近日，Cobalt发布了最新版《2025年渗透测试现状报告》，报告显示：企业安全负责人对组织安全状况信心十足，然而现实中漏洞修复滞后的问题仍普遍存在，漏洞太多，安全分析师只能“随缘”修复。

本报告基于对2700余家组织的渗透测试结果和安全管理者问卷分析。数据显示，尽管有81%的受访安全负责人认为其组织具备良好的安全态势，但在例行渗透测试中发现的严重漏洞中，仍有31%尚未修复。

整体而言，企业平均仅修复了48%的渗透测试发现的漏洞。对高危与严重等级漏洞的处理率略高，为69%，但仍难掩整体响应的滞后。

01

GenAI应用的漏洞风险日益凸显

报告特别指出，生成式人工智能（genAI）应用的漏洞风险日益凸显，成为新的安全短板。过去一年内，95%的组织对genAI应用进行了渗透测试，其中约32%的测试发现了严重漏洞。然而，这些漏洞的修复率仅为21%。未被处理的风险类型包括提示注入（Prompt Injection）、模型操控和数据泄露等。

随着AI技术在业务中快速落地，其带来的安全挑战也迅速成为焦点。72%的受访者将AI攻击列为当前最关注的威胁，超过第三方软件漏洞、被利用的系统弱点、内部人员威胁，甚至国家级网络攻击。

然而，仅有64%的安全专业人员表示，他们的组织已经“准备充分”，能够全面应对genAI带来的安全挑战。这一认知差距，进一步加剧了漏洞响应中的不确定性。

02

“业务优先于安全”压力困扰

此外，报告还指出，不少企业在安全治理中受到“速度优先于安全”的压力困扰。52%的安全负责人承认，在面对业务快速推进的要求时，往往不得不牺牲部分安全细节，导致修复效率受到影响。

软件供应链风险同样令人担忧。仅有一半的受访者对自身发现和预防供应商漏洞的能力持“完全信任”态度。这一现象在当前合规监管不断加强的背景下显得尤为突出——82%的组织被客户或监管机构要求提供可信的软件安全保障。

03

持续渗透测试的重要性

Cobalt首席技术官Gunter Ollman评论道：“在AI加速落地的当下，持续的渗透测试对组织的安全态势评估至关重要。”

“虽然当前仍有三成严重漏洞未被修复，但能够及时发现这些问题，本身就是风险缓解的第一步。积极采取攻防演练与渗透测试的企业，已在网络防御方面走在了攻击者前面。”

他补充道：“通过这种方式，不仅能提前满足合规要求，也能增强客户对企业安全能力的信任感。”

据介绍，本次报告数据来源于Cobalt开展的大量渗透测试结果，并结合第三方研究机构Emerald Research对安全专业人士的调研数据。所有渗透测试数据在交由Cyentia Institute进行独立分析前，已完成严格脱敏处理。