想象一下這種場景，公司IT部門打來電話說你的計算機已經被黑客攻破，你必須立即停下手頭的一切工作。但你明明通過了公司的安全培訓，并十分確定沒有打開過任何可疑的郵件附件或點擊過任何不良鏈接。你也知道自己的公司有嚴格的補丁策略，計算機上的軟件都是最新版本。而且，你也不是那種會在工作時間訪問非工作相關網站的員工。那么，這到底是怎么發生的呢？

幾天過后，公司雇來調查此事件的安全公司給出了一個意料之外的答案：黑客是利用了你電腦上安裝的公司防病毒程序中的一個漏洞才得以進入的，而此程序本應保護你的電腦免遭黑客攻擊。這個漏洞的觸發條件十分簡單，攻擊者只需要給你發一封郵件，你甚至不需要打開它就中招了。

這一場景聽起來似乎有點不大可能，其實不然。通過漏洞研究人員對以往防病毒程序的分析，發現此類攻擊非常有可能發生，而且很可能已經發生過了。數年來，已經有一些研究人員試圖警告人們終端防病毒產品中的關鍵漏洞是有多么容易被找到并利用。

近半年以來，研究人員已經發現并報告了數十個防病毒產品中的嚴重漏洞，涉及的廠商包括卡巴斯基實驗室、ESET、Avast、AVG Technologies、英特爾安全（前邁克菲）和Malwarebytes。這些漏洞中的大多數都能讓黑客遠程執行惡意代碼、濫用防病毒產品自身的功能、獲取被攻破系統的更高權限，甚至讓第三方應用的反漏洞利用防御俯首稱臣。

其中某些漏洞甚至不需要用戶互動就能被利用，還允許產生計算機蠕蟲病毒（能自我復制傳播的惡意程序）。很多情況下，攻擊者只需要給潛在受害者發送精心編造的電子郵件，在他們經常訪問的合法網站中注入惡意代碼，或者將帶有被感染文件的U盤插入他們的電腦即可。

證據顯示，針對防病毒產品的攻擊，尤其是在企業環境下，是可行且很有可能的。一些研究人員認為此類攻擊早已發生，雖然防病毒廠商可能由于受害者數量少而沒有發覺。

各國政府的情報部門一直對防病毒產品漏洞很感興趣。新聞網站“The Intercept ”6月報道稱，英國政府通信總部（GCHQ）在2008年提交申請更新一份授權以便可以對卡巴斯基實驗室的防病毒產品進行逆向以找尋弱點。該網站還報道稱，根據前NSA承包商斯諾登的泄密，美國國家安全局（NSA）也大肆研究防病毒產品以規避它們的檢測。

一個名為“面具”（The Mask）或Careto（西班牙語的mask）的網絡間諜組織（可能是受國家支持的），也曾嘗試利用卡巴斯基更早版本的防病毒產品中的漏洞來規避檢測。在2014年2月該組織的行動被曝光前，超過30個國家的數百個政府和私營企業的電腦被該組織滲透。

除了上述利用防病毒產品漏洞規避檢測的主要例子，還有對影響防病毒產品的遠程代碼執行漏洞利用的需求，這些漏洞利用代碼經由專門的代理人在基本上不受監管的漏洞利用市場上銷售。

意大利監視公司Hacking Team去年被泄露的郵件中，有一份文檔記錄了一家名為“漏洞經紀國際”（ Vulnerabilities Brokerage International）的機構售賣的多種漏洞利用工具。該文檔列出了多款防病毒產品各種不同的提權、信息披露和檢測規避漏洞利用，還有一個被標記為“已售出”的ESET NOD32防病毒產品的遠程代碼執行漏洞利用。

安全研究公司IOActive前首席技術官，入侵檢測廠商Vectra現任首席安全官岡特·奧爾曼稱，針對防病毒產品的漏洞利用活動已經持續了十幾年。有公司專門針對其客戶感興趣的防病毒產品進行逆向工程，這些公司還逆向現有惡意軟件以劫持已經被感染的系統。

