AI輔助漏洞發掘導致CVE揭露量攀升趨勢2026

2026年以來,多家主要軟體供應商的CVE揭露數量顯著攀升,與AI輔助漏洞發掘工具逐漸成熟的趨勢相符。VulnCheck分析報告(2026-05-14)首先揭露此現象。

核心發現

  • Chrome CVE揭露量年增563.2%(378筆)
  • QNAP年增560%、VMware年增180.9%、Apache年增170.3%
  • Microsoft 2026年揭露597筆CVE,年增18%
  • TP-Link因基數極低,年增幅達8,000%
  • 相對地,Intel年減50%、Qualcomm年減47.5%
  • kernel.org為總量最高:1,617筆(但年減21.3%)

AI因素

Anthropic