文章总结： 文章分析了2025年工控安全领域的三大变化：攻击目标从加密勒索转向物理摧毁，如波兰能源袭击事件；ICS漏洞数量翻倍且被武器化的速度加快，压缩了修复窗口；攻防对抗正从依赖人类经验转向AI智能体之间的实时博弈。这些趋势颠覆了传统防御逻辑，要求防御范式进行根本性重构。 综合评分： 85 文章分类： 工控安全,ai安全,网络安全,漏洞分析,恶意软件

观点丨从波兰能源袭击到工控漏洞暴增——2025攻防态势如何重塑2026安全逻辑

原创

李可歆 李可歆

工业安全产业联盟平台

2026年5月13日 17:54 北京

在小说阅读器读本章

去阅读

2025年12月29日，波兰遭遇了一场罕见的国家级破坏性网络攻击。攻击者利用FortiGate设备上未启用MFA的VPN接口和复用凭证入侵，经过数月侦察后投递定制擦除器DYNOWIPER，试图不可逆地破坏目标设备上的数据。攻击波及30多个可再生能源设施和一套大型热电联产系统，攻击时机选在波兰遭遇寒潮和暴风雪的新年前夕。按CERT Polska的说法，“按物理世界类比，这些攻击可以比作蓄意纵火。”

与此同时，Cyble年度报告披露：2025年152家厂商共揭露2451个ICS漏洞，较2024年的1690个增长近一倍，仅8月单月就达802个。勒索软件攻击工业组织同比增长37%，制造业600家实体、医疗业477家机构受到影响。

攻击从“加密勒索”转向“物理摧毁”，漏洞数量翻倍，AI武器化初现——三股力量叠加，意味着工控安全从业者过去赖以生存的底层逻辑正在被颠覆。

攻击目标变了——从“要钱”到“要命”

工控安全圈子长期默认勒索软件是头号威胁，只要做好备份、及时打补丁，出不了大问题。

DYNOWIPER打破了这个判断。该擦除器枚举所有逻辑驱动器，用伪随机数据覆盖文件头，对大型文件在最多4096个偏移位置各写入乱码，在系统崩溃前最大化数据破坏范围。它刻意避开Windows关键目录以维持系统运行，目的就是让破坏过程尽可能持久。这不是加密数据来谈赎金，而是直接“烧房子”。

更深远的变化是：Dragos报告指出，攻击者已不满足于进入OT网络踩点，而是在OT环境中研究控制回路、理解如何操纵物理过程。全球仅约30%的OT网络具备基本可见性，56%看不到IT/OT边界以下的动静。你的对手在研究你的工艺流程，而你可能根本不知道他进没进来。

漏洞“武器化窗口”坍缩——你永远来不及打补丁

2451个ICS漏洞，意味着平均每天近7个新漏洞被公开。但比数量更致命的，是漏洞被武器化的速度。

Rapid7 2026全球威胁态势报告指出，攻击者的“武器化窗口”正在急速坍缩——从漏洞公开到被纳入CISA已知利用漏洞目录的中位时间已压缩至5天，高危漏洞几乎在公开的同时就被武器化。然而，工控环境无法像IT系统那样频繁停机检修，传统“发现漏洞→评估→排期修复→验证”的流程在OT场景中本就艰难，现在直接被攻击者甩开了至少一个数量级。

更大的问题是威胁可见性持续下滑。2025年仅有22%的工控漏洞被CISA发布ICS安全公告跟踪，较2024年的58%大幅下降。134个厂商的漏洞完全没有CISA跟踪覆盖——大量工控风险事实存在却无人记录。

你无法防御你不知道存在的东西，也无法修复你来不及停机的设备。

“人在回路”正在失效——攻防进入AI智能体对抗时代

即便做好基础防御、跟上了补丁节奏，第三股力量让“人在回路”的传统防御模式面临降维打击。

S4×26峰会的核心信号就是Agentic Security。峰会演示的“Agent vs. Agent”攻防实战中，攻击智能体可以像人类架构师一样阅读SBOM、识别系统弱点，并根据防御方阻拦实时改写攻击载荷。防守方的智能体则进行“语义层面”的反击——模拟虚假反馈欺骗攻击体，或在内存中构建数字沙箱将其隔离。

Cloudflare预测，2026年AI将从辅助工具演变为自主攻击器，自动扫描漏洞并开发入侵工具，“将攻击速度超越传统防御手段”。Fortinet也警告，未来将出现专为网络犯罪打造的“自主网络犯罪代理”，使初阶攻击者也能发起高度复杂的破坏性攻击。

多年经验的安全分析师，面对AI智能体在分钟内完成的侦察-渗透-破坏链条，根本来不及响应。攻击不再依赖人，防御却还卡在人类的决策速度里。

结 语

2025年给工控安全行业敲响了三声警钟：攻击目标从“要钱”转向“要命”，漏洞从“可修补”变为“来不及修”，攻防从“人对人”变成“AI对AI”。

这不是加强安全预算或多招几个人能解决的问题，而是防御范式本身需要根本性重构。2026年的工控安全，不再是堡垒对投石机的攻防，而是算法与算法之间的实时博弈。谁先跑通这个逻辑，谁才能守住下一道防线。

· end ·

责任编辑 | 赫敏

如需合作或咨询，请联系工业安全产业联盟平台小秘书微信号：ICSISIA20140417

往期荐读

重磅 | 《自动化博览》2026年第二期暨《工业控制系统信息安全专刊（第十二辑）》上线

征求意见稿丨网络安全技术 工业控制系统网络安全防护能力成熟度模型（附下载）

工信部丨关于防范针对DeepSeek本地化部署实施网络攻击的风险提示

干货丨长输油气管网工控安全防护：策略、实践与展望

DeepSeek分析丨零信任安全架构在工业领域的发展现状与未来展望

数字化安全丨工信部印发《高标准数字园区建设指南》（附全文+图解）

AI安全丨人工智能安全治理框架2.0版（附下载）

干货丨工业可编程控制系统加密技术研究

荐读 |安全人视角的DeepSeek洞察与思考

可信数据丨中国城市可信数据空间行业研究报告（附全文）

关注丨网络关键设备安全检测结果（第19批）

数据安全｜国家标准支撑《网络数据安全管理条例》生效施行（v1.0）

工信部、国家标准委联合印发丨云计算综合标准化体系建设指南（2025版）

国家标准丨数据安全国家标准体系（2025版），附下载

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：工业安全产业联盟平台 李可歆 李可歆《观点丨从波兰能源袭击到工控漏洞暴增——2025攻防态势如何重塑2026安全逻辑》