AI催生漏洞爆发：2026年CVE预计突破6.6万大关

初步数据令人警觉。根据事件响应与安全团队论坛（FIRST）发布的2026年漏洞预测，今年公开的CVE数量可能达到约6.6万个。这一修正后的数字较最初预测高出46.3%，超出6400余个CVE。但FIRST呼吁防御者保持冷静而非恐慌。

Part01

数量激增的根源

漏洞数量激增，根源在于软件缺陷挖掘模式发生结构性变革。2026年漏洞预测将此刻称为"AI纪元"，并指出原始发现量已不能反映真实风险。

FIRST用一组数据佐证这一观点：虽然产品版本更新节奏保持稳定，但每个版本附带的CVE数量明显增加。换言之，"每个版本更新伴随更多CVE"正在成为新常态。

Part02

AI驱动漏洞发现革命

自主AI漏洞狩猎成为最大推手。报告特别指出Anthropic的Mythos Agent和OpenAI的GPT-5.4-Cyber是关键驱动力，使得已识别缺陷数量呈指数级增长。

非AI的结构性因素

Part03

降雨与洪水：数量≠风险

报告通过形象的"降雨vs洪水"类比区分总量与可操作风险——倾盆大雨象征所有公开的CVE，而洪水仅代表真正威胁现网系统的缺陷。

应用可利用性叠加分析后，情况明显缓和：2026年CVE中仅约6.5%被列入CISA已知可利用漏洞目录，或EPSS评分超过10%。因此报告强调："尽管总量上升，实际洪水风险并未改变。"

Part04

人力成为新瓶颈

当发现漏洞不再是限制因素时，真正的瓶颈是什么？FIRST指出答案是人类——验证、协调和修补每个发现的人力容量才是制约。团队还预见到漏洞利用检测特征编写的资源紧张，毕竟分析师仍需休假且可能抱病。

防御型AI或许能缓解压力。像GPT-5.4-Cyber这类专用模型可大幅缩短平均修复时间。因此2026年末的焦点可能演变为AI加速攻击与AI加速修补之间的竞赛。

Part05

新型安全盲区与防御建议

报告最后给出实用建议：软件维护者应做好每个安全版本发布更多补丁的准备；资产所有者则需围绕软件增长而非原始CVE数量制定预算；最重要的是团队应利用可利用性叠加分析，使分析师专注真正威胁。这份报告的核心要义正是这种冷静、数据驱动的应对姿态。

参考