奧爾曼指出，中國某防病毒產品的遠程可利用漏洞在美國和歐洲情報機構眼里價值好幾萬美元。

從國家行為者的角度，被檢測到從事此類活動并不明智，所以目標一般都比較小，且控制嚴密。

如果美國和歐洲的情報機構對此類漏洞利用大感興趣，沒理由認為俄羅斯、中國和其他國家會對此缺少興趣。事實上，一些國家的網絡間諜組織已多次證明了他們在找尋流行應用程序已知漏洞并開發利用上的能力，將這些技能應用到防病毒產品上應該不成問題。甚至一些防病毒廠商也承認，盡管他們至今還沒發現任何一起實例，但對防病毒產品的針對性攻擊是有可能的。

卡巴斯基實驗室在對2016年的預測中特別提到，對安全研究人員和安全廠商的攻擊可能是信息安全界的未來趨勢，但大范圍攻擊的可能性不大。防病毒廠商 Bitdefender則聲稱，針對終端安全程序的攻擊“是絕對可能的”，但可能會是針對企業環境而非消費者。

滲透測試人員長期以來都對防病毒產品被利用的可能性保持警惕。一名在大型科技公司工作的安全研究人員表示，他的團隊經常在滲透測試中嘗試利用防病毒管理服務器中的漏洞，因為這些服務器擁有對終端系統的控制權限，能用于在公司內部網絡中通行無阻。這位研究人員希望保持匿名，因為他的公司不允許他對此作出任何評論。

企業防病毒管理服務器的漏洞利用不僅在 Hacking Team 泄露事件中的漏洞交易貨品清單中榜上有名，還能在公共漏洞利用數據庫中找到。

防病毒廠商似乎對他們產品受到大范圍攻擊的可能性不以為然。他們的研究人員大多認為此類攻擊目前不太可能，因為典型的網絡犯罪團伙有著其它更容易的攻擊目標，比如Flash播放器、Java、Silverlight、IE瀏覽器或者Adobe、微軟Office軟件等。

然而，這些普遍使用的應用軟件在最近幾年紛紛加固安全措施，而且隨著越來越多的人升級到更新、防護更好的版本，攻擊者們將被迫找尋新的目標。因此，未來針對數千萬甚至上億消費者使用的防病毒產品的攻擊不能冒然排除在外，尤其是網絡犯罪分子可能會像之前做過的那樣，有時會借助于零日漏洞。

從目前來看，企業或機構還是比普通消費者面臨著更大的防病毒產品漏洞風險，尤其是那些身處時常被網絡間諜組織盯上的產業中的公司。

防病毒產品是人編寫的，而只要是人就不可能不犯錯。雖然期待此類程序完全沒有漏洞是不可能的，但我們可以期望它們比其他類型的程序漏洞更少，更難以被利用。

一般情況下人們普遍認為，信息安全相關產業的公司會遵從安全編程指南，在他們的產品中具有反漏洞利用防御措施，并經常性地進行代碼審計和漏洞測試。然而不幸的是，上述安全事項在防病毒的世界里似乎是罕見的。

防病毒程序要能夠檢查來自一系列源頭的大量數據和文件類型：Web、電子郵件、本地文件系統、網絡共享、USB接入的存儲設備等等。它們還要有大量的組件實現分層防護：攔截網絡流量的驅動，集成進瀏覽器和電子郵件客戶端的插件，圖形用戶界面，執行基于簽名、基于行為和基于云掃描的子系統防病毒引擎……

這就是安全研究人員所謂的超大攻擊界面，意味著有大量潛在的漏洞代碼供攻擊者以各種方式進行研究。另外，當涉及到防病毒產品，其大部分代碼都是以最高可能權限執行的，可這是安全研究人員應該盡可能避免的。

谷歌安全研究員塔維斯·奧曼迪在其9月發表的一篇漏洞分析中表示，“防病毒產品極大增加了對針對性攻擊的暴露面，提供了一個很容易得手的攻擊界面。因此，安全產品廠商有責任保持盡可能高的安全開發標準以最小化因他們的產品而引發的可能損害。”

近半年來，奧曼迪就發現并報告了超過25個防病毒產品漏洞，涵蓋了ESET、卡巴斯基實驗室、AVG和Avast。之前他還在守護使和微軟產品中發現過漏洞。奧曼迪發現的很多漏洞都源于文件和數據解析操作，這種操作一直以來都是所有應用程序的漏洞來源。

