5 Threats That Reshaped Web Security in 2025

随着2025年接近尾声，安全专家必须面对一个严峻的事实：传统的网络安全策略手册已严重过时。由于供应链攻击、AI驱动的攻击以及不断变化的注入技术影响了数十万个网站，防御措施必须从根本上重新思考。

2025年重塑网络安全的五大威胁

以下是今年改变网络安全的五大威胁，以及为何从中学到的经验教训将影响未来的数字安全。

1. 氛围编程

在2025年，自然语言编程（也称为“氛围编程”）从一个新概念变成了生产现实，大约25%的Y Combinator初创公司使用AI来创建基础代码库。一位开发者在不到三小时内开发了一款多人在线飞行模拟器，最终拥有89，000名玩家，每月带来数千美元的收入。

后果 代码可以完美运行，但存在可被利用来绕过传统安全措施的漏洞。AI只创建你请求的内容，而不是你忽略请求的内容。

造成的损害

• 生产数据库被删除：尽管有代码冻结指令，Replit的AI助手还是删除了Jason Lemkin的数据库（包含1200名高管和1190家公司）。
• AI开发工具被攻破：三个CVE披露了知名AI编码助手中的严重漏洞：EscapeRoute（CVE-2025-53109）允许访问Anthropic MCP服务器的文件系统；CurXecute（CVE-2025-54135）允许在Cursor中执行任意命令；（CVE-2025-55284）允许通过基于DNS的提示注入从Claude Code泄露数据。
• 身份验证被绕过：在一家美国金融科技初创公司，AI生成的登录代码绕过了输入验证，允许注入有效负载。

氛围编程中的不安全代码统计 所有AI生成的代码中有45%存在可被利用的弱点，而Java语言的漏洞率高达70%。

2. JavaScript注入

2025年3月，一场宣传中国赌博服务的协同JavaScript注入攻击攻陷了15万个网站。攻击者通过注入脚本和模拟Bet365等知名博彩网站的iframe元素，并使用全屏CSS覆盖层，将真实的网页内容替换为恶意登录页面。这次活动的规模和复杂性表明，从2024年Polyfill.io黑客攻击（一家中国公司利用一个受信任的库，影响了包括华纳兄弟、Hulu和梅赛德斯-奔驰在内的超过10万个网站）中吸取的教训已转变为可重复的攻击方法。由于98%的网站使用客户端JavaScript，攻击面比以往任何时候都大。

影响 由于原型污染、基于DOM的XSS和AI驱动的提示注入，即使React的XSS安全性也受到了威胁。

造成的损害

• 超过15万个网站被攻陷：一场赌博推广活动展示了工业级的JavaScript注入。
• 报告了22,254个CVE：比2023年增加了30%，揭示了风险的显著增加。
• 超过5万个银行会话被劫持：恶意软件利用实时页面结构识别技术，攻击了三大洲的四十多家银行。

解决方案 如今，公司存储原始数据，并根据输出上下文进行编码：对链接进行URL编码，对div进行HTML编码，对脚本元素进行JavaScript转义。当静态库发出意外的非法POST请求时，会触发行为监控。

3. Magecart/E-skimming 2.0

根据Recorded Future的Insikt Group数据，随着攻击者利用供应链依赖关系，Magecart攻击在短短六个月内增加了103%。与传统攻击发出警报不同，网络盗取器伪装成可信赖的脚本，同时实时收集支付信息。

现状 攻击方式变得异常复杂，包括WebSocket连接、地理围栏和DOM影子操作。其中一个变种在Chrome DevTools打开时会进入休眠状态。

造成的损害

• 主要品牌受损：Ticketmaster、Newegg和英国航空公司都遭受了数百万美元的罚款和声誉损害。
• Modernizr库被武器化：该代码仅在数千个网站的支付页面上激活；WAF无法看到它。
• AI驱动的选择性攻击：攻击者分析浏览器以识别奢侈品购买行为，仅泄露高价值交易。

cc-analytics域名活动（2025年9月） 安全研究人员发现了一场复杂的Magecart活动，使用高度混淆的JavaScript从被攻陷的电子商务网站窃取支付卡信息。以cc-analytics[.]com域名为中心的恶意基础设施，已主动收集敏感客户数据至少一年。

防御响应 企业发现内容安全策略（CSP）给了他们虚假的信心；攻击者只是获得了访问白名单网站的权限。解决方案是基于行为而非来源来验证代码。根据PCI DSS 4.0.1第6.4.3节，自2025年3月起，必须持续监控所有访问支付数据的脚本。

