AI輔助漏洞發掘導致CVE揭露量攀升趨勢2026
2026年以來,多家主要軟體供應商的CVE揭露數量顯著攀升,與AI輔助漏洞發掘工具逐漸成熟的趨勢相符。VulnCheck分析報告(2026-05-14)首先揭露此現象。
核心發現
- Chrome CVE揭露量年增563.2%(378筆)
- QNAP年增560%、VMware年增180.9%、Apache年增170.3%
- Microsoft 2026年揭露597筆CVE,年增18%
- TP-Link因基數極低,年增幅達8,000%
- 相對地,Intel年減50%、Qualcomm年減47.5%
- kernel.org為總量最高:1,617筆(但年減21.3%)
AI因素
Anthropic於2026年4月7日宣布Project Glasswing與Claude Mythos Preview,VulnCheck已開始追蹤疑似由Anthropic模型發掘的CVE清單。VulnCheck漏洞回報服務近月收到大量提交,品質改善且數量未減。
待解問題
此波高峰是短期現象(AI模型導入不同程式碼庫後的一次性掃描)還是長期趨勢,仍有待觀察。
企業建議
應假設漏洞回報與待處理清單可能持續增加,需提早修補、搭配威脅情報優先處理已確認遭利用的漏洞。
廠商案例(2026-05-21更新)
iThome 2026-05-21報導進一步彙整各廠商實際案例:Mozilla Firefox(Claude掃描後修補22+271個漏洞)、微軟MDASH系統(找出16個新漏洞含4個RCE)、GitHub(私下通報量增4倍)、Curl(5個回報中3個誤判,警示需人類審查)、Palo Alto Networks(多模型掃描,CVE量從每月<5個增至26個)。詳見 AI進入漏洞研究與通報生態Mozilla微軟GitHub與Curl案例。
來源文章
- ithome-2026-05-19-cve-disclosure-ai-vuln-discovery-175936 — 原始來源(VulnCheck報告)
- ithome-2026-05-21-ai-vuln-research-mozilla-microsoft-github-curl-175980 — 廠商案例補充(2026-05-21)
相關頁面
- vulncheck — 發布分析報告的資安研究機構
- anthropic — 開發Claude Mythos的AI公司,被認為是AI輔助漏洞發掘的推手之一
- AI進入漏洞研究與通報生態Mozilla微軟GitHub與Curl案例 — 詳細廠商案例分析