核心发现: 2026 年开源安全威胁已从「可修补的漏洞」全面转向「供应链信任攻击 + AI 加速放大」的双重危机。零 CVE 不等于零风险。

一、漏洞数量创历史新高

根据 FIRST 国际安全应急组织在丹佛年会上发布的 2026 年中漏洞预测报告,今年 CVE 揭露数量将达到前所未有的 66,000 个,对安全团队的评估、优先级排序和修复能力提出了严峻挑战。

关键指标 数据 同比变化
2026 年预计 CVE 总数 66,000 个 历史新高
每个代码库平均漏洞数 581 个 翻倍 ↑
代码库平均文件数 84,000+ 文件 5 年翻了 4 倍
每个应用组件数 增长 30%

Black Duck 的 《2026 开源安全与风险分析报告》(OSSRA) 还指出,2024 年 Linux Kernel 团队成为 CVE 编号授权机构后,仅此一项变更就为内核相关代码新增了数千个 CVE 分配,进一步推高了数字。

65% 的受访组织在 2025 年报告遭遇过软件供应链攻击。(Black Duck 调研)

二、供应链攻击已「工业化」

Phoenix Security 的恶意软件包情报(MPI)体系追踪了 2024年6月 至 2026年6月59 起 供应链攻击活动,索引了 657 个 独立恶意包版本。按月度绘制,曲线不是「增长」,而是**「点火」**:

时期 攻击活动 恶意包数量
2025 全年 14 起 111 个
2026 上半年 37 起 (↑2.6×) 497 个 (↑4.5×)
2026 年 5 月(单月) 14 起 346 个

5 月创纪录的峰值直接来源于一个自传播蠕虫事件 —— 该蠕虫将单个被盗维护者 token 转化为数百个中毒包,无需人工干预即可自动传播,成为这一时期最具标志性的技术突破。

注册表层面:npm 已成重灾区

  • npm 承载了约 90% 的开源恶意软件
  • npm 恶意软件在 2025 年翻倍增长
  • PyPI 和 NuGet 在强制推行 2FA 和受信任发布 后,恶意软件分别下降了 43%60%——这反向证明了攻击者会绕开摩擦点,而不是硬碰硬

0 个 CVE,0 条补丁路径

在所有 59 起追踪到的攻击活动中,零 CVEs 被分配。这些攻击不是利用代码缺陷,而是利用信任假设——这意味着没有补丁可以打。攻击面是信任关系本身。

三、2026年6月:Red Hat npm 供应链攻击

2026年6月1日,Unit 42 披露了一起重大事件:Red Hat Cloud Services 的 @redhat-cloud-services npm 命名空间下 至少 32 个包被攻陷

攻击链如下:

  1. VS Code 扩展被植入恶意软件 → 攻陷开发者 GitHub 账户
  2. 攻击者利用该账户注入恶意代码到 Red Hat 的 npm 包中
  3. 恶意包在 npm install执行后门代码,窃取凭证与 token

受影响的具体包列表和修复建议可参考 Red Hat 安全公告 RHSB-2026-006

四、AI 编码代理:被忽视的新攻击面

AI 辅助开发正在以史无前例的规模放大开源风险:

  • 67% 的组织已在用 AI 编码助手(Copilot、Cursor、Claude Code 等)
  • 71% 的禁止使用AI编码助手的公司,员工仍在违规使用
  • AI agent 工具链正在成为新的攻击入口

新型攻击媒介已投入实战

攻击面 描述
MCP 服务器注入 向 Model Context Protocol 服务中注入恶意指令
.cursorrules 下毒 编辑项目级 AI 指令文件,诱导 AI 生成带后门的代码
CLAUDE.md 隐藏指令 在 AI agent 配置中嵌入恶意行为
SessionStart 钩子 AI 编码助手启动时自动执行的攻击代码

在 59 起追踪活动中,至少有 14 起 涉及 AI agent 工具链。

Cloudflare 的自我攻防实验

Cloudflare 的 Cloudforce One 团队让一个 AI 编码代理进行自我漏洞分析,结果发现了 CVE-2026-22813(CVSS 9.4)——Markdown 渲染管道中的严重缺陷,可导致未经身份验证的远程代码执行。

五、攻击者战术转型:MOE(效果衡量)优先

Cloudflare 在 《2026 年全球威胁形势报告》 中提出了一个新概念:MOE(Measure of Effectiveness)——攻击者不再追求「复杂度」,而是追求投入产出比的最大化

旧的策略 新的策略(高 MOE)
昂贵的 0-day 漏洞利用 直接盗取会话 token(绕过 MFA)
自建 C2 服务器 利用 Google Calendar/Dropbox/GitHub 做隐蔽通道
手动编写攻击代码 AI 自动发现敏感数据链

2026 年 8 大关键威胁趋势

  1. AI 驱动的高速攻击自动化 —— 实时网络测绘、漏洞利用开发、深度伪造
  2. 国家支持的预定位攻击 —— 中国威胁行为者(Salt Typhoon、Flax Typhoon)优先定位北美电信和基础设施
  3. 权限过高的 SaaS 整合 —— 单一受损的第三方 API 可引发数百个企业受影响
  4. 武器化的云工具 —— 攻击者利用 Google Drive、Dropbox、GitHub 等可信工具隐藏恶意流量
  5. 深度伪造嵌入西方企业 —— 朝鲜利用假身份+深度伪造将国家支持的操作员嵌入西方公司薪资系统
  6. Token 盗窃淘汰 MFA —— 信息窃取木马(如 LummaC2)收集活动会话 token,直接绕过多因素认证
  7. Relay 盲点助长品牌钓鱼 —— 近 46% 的分析邮件未通过 DMARC 验证
  8. 超流量 DDoS 攻击 —— 31.4 Tbps 基准水平,完全关闭人类响应窗口

其他惊人数据

  • 94% 的登录尝试来自机器人
  • 63% 的登录涉及已泄露的凭证
  • 过去 3 个月所有登录中,近三分之二使用了在别处泄露的凭证

六、应对建议

在攻击已进入「机器速度」的 2026 年,组织需要结构性转型:

优先级 措施 说明
⚠️ 高 SBOM 软件物料清单 必须准确跟踪每个开源组件的来源和依赖关系
⚠️ 高 SCA 软件组成分析 不能仅依赖 CVE 数据库,需要可被利用性上下文和修复指引
⚠️ 高 强制 2FA + 受信任发布 PyPI/NuGet 已验证有效,npm 急需跟进
⚡ 中 AI 编码安全审查 检查 AI 生成的代码和依赖注入风险
⚡ 中 AI agent 配置审计 claude.md.cursorrules、MCP 服务已成新的持久化攻击面
⚡ 中 自动化防御体系 手检清单已失效,需要即时可见度和自动响应能力

Cloudflare 总结:防御者必须转向自主防御模型(Autonomous Defense),将对攻击者的 MOE 降至零。目标的本质不再是建更好的墙,而是确保系统能在无人监控下比攻击者更快地行动。

参考来源