近年来最严重的网络安全漏洞由阿里云发现，但未按国内规定及时上报工信部。由于可能涉及大范围网络被攻击风险，阿里云备受争议，并被工信部处罚。阿里云介绍，开源软件Log4j2引发的安全漏洞最早由阿里云的一名研发工程师发现。11月24日，阿里云安全团队按业界惯例，以邮件方式，向软件开发方美国阿帕奇基金会报告了这一漏洞，并请求帮助。阿帕奇基金会随后确认这是一个安全漏洞，并于12月17日向全球发布所有补丁。

国内PaaS企业灵雀云的总监费志明向财新解释，Log4j组件诞生的目的是更有效地管理与记录程序运行时产生的各种日志(log)，例如当系统发生错误时，通过有效地分类和分析日志，能够快速地定位和处理问题。这也意味着，Log4j作为Java语言中的重量级日志组件，已经深入到系统的各个部分。

此次的漏洞可以让攻击者利用此漏洞，通过Log4j2中的漏洞，实现远程的代码运行，直接绕过所有安全监控，让恶意者能够完成植入恶意软件等非法行为。“虽然它还没有形成巨量的攻击和恶意行为，但自己家门开着，总是让人担忧的，尤其是还有并没有意识到这一点的最终客户。”

来源：财新网