2026 年的漏洞世界,恐怕要用“量级翻倍”来形容。国际资安应变组织 FIRST 在丹佛举行第 38 届年会期间,公布《2026 年年中漏洞预測报告》,直言今年登记在案的 CVE 漏洞数量将冲向约 66,000 个,较原先 2 月预估的 59,427 个再次上修。更要命的是,1 至 4 月已出现超出预期约 6,420 个漏洞的现实披露量,增幅高达 46.3%。
不过,FIRST 强调:这轮“爆量”不等同于软件安全性全面变差。真正的驱动力来自漏洞发现与回报机制的结构性变化。报告点出三股力量正在重塑生态:其一,AI 辅助漏洞挖掘让找洞效率提升,更多研究者能更快形成可提交的结果;其二,GitHub 等开源平台的安全通报量在去年同期基础上暴增 449%,让漏洞更容易被看见、被追踪;其三,所谓“最后手段 CNA”(CNA-of-Last-Resort)在积极消化积压案量,核发漏洞编号的速度明显加快,年增率甚至达到 3,119%,把大量此前未分配的 CVE 重新纳入体系。
面对数字上升,FIRST 给出的关键提醒是:被利用或具有高度威胁的漏洞比例,并没有随着 CVE 总量同步扩大。换句话说,资安团队真正需要改变的不是“盯住所有漏洞”,而是“提高筛选与修复效率”。因此,FIRST 提出四项应对建议。
第一,从软件资产类别快速膨胀的角度,重新校准预算与资源投入,把精力优先放在最可能带来风险的面向。第二,立刻使用 EPSS 与 CISA KEV 等工具进行可利用性筛选,在海量“噪声”中锁定关键威胁。第三,提前规划修补工作量:预计补丁节奏可能变密集,若缺乏排程与验证流程,容易在高峰期被拖垮。第四,引入防御性 AI 工具以缩短平均修复时间(MTTR),提升从发现到上线的整体闭环能力。
当 CVE 总量冲高只是表象,真正的战场在“如何更快、更准、更可控地止血”。
