人工智能正在改变安全领域的防御和进攻范式。攻击者利用人工智能大规模生成逼真的网络钓鱼信息、克隆高管语音、探测暴露的人工智能基础设施并自动化入侵渗透。防御者则利用人工智能更快地检测异常、对风险告警进行分类并控制事件。然而，技能差距和配置错误的人工智能架构却为新的攻击打开了方便之门。本指南汇总了最新的2025年人工智能网络攻击统计数据，将数据转化为业务影响，并提供了一份您可以在本年度执行的优先行动方案。

首席安全官（CSO）正面临前所未有的挑战：AI系统既放大了现有数据风险，又引入了诸如数据投毒、模型逆向工程和供应链污染等全新威胁。这份指南基于NIST AI风险管理框架（AI RMF）、Google安全AI框架（SAIF）和行业实践，为CSO提供一套可操作的数据安全治理体系。

聚焦 MCP 如何在赋予 AI 实际“执行权”的同时，直接冲击现有安全体系。 一方面，MCP 让 LLM 通过统一协议接入工具、数据库和业务系统，真正变成能跨系统的多Agent，而不是被动问答机器人。 另一方面，这种能力依赖“混合身份”和长链路授权与身份验证，使零信任要求的清晰身份、最小权限和持续验证被系统性削弱，上下文投毒、工具中毒、供应链攻击等隐形威胁面随之急剧放大。
当下，必须围绕 MCP 重建治理——以网关为中枢，统一身份、细粒度授权和全链路审计，才能在不牺牲安全的前提下释放 agentic AI 的真正价值。

面向未来的AI安全架构不仅是技术问题，更是战略转变。从”工具驱动”向”智能体驱动”，从”事后应对”向”事前治理”，从”人工依赖”向”人机协同”——这些转变将深刻改变安全产业的样貌。

那些率先构建AI原生安全体系的企业，将在威胁检测、运营效率、成本控制、人才留存等多个维度获得竞争优势。而那些停留在传统工具堆砌、规则编写的企业，最终将被时代淘汰。

AI的发展不可逆转。安全决策者应当立即行动，从战略、组织、技术、投资四个维度启动AI安全平台建设，抓住这一历史机遇。

PromptPwnd是Aikido Security研究团队发现的新型漏洞，对集成AI代理的GitHub Actions和GitLab CI/CD管道构成了严重威胁。该漏洞利用提示注入（Prompt Injection），通过向AI模型注入恶意指令，使其执行高权限操作，从而导致密钥泄露、工作流操纵和供应链妥协。至少5家财富500强企业受到影响，谷歌Gemini CLI等多个知名项目已被验证存在该漏洞。

很多人以为，AI对网络安全的影响主要体现在“多了个更聪明的工具”。但读完这份关于亚太（AP）AI网络安全的梳理之后，一个更扎心的结论是：AI正在把攻击变得更快、更便宜、更逼真，同时…

随着AI从单纯的“对话机器人”（Chatbots）向具备自主规划、决策和执行能力的“AI智能体”（Agentic AI）进化，应用的攻击面也发生了根本性的改变。 与传统的 LLM …

CVE-2025-34291 是在 Langflow AI 代理与工作流平台中发现的一个严重漏洞链，安全评分达到 CVSS v4.0: 9.4。该漏洞允许攻击者通过诱导用户访问恶意网页，实现对 Langflow 实例的完全账户接管和远程代码执行（RCE）。

CVE-2025-55182漏洞受影响版本中React 19引入，Next.js App Router 将来自客户端的 RSC 序列化数据直接交由 ReactFlightReplyServer 反序列化，未对模型结构、引用路径与 Server Reference 元数据进行充分校验。攻击者可构造恶意 RSC请求，引导 parseModelString、getOutlinedModel、loadServerReference、initializeModelChunk 等解析链路进入异常状态，在模块加载与引用绑定阶段控制调用目标，最终在 Next.js 中可触发任意服务端代码执行。

Group-IB研究人员观察到，自2025年6月起，名为Bloody Wolf的威胁行为者发起针对吉尔吉斯斯坦的网络攻击活动，目标是交付NetSupport RAT。到2025年10初，其攻击范围扩大至乌兹别克斯坦。攻击者通过伪装成吉尔吉斯斯坦司法部，利用看似官方的PDF文档和域名，这些文档和域名又托管了旨在部署NetSupport RAT的恶意Java归档(JAR)文件。攻击采用社会工程学和易获取的工具，通过钓鱼邮件，诱使收件人点击链接下载恶意JAR加载器文件并安装Java Runtime，进而执行加载器以获取NetSupport RAT并建立持久化。在针对乌兹别克斯坦的攻击中还加入了地理围栏限制。