2026 年 4 月 23 日，美国网络安全和基础设施安全局（CISA）发布重磅安全预警，多款市面热销 IP 摄像头被曝出 CVE‑2025‑65856 高危漏洞，CVSS 评分高达 9.8 分，属于最高危急级别，全球安防设备安全防线告急。

此次漏洞源于设备 底层固件设计存在严重缺陷： ONVIF 协议中 31 个核心接口未做任何身份验证，攻击者无需账号密码即可远程入侵，实时窃取监控画面、获取设备配置、完全接管设备，甚至以此为跳板侵入内网，对民用、商用、公共场景构成致命威胁。受影响固件版本为 V5.00.R02.000807D8.10010.346624.S.ONVIF_21.06 ，覆盖多款主流机型，风险规模触目惊心。

真正让隐患呈指数级扩散的，是安防行业 大规模代工贴牌 的产业链现状。作为多家品牌的固件与方案提供商，同一套底层固件被用于数十个国内品牌、跨境电商白牌与 iCSee 生态设备。一套带病固件，通过代工链条快速蔓延至全球海量终端，形成 “ 一处失守、全网沦陷 ” 的灾难性局面，无数用户在毫不知情中暴露于攻击之下。

这场危机的本质，并非偶然技术 BUG，而是 固件安全管理体系全面失效 的集中爆发。相关方案方在芯片与固件开发中重功能、轻安全，缺失代码审计、渗透测试、漏洞验证等关键安全管控环节；在代工模式下，方案商、品牌方、终端用户责任割裂，贴牌厂商无能力维护，普通用户无渠道升级；更严峻的是，官方未及时配合漏洞修复， 无补丁、无 OTA、无公告 ，将设备安全与用户隐私置于极度危险境地。

从早年僵尸网络利用安防漏洞肆虐全球，到如今 9.8 分致命漏洞重现，一次次事件反复证明： 固件是智能设备的 “底层灵魂”，固件管理就是设备安全的 “生命线” 。缺乏统一、规范、可追溯的 安全固件管理系统 ，就等于为黑客敞开大门；缺失固件全生命周期管控 —— 包括加密存储、版本校验、在线升级、异常回滚、安全审计，再高端的硬件也形同虚设。

此次事件为整个安防行业敲响最强警钟：安防设备的核心竞争力不只是画质与功能，更是 固件安全与持续运维能力 。建立标准化安全固件管理体系、落实主体安全责任、打通终端 OTA 升级通道、强化漏洞应急响应，已是行业生存底线。唯有以安全固件管理系统筑牢底层防线，从源头封堵漏洞，才能真正守护家庭、企业与社会的安防安全。

来源：视界密盾

注：内容均来源于互联网，版权归作者所有，如有侵权，请联系告知，我们将尽快处理。