文章总结： 2026年漏洞预测显示AI技术将推动CVE数量激增至6.6万个，但实际风险保持稳定。报告指出AI漏洞狩猎工具如MythosAgent和GPT-5.4-Cyber是主要驱动因素，而人类验证能力成为新瓶颈。建议防御者采用AI-BOM和运行时监控，并通过可利用性分析优先处理真实威胁。 综合评分： 85 文章分类： 漏洞预警,AI安全,漏洞分析,安全运营,威胁情报

2026年漏洞预测：AI推动CVE数量激增至6.6万

FreeBuf

2026年6月18日 18:00 上海

在小说阅读器读本章

去阅读

初步数据令人警觉。根据事件响应与安全团队论坛（FIRST）发布的2026年漏洞预测，今年公开的CVE数量可能达到约6.6万个。这一修正后的数字较最初预测高出46.3%，超出6400余个CVE。但FIRST呼吁防御者保持冷静而非恐慌。

Part01

数量激增的根源

漏洞数量激增，根源在于软件缺陷挖掘模式发生结构性变革。2026年漏洞预测将此刻称为”AI纪元”，并指出原始发现量已不能反映真实风险。

FIRST用一组数据佐证这一观点：虽然产品版本更新节奏保持稳定，但每个版本附带的CVE数量明显增加。换言之，”每个版本更新伴随更多CVE”正在成为新常态。

Part02

AI驱动漏洞发现革命

自主AI漏洞狩猎成为最大推手。报告特别指出Anthropic的Mythos Agent和OpenAI的GPT-5.4-Cyber是关键驱动力，使得已识别缺陷数量呈指数级增长。

典型案例来自Mozilla：今年第一季度漏洞披露量暴涨164%。FIRST将此归因于Anthropic的”玻璃翼项目”——该项目采用未发布的Mythos Preview Agent，最终为Firefox 150版本识别并修复了271个漏洞。

非AI的结构性因素

除了AI，其他结构性因素也在抬高总量：GitHub安全公告在扩充管理团队后同比增长449%；VulnCheck作为”最后手段CNA”处理积压未分配漏洞时，增长率更是达到惊人的3119%。全球软件规模的自然扩张同样不可忽视，因此2026年漏洞预测反映的远不止工具智能化。

Part03

降雨与洪水：数量≠风险

报告通过形象的”降雨vs洪水”类比区分总量与可操作风险——倾盆大雨象征所有公开的CVE，而洪水仅代表真正威胁现网系统的缺陷。

应用可利用性叠加分析后，情况明显缓和：2026年CVE中仅约6.5%被列入CISA已知可利用漏洞目录，或EPSS评分超过10%。因此报告强调：”尽管总量上升，实际洪水风险并未改变。”

不过，攻击面仍在持续扩大：2026上半年新增的CPE字符串数量已达历史峰值的2.6倍。这意味着，不仅CVE数量在增多，易受攻击产品的种类多样性也在加重运维负担。

Part04

人力成为新瓶颈

当发现漏洞不再是限制因素时，真正的瓶颈是什么？FIRST指出答案是人类——验证、协调和修补每个发现的人力容量才是制约。团队还预见到漏洞利用检测特征编写的资源紧张，毕竟分析师仍需休假且可能抱病。

防御型AI或许能缓解压力。像GPT-5.4-Cyber这类专用模型可大幅缩短平均修复时间。因此2026年末的焦点可能演变为AI加速攻击与AI加速修补之间的竞赛。

Part05

新型安全盲区与防御建议

预测还警告了“瞬时即时软件”带来的风险。这些按需部署的AI生成定制应用很少进入CVE登记系统，却会带来真实的局部风险。为此FIRST建议通过AI-BOM和运行时监控实现动态编目。

报告最后给出实用建议：软件维护者应做好每个安全版本发布更多补丁的准备；资产所有者则需围绕软件增长而非原始CVE数量制定预算；最重要的是团队应利用可利用性叠加分析，使分析师专注真正威胁。这份报告的核心要义正是这种冷静、数据驱动的应对姿态。

参考来源：

AI Drives 2026 Vulnerability Forecast to 66K CVEs, But Risk Stays Flat

AI Drives 2026 Vulnerability Forecast to 66K CVEs, But Risk Stays Flat

推荐阅读

#

#

#

#

#

#

#

#

#

#

#

#

#

#

#

电报讨论

#

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《2026年漏洞预测：AI推动CVE数量激增至6.6万》