“在未來，我們有可能看到防病毒脫殼器、模擬器和解析器都在沙盒中運行，不以系統權限執行。谷歌瀏覽器沙盒是開源的，且被多種主流產品使用。別再等著被網絡蠕蟲盯上你的產品了，也別再等著你的用戶被人進行針對性攻擊了，今天就在你的開發路線圖中加上沙盒技術吧。”

防病毒產品中缺乏類似沙盒這種安全緩解技術，以及它們太多的組件都在系統權限下運行的事實，早在奧爾曼指出之前就已經有人提出警告。

2014年，一位名為喬斯因·柯羅特的安全研究員在14款防病毒產品及它們的引擎中發現了遠程和本地可利用漏洞。據柯羅特所言，防病毒產業至少應該采用類似權限分離和沙盒之類的技術，但想要真正令防病毒產品安全，還需要采取更多的安全措施。

很多防病毒產品都對中間人攻擊束手無策，因為它們沒有采用e SSL/TLS通信，且它們下載的組件通常都沒有經過簽名。它們沒有應用當代瀏覽器都有的反漏洞利用措施，也沒有用仿真模擬來掃描可執行文件或使用內存安全的編程語言。

更糟的是，有證據顯示，很多防病毒產品甚至沒有對安全缺陷進行適當的審計。比如奧曼迪發現的那些漏洞就明顯從未經過審計，因為這種漏洞只要審計的話，在第一輪評估中就很可能在一周之內被審計人員發現。

漏洞情報公司Risk Based Security（RBS）首席研究官卡斯滕·艾拉姆認為，防病毒廠商應該盡可能地以最小權限運行他們的產品，使用沙盒執行敏感功能，并盡力保證一個整體穩固安全的代碼成熟度。

RBS的數據顯示，自2010年1月1日起，大約有1773個安全軟件和設備漏洞被提交，僅2015年就有372個，其中絕大多數可通過篡改輸入進行利用。

按理來說，安全廠商應該遵守更高的安全編碼標準，但現實情況卻恰恰相反。基本的模糊測試（Fuzzing）就能在解析功能里發現一連串的漏洞，而解析功能一直都是極易造成漏洞的元兇，更甚者解析功能竟然是在系統權限下運行。

防病毒廠商覺得沙盒技術在防病毒產品中不適用，大多是因為它可能會影響性能。有些廠商宣稱他們采取了其他步驟，比如降低權限，進行定期安全評估，開發與沙盒技術同樣效果的其他技術等。

賽門鐵克正試圖減小其產品和服務的攻擊界面。該公司稱，其所采用的方法是將其安全組件以盡可能低的權限執行以減小成功攻擊的可能性。

卡巴斯基實驗室則稱，有效解決漏洞問題遠非只采用一種技術那么簡單。該公司采用了多種它認為可以提供最佳客戶防護的技術。比如說，采用機器學習算法有效利用起它所采集到的大量安全情報和知識。

‘沙盒’方法除了眾所周知的簡單性，還有很多嚴重不足，影響到程序性能、效率和兼容性。

英特爾安全即邁克菲則表示，一旦該得知潛在的問題，將立即對其有效性、屬性和嚴重性進行調查，并著手開發相應的修復程序。

沒人認為防病毒廠商在發現漏洞時修復不夠快。事實上，其中一些廠商擁有令人驚訝的響應時間，他們的產品也被默認配置為自動更新。但問題在于此類產品中一開始就存在的漏洞數量和類型。

賽門鐵克和英特爾安全都拒絕回答關于沙盒技術、針對防病毒產品攻擊的可能性、此類產品檢測針對性攻擊的有效性、或其他安全研究人員提出批評等具體問題。

防病毒廠商Bitdefender稱，類似谷歌提供的沙盒并不是安全產品中可行的工程解決方案。因為反惡意軟件解決方案必須能夠每秒攔截過濾上千個系統事件，沙盒機制將給系統帶來很嚴重的性能影響，或許會比操作系統廠商所能忍受的影響更大。

該公司宣稱其大部分產品組件，比如反惡意軟件引擎和主動威脅控制子系統，都已經只在登錄用戶的權限下運行，并正使用交換過程限制以系統權限運行的組件數量，甚至在針對個人消費的產品中也是這么做的。