4. AI供应链攻击

随着攻击者将AI转化为武器，2025年上传到开源存储库的恶意软件包数量增加了156%。传统攻击导致凭据被盗。新的风险包括每次迭代都会自我重写的多态恶意软件，以及能够识别沙箱的上下文感知代码。

后果 AI生成的变种每天都会变化，使得基于签名的检测无效。根据IBM 2025年的研究，发现漏洞平均需要276天，控制漏洞需要73天。

造成的损害

• Solana Web3.js后门：在五个小时内，黑客窃取了价值16万至19万美元的加密货币。
• 恶意软件包激增156%：通过单元测试和文档在语义上隐藏，使其看起来真实可信。
• 276天的检测窗口：AI生成的多态恶意软件规避了传统的安全扫描。

沙虫蠕虫（2025年9月-12月） 在不到72小时内，自我复制的恶意软件利用AI生成的bash脚本（可通过注释和表情符号识别）攻陷了超过500个npm软件包和超过25,000个GitHub项目。为了规避基于AI的安全评估，攻击者将AI命令行工具武器化用于间谍活动；ChatGPT和Gemini都错误地将恶意负载识别为安全。该蠕虫通过从开发环境中获取凭据，并使用窃取的令牌自动发布木马化版本，将CI/CD管道变成了分发渠道。

应对措施 组织实施了针对AI的检测、行为来源分析、零信任运行时保护以及对贡献者的“人性证明”验证。欧盟《人工智能法案》增加了高达3500万欧元或全球收入7%的罚款。

5. 网络隐私验证

研究表明，即使用户选择退出，70%的美国主要网站仍在使用广告Cookie，使企业面临不合规和声誉损害的风险。静态的Cookie横幅和定期审计无法跟上“隐私漂移”。

问题 同意机制在升级后失效，营销像素收集未经授权的ID，第三方代码在指定策略之外进行跟踪——所有这些都发生在无人察觉的情况下。

造成的损害

• 零售商被罚款450万欧元：一个忠诚度计划脚本在四个月内秘密将客户电子邮件路由到外部域名。
• 医院网络违反HIPAA规定：第三方分析程序暗中收集未经授权的患者数据。
• 70%的Cookie不合规：美国知名网站无视用户的选择退出选项，违背了其隐私声明。

Capital One追踪像素事件（2025年3月） 联邦法院裁定，Meta Pixel、Google Analytics和Tealium交换银行账户信息、就业详情和信用卡申请状态的行为，符合CCPA规定的“数据外泄”。2025年3月的裁决将责任范围扩大到传统的数据泄露之外，使常规跟踪面临类似于安全漏洞的诉讼风险，每次事件使企业面临100-750美元（CCPA）和5000美元（CIPA窃听违规）的索赔。

防御响应：解决方案是持续的网络隐私验证，它使用数据映射、快速警报和补丁验证来确保实际活动符合声明的政策。年初时，只有20%的企业对其合规性有信心；而那些采用持续监控的企业则简化了审计，并将隐私纳入安全流程。

前进之路：AI驱动世界中的主动安全

这五大威胁的共同点是：被动安全已变成一种负担。2025年的教训显而易见：当你意识到旧程序存在问题时，你实际上已经被攻陷了。

在这个环境中蓬勃发展的组织具有以下三个特点：

1. 他们默认已存在漏洞：由于完美的预防无法实现，他们专注于快速检测和遏制，而不是阻止所有入侵。
2. 他们拥抱持续验证：有效的安全计划处于持续警戒状态，而不是依赖周期性的审计循环。
3. 他们将AI同时视为工具和威胁：制造漏洞的同一技术也可以为防御系统提供动力。现在使用具有AI意识的安全措施来识别AI制造的威胁至关重要。

您的2026年安全准备清单

安全团队应优先考虑以下五项验证：

1. 盘点第三方依赖项：在生产环境中映射每个外部脚本、库和API端点。未知的代码就是未被监控的风险。
2. 实施行为监控：使用运行时检测来识别异常数据流、未经授权的API请求和意外的代码执行。
3. 审计AI生成的代码：所有由LLM生成的代码都应被视为不可信的输入。在部署前，强制执行渗透测试、安全评估和密钥扫描。
4. 验证生产环境中的隐私控制：在真实环境中测试第三方跟踪、Cookie同意和数据收集限制，而不仅仅是在测试环境。
5. 建立持续验证：从定期审计过渡到自动警报和实时监控。

问题不在于企业是否应该采用这些安全范式，而在于他们能以多快的速度采用。2025年重塑网络安全的威胁为未来数年奠定了基础，而不仅仅是短期的干扰。

现在就采取行动的组织将设定安全标准；那些犹豫不决的组织将不得不迅速行动以迎头赶上。