Die von Google erfassten 90 aktiv ausgenutzten Zero-Days verteilen sich ungleich auf die Hersteller. Microsoft führt die Statistik mit 25 Schwachstellen an, gefolgt von Google selbst mit 11, Apple mit 8 und Cisco mit 4. Betriebssysteme für Mobilgeräte und Desktops waren das häufigste Ziel; ihr Anteil stieg von 40 Prozent im Jahr 2024 auf 44 Prozent im Jahr 2025.

Die Zahl der Zero-Days in mobilen Geräten erhöhte sich von 9 Schwachstellen im Jahr 2024 auf 15 im Jahr 2025. Google weist allerdings darauf hin, dass bei mobilen Exploits häufig drei oder mehr Schwachstellen verkettet wurden, um ein einzelnes Angriffsziel zu erreichen. Die Zahl der Browser-Zero-Days geht dagegen weiter zurück. Das kann auf eine verbesserte Browser-Sicherheit hindeuten, ebenso aber darauf, dass Angriffe ausgefeilter und schwerer zu erkennen werden.

Einem konkreten Bedrohungsakteur ließen sich 42 der Zero-Days zuordnen. Erstmals stehen dabei kommerzielle Überwachungsanbieter (Commercial Surveillance Vendors, CSV) an der Spitze: Sie nutzten 15 Schwachstellen aus, drei weitere wurden als „wahrscheinlich CSV" eingestuft. Auf staatlich unterstützte Cyberspionagegruppen entfallen 12 Zero-Days, drei zusätzliche werden ebenfalls dieser Kategorie zugerechnet. Ein erheblicher Anteil dieser Lücken steht in Verbindung mit China.

„Im Einklang mit dem Trend, den wir seit fast einem Jahrzehnt beobachten, blieben Gruppen mit Bezug zur Volksrepublik China im Jahr 2025 im Vergleich zu anderen staatlichen Akteuren die produktivsten Nutzer von Zero-Day-Schwachstellen. Diese Gruppen, etwa UNC5221 und UNC3886, konzentrierten sich weiterhin stark auf Sicherheits-Appliances und Edge-Geräte, um dauerhaften Zugang zu strategischen Zielen aufrechtzuerhalten", heißt es im Bericht.

Mit 43 betroffenen Zero-Days erreichte der Anteil der Schwachstellen in Enterprise-Technologien einen Höchststand. Viele Angriffe richteten sich gegen Netzwerk- und Sicherheits-Appliances, um sich einen ersten Zugang zu verschaffen. Die verstärkte Ausnutzung von Sicherheits- und Netzwerkgeräten unterstreiche laut Google das kritische Risiko, das von vertrauenswürdiger Edge-Infrastruktur ausgehen kann; das Anvisieren von Unternehmenssoftware zeige den Wert stark vernetzter Plattformen, die privilegierten Zugriff auf Netzwerke und Datenbestände bieten.

Für 2026 erwartet Google einen zunehmenden Einsatz von künstlicher Intelligenz auf beiden Seiten: Angreifer dürften KI nutzen, um das Auffinden von Schwachstellen und die Entwicklung von Exploits zu beschleunigen, während Verteidiger sie einsetzen können, um unbekannte Schwachstellen proaktiv zu entdecken und zu beseitigen, bevor sie als Waffe genutzt werden.