Bitdefender開發了名為重力區域（Gravity Zone）的解決方案，允許管理員在網絡中另一臺主機上而不是在終端本身上運行掃描服務。最近他們還引入了基于虛擬機管理程序的內存反思（HVMI）技術，通過在操作系統外部的1型虛擬機管理程序中部署來完全隔離反惡意軟件解決方案。

這種隔離將反惡意軟件引擎與在用戶環境下運行的rootkit或漏洞利用完全分離開來。

防病毒產品帶來的巨大而簡單的攻擊界面以及針對性攻擊的可能性，引發了對于是否值得在某些企業環境中安裝此類程序的疑問。

當面對復雜而精心設計的惡意軟件程序，比如網絡間諜組織的APT攻擊，終端防病毒產品是否有效是值得懷疑的。一些安全研究人員認為，與面對的風險相比，回報幾乎可忽略不計，尤其是對那些容易被APT攻擊者盯上的公司而言。因此，也許防病毒產品只適合于非常小的公司和家庭用戶。

無論防病毒程序如何標榜自己的功能強大和酷炫，它也不能檢測出未知威脅，而規避防病毒檢測對大多數惡意軟件開發者而言都是小菜一碟，他們通常都會在發布惡意代碼前進行多種防病毒軟件的檢測。終端防病毒產品的批評者則認為，越來越內置于操作系統的安全防護措施最終將使防病毒產品過時淘汰。

事實上，一些防病毒廠商不得不暗中破壞操作系統內置的安全機制以使他們的產品能夠順利運行。比如最近剛曝光的一起事件，就是一個活生生的例子。

以色列數據防泄漏公司enSilo報告了一個在英特爾安全、卡巴斯基實驗室和AVG產品中發現的漏洞，此漏洞可關閉為其他應用程序設計的基于操作系統的反漏洞利用保護措施。

enSilo研究人員在技術文檔中描述，這些防病毒產品為屬于Adobe閱讀器和網頁瀏覽器等應用程序的用戶進程分配了一個具有可讀可寫可執行權限的內存頁面，這一行為可幫助攻擊者擊潰為第三方應用程序而設的Windows漏洞利用緩解機制，比如地址空間布局隨機化（ASLR）和數據執行保護（DEP），讓攻擊者更加容易地利用在這些程序中發現的漏洞。

終端防病毒程序可以在很大的程度上減少已知威脅，但其安全性也同時取決于這些威脅發生的可能性和防病毒產品本身的整體安全性。

人們應該慎重考慮什么安全軟件適合他們的環境，尤其是什么功能才是他們真正需要啟用的。企業購買防病毒產品的時候，應該核查候選廠商的安全記錄，查看他們處理影響自身產品漏洞的反應速度，以及這些漏洞的類型和嚴重性。不能因為覺得這是安全軟件就放松警惕，“安全軟件不安全”并非危言聳聽。

對惡意軟件的復雜性永遠不能低估，但同時也不是說防病毒產品就是無效的。在開發出全面檢測高級威脅和瞄準企業的針對性攻擊的綜合性策略之前，可以過濾和封鎖普通惡意軟件的傳統殺毒軟件也不可或缺。減少企業和個人數據被竊風險的唯一方法，就是綜合了傳統防病毒軟件和下一代防護工具、情報共享、安全服務、IT專業人員培訓和對硬軟件的定期安全評估的多層策略。

不可否認，確實有防病毒產品漏報惡意軟件樣本的案例，但與每時每刻都在大量涌現的惡意程序相比，漏報只是小概率事件。防病毒軟件還是擔當著過濾大部分惡意軟件的責任，也就是基于已知漏洞或已知惡意軟件樣本的過濾，然后再用安全意識程序之類的反惡意軟件解決方案來補足。

一種在高風險環境中可以替代防病毒程序的技術是應用程序白名單，這種技術只允許預先批準的應用程序在電腦上運行。美國國家標準與技術研究院（NIST）最近提倡使用這種在某些操作系統里默認可用的防護機制，甚至發布了一份帶推薦操作實踐的指南。

網絡邊界防護在保護企業環境免受內部和外部威脅方面也十分重要，比如說可以阻止數據滲漏嘗試。然而，用戶不應該假設網絡級安全設備就沒有漏洞。事實上，安全研究人員這些年里也在此類產品中發現了大量缺陷，在無監管的漏洞利用市場上也有此類漏洞的利用代碼在售。