2026年CVE漏洞数量可能首次突破10万个

据事件响应与安全团队论坛（First）的年度漏洞报告预测，2026年公开披露的通用漏洞披露（CVE）总数将轻松超过5万个，并可能首次达到6位数。

First在其最新预测中表示，今年CVE数量90%置信区间的上限实际上接近11.8万个，根据数据显示，7万到10万个披露漏洞的现实情景"完全可能"发生。该机构预计2026年的中位数最可能在5.9万个左右。

First表示，无论最终数字如何，都突显了组织扩大安全运营规模并战略性地优先考虑漏洞响应和补丁实践的"紧迫需求"。

First漏洞预测团队首席联络员兼主要成员Eireann Leverett表示："组织现在需要问的问题是：我的人员和流程是否准备好处理这种规模的漏洞，我是否优先考虑了真正威胁数据安全的漏洞？"

"我们的预测让防护者不再对每个新CVE被动反应，而是在攻击者利用漏洞之前，就有限资源的重点投放做出战略决策。"

5万漏洞的关键问题

在2025年报告中，First预测范围的高端达到5万个CVE，分析师预计今年将轻松超过这个数字。这部分归因于开源软件（OSS）的快速采用以及AI工具在漏洞发现中的使用。年内，vibecoding现象的出现可能也产生了影响。

事实上，First的预测相当准确。Leverett透露，在2025年12月31日刚好超过上置信标记，最终观察到的CVE总数为49,972个，仅比神奇数字少28个。

然而，理想情况下，上置信点应该落在2026年某个时候，中位置信点应在新年前夕，因此First已经审查了其未来的方法和methodology。这是否意味着其2026年预测将更加准确还有待观察。

Leverett告诉《计算机周刊》："我们的新预测方法允许非对称置信区间。这意味着我们考虑到发布数量更可能超过去年而不是低于去年。"

"所以虽然我们预期数字接近6万，但有10%的机会超过11.8万。这主要是统计学问题，但也涉及新兴技术的讨论以及它们如何扩展可能数字的范围，这让我们更愿意发布这个建模结果。"

下一步行动

虽然乍看之下First的年度CVE报告可能只是一个有趣的统计标记，但该预测为安全部门规划补丁容量、编写协调披露或为SIEM、EDR或IDS平台开发新检测签名时提供了潜在的关键规划工具。

Leverett表示："就像城市规划者在委托新基础设施之前考虑人口增长一样，安全团队也需要了解他们需要处理的漏洞的可能数量和形态。"

"为3万个漏洞做准备和为10万个漏洞做准备的差异不仅是操作层面的，更是战略层面的。"

无论最终面临5万还是10万个CVE，终端用户组织的安全领导者都应记住，并非每个缺陷都会影响每个业务，他们可以立即开始工作以应对这个问题。

一个强有力的起点是评估组织是否拥有处理如此多问题的人员、流程和能力。准备充分的首席信息安全官会为中位预测做好准备，同时也会为高数量情景制定应急计划。

安全专业人员还需要掌握无情优先排序的艺术，专注于对其特定IT资产构成最大风险的缺陷，而不仅仅是那些CVSS评分最高的漏洞。

最后，领导者应该将外部漏洞预测与自己的资产清单相结合，进行特定供应商和产品的准备。

First首席执行官Chris Gibson表示："没有公司能够独立解决漏洞和网络安全问题。恢复最快的组织是那些已经建立了可信网络、在危机来临前共享威胁情报并协调响应的组织。"

Q&A

Q1：CVE漏洞数量预计在2026年会达到多少？

A：根据First的预测，2026年CVE数量的中位数预计约为5.9万个，但现实情景可能达到7万到10万个，90%置信区间的上限甚至接近11.8万个，这将是历史上首次可能突破6位数。

Q2：为什么CVE漏洞数量增长如此快速？

A：主要原因包括开源软件的快速采用、AI工具在漏洞发现中的广泛使用，以及vibecoding现象的出现。这些技术发展加速了漏洞的发现和披露过程。

Q3：组织应该如何应对CVE数量的大幅增长？

A：组织需要评估是否有足够的人员、流程和容量处理大量漏洞，掌握ruthless优先排序技术，重点关注对特定IT资产风险最大的漏洞，而非仅看CVSS评分，同时结合外部预测和自身资产清单制定针对性准备计划。