初步数据令人警觉。根据事件响应与安全团队论坛(FIRST)发布的2026年漏洞预测,今年公开的CVE数量可能达到约6.6万个。这一修正后的数字较最初预测高出46.3%,超出6400余个CVE。但FIRST呼吁防御者保持冷静而非恐慌。
一、数量激增的根源
漏洞数量激增,根源在于软件缺陷挖掘模式发生结构性变革。2026年漏洞预测将此刻称为“AI纪元”,并指出原始发现量已不能反映真实风险。
FIRST用一组数据佐证这一观点:虽然产品版本更新节奏保持稳定,但每个版本附带的CVE数量明显增加。换言之,“每个版本更新伴随更多CVE”正在成为新常态。
二、AI驱动漏洞发现革命
自主AI漏洞狩猎成为最大推手。报告特别指出Anthropic的Mythos Agent和OpenAI的GPT-5.4-Cyber是关键驱动力,使得已识别缺陷数量呈指数级增长。人工智能技术在漏洞挖掘领域的深度应用,正在彻底改变安全研究的效率边界。
典型案例来自Mozilla:今年第一季度漏洞披露量暴涨164%。FIRST将此归因于Anthropic的“玻璃翼项目”——该项目采用未发布的Mythos Preview Agent,最终为Firefox 150版本识别并修复了271个漏洞。
非AI的结构性因素
除了AI,其他结构性因素也在抬高总量:GitHub安全公告在扩充管理团队后同比增长449%;VulnCheck作为“最后手段CNA”处理积压未分配漏洞时,增长率更是达到惊人的3119%。全球软件规模的自然扩张同样不可忽视,因此2026年漏洞预测反映的远不止工具智能化。
三、降雨与洪水:数量不等于风险
报告通过形象的“降雨vs洪水”类比区分总量与可操作风险——倾盆大雨象征所有公开的CVE,而洪水仅代表真正威胁现网系统的缺陷。
应用可利用性叠加分析后,情况明显缓和:2026年CVE中仅约6.5%被列入CISA已知可利用漏洞目录,或EPSS评分超过10%。因此报告强调:“尽管总量上升,实际洪水风险并未改变。”
不过,攻击面仍在持续扩大:2026上半年新增的CPE字符串数量已达历史峰值的2.6倍。这意味着,不仅CVE数量在增多,易受攻击产品的种类多样性也在加重运维负担。
四、人力成为新瓶颈
当发现漏洞不再是限制因素时,真正的瓶颈是什么?FIRST指出答案是人类——验证、协调和修补每个发现的人力容量才是制约。安全与渗透领域的团队还预见到漏洞利用检测特征编写的资源紧张,毕竟分析师仍需休假且可能抱病。
防御型AI或许能缓解压力。像GPT-5.4-Cyber这类专用模型可大幅缩短平均修复时间。因此2026年末的焦点可能演变为AI加速攻击与AI加速修补之间的竞赛。
五、新型安全盲区与防御建议
预测还警告了“瞬时即时软件”带来的风险。这些按需部署的AI生成定制应用很少进入CVE登记系统,却会带来真实的局部风险。为此FIRST建议通过AI-BOM和运行时监控实现动态编目。
报告最后给出实用建议:软件维护者应做好每个安全版本发布更多补丁的准备;资产所有者则需围绕软件增长而非原始CVE数量制定预算;最重要的是团队应利用可利用性叠加分析,使分析师专注真正威胁。这份报告的核心要义正是这种冷静、数据驱动的应对姿态。
参考来源:
AI Drives 2026 Vulnerability Forecast to 66K CVEs, But Risk Stays Flat
https://securityonline.info/2026-vulnerability-forecast/ | 
发表于 5 小时前
|
查看: 4|
回复: 0
