萬個。（截至11月底為止：4.3萬個）

對於CVE數量持續攀升，Brian Gorenc指出，如果仔細觀察這個現象，可以發現「漏洞研究」正快速成為備受重視的專業領域，他從兩個面向來解析：

（一）從研究人員來看，投入尋找程式錯誤與安全弱點的人，近年變得愈來愈多，還有像是趨勢科技ZDI這類漏洞懸賞計畫，也讓研究人員能以挖洞維生，吸引來自全球的新血加入，持續回報新漏洞，推升了整體CVE數量。

（二）從供應商來看，廠商更普遍以CVE作為揭露與溝通漏洞的共同語言，同時，近年MITRE與CVE工作小組持續推動廠商成為CNA，也就是CVE編號授權機構，讓業者能自行核發CVE編號，且流程日益標準化與簡化。

因此，上述兩方面的推力之下，形成每年CVE數量持續攀升的原因。再加上，資安議題本身在全球愈來愈普及，漏洞影響的討論已逐漸成為日常，這也讓整個市場意識到，若不正視並公開處理漏洞，將缺乏與其他供應商的競爭力，這方面的觀念扭轉相當重要。

原先對於漏洞通報概念缺乏的中小型供應商，如今也將跟進投入這樣的機制，這也是ZDI持續大力推動的重點。

事實上，我們在臺灣也觀察到同樣的態勢。資安院正積極擴展TWCERT/CC的任務，包括透過「台灣漏洞揭露平台（TVN）」，為研究人員通報國內廠商搭建更多橋樑，資安院在2025年下半也新啟動資安漏洞獵捕活動，促進更多臺灣廠商運用漏洞懸賞計畫，及早發現這些存在但尚未發現的潛在風險。

被登記CVE的漏洞越多非壞事，往往代表更多的修補出現

隨著CVE數量的增加，很多人可能還有一個迷思──CVE漏洞數量越多越不安全。但事實是：這些資安漏洞的風險本來就存在，只是過去沒被賦予CVE編號，沒有正式記錄與揭露而已。

Brian Gorenc也認同這項看法，他說：「當你看到CVE數量增加時，也往往意味著有更多錯誤正在被修復。」因為一旦有了CVE，通常就會伴隨修補程式或防護措施的公布，這反而是一件好事。

儘管少數情況下，漏洞可能尚未獲得修補，但至少問題被攤在陽光下，而不是在一個「沒人知道、也沒有公開」的狀態下持續存在。

Brian Gorenc笑著說，他其實更擔心的是「沒有CVE的供應商」，而不是有大量CVE的廠商。因為這通常表示，廠商的產品沒有經過充分的稽核與檢測，也沒有完善的漏洞揭露政策（Vulnerability Disclosure Policy，VDP）。因此這些廠商可能不知道如何修補，也不熟悉使用CVE對外溝通，等於沒有接軌保護客戶所需的整體資安生態系。

當你看到CVE數量增加時，也往往意味著有更多漏洞與弱點正在被修復。我們更需要擔心沒有CVE的供應商產品，這往往代表產品商沒有建立漏洞揭露政策（VDP），可能不知如何修補，也不熟悉用CVE對外溝通，沒有接軌保護客戶所需的整體資安生態系。—— 趨勢科技安全研究副總暨ZDI計畫負責人Brian Gorenc（圖片來源／趨勢科技）

攻擊者不只盯高分漏洞，也串聯低分漏洞下手

另一個值得探討的議題，是已知CVE漏洞所對應的CVSS漏洞評分。一般而言，分數越高風險越大，也越可能被利用，因此企業幾乎優先修補高分漏洞。

但攻擊者也知道這類漏洞空窗期較短，因此，從多起資安業者揭露的攻擊行動，可以看到不少攻擊會串連多個中風險漏洞，以便入侵。

對此議題，Brian Gorenc很有感觸地表示，當漏洞被評為重大、甚至CVSS滿分（10分）時，企業往往會立刻啟動修補與防護機制，加強監控，整體防禦的反應非常快速，攻擊者也清楚這一點。

相對地，低分漏洞往往不會被企業列為優先修補目標。例如，有些企業規定CVSS達到9分以上漏洞，需一星期內完成修補，但較低風險漏洞可能會被拖延數月，成為攻擊者可利用的防禦缺口。

他並補充，許多現代攻擊技術，本就需要多個弱點配合，才能成功利用目標系統，因此，若使用多個嚴重程度較低的漏洞組合攻擊，其實已經相當常見。

Brian Gorenc認為，我們可以簡單將攻擊者設想為兩種類型：一種是「懶惰型」的攻擊者，偏好利用高分且容易下手的漏洞；另一類則是「精準低調型」的攻擊者，會刻意利用那些不會被快速修補的低分漏洞，在環境中長期滲透。

因此，他也提醒防禦方，不要因為「低嚴重性」字面意思而設想錯誤──當這些低分漏洞被有技巧地串聯起來時，同樣可能造成非常嚴重的後果。

至於零時差漏洞利用（zero day exploit），這些漏洞都是駭客率先發現並用於攻擊行動，要如何扭轉這樣的威脅？他強調，所有供應商都要一同重視產品安全，這點是無庸置疑的。

而對於ZDI而言，零時差漏洞一直是他們核心關注重點。因此投入相當多心力與資源，目標是盡可能在第一時間取得並掌握這些漏洞，藉由提供賞金購買漏洞，讓資安研究人員可以循正當管道，將零時差漏洞向ZDI報告，而非將其販賣到地下黑市，這也有助於預先了解未來可能出現的攻擊手法與威脅樣貌，並提前做到防護。

同時，他們也持續擴大舉辦Pwn2Own漏洞獎勵競賽，促進研究社群與供應商能共同解決潛在漏洞的問題。

運用AI幫助產品資安的確是趨勢

最後我們也好奇，在漏洞研究領域的趨勢上，現在是否已在利用AI來加速挖掘產品弱點？

Brian Gorenc表示，現在確實已經有人開始運用Agentic AI來自動發現漏洞。簡單來說，就是讓大型語言模型（LLM）自動串接除錯工具與檔案格式規格，並在受控的測試環境中自動產生各種測試樣本，協助找出程式碼中的潛在弱點，ZDI內部目前也在這樣嘗試。

還有一個應用方向，是將LLM用於強化逆向工程的作業流程，就他的觀察，現在有不少逆向工程工具供應商已將AI整合於產品，幫助分析組合語言與程式行為。

以ZDI自身而言，將生成式AI與Agentic工具納入分析流程，目的是提高自動化程度，更有效率地進行分析，並更精準地評估漏洞的可利用性。

至於產品供應商是否已在SSDLC（安全軟體開發生命週期）導入AI，他表示這已成為明顯趨勢。例如，現在許多開發人員會用AI工具輔助寫程式，也會重視自動程式碼安全審查建議的功能，還有不少供應商展示用LLM幫助程式碼分析。因此，他認為，幾乎所有廠商都在思考如何把這些能力納入SSDLC。

隨著這類技術與應用持續發展，在理想情況下，至少我們要讓許多常見弱點，可在軟體開發階段就被解決。他最後強調，事前處理永遠比事後補救更關鍵，而且成本也低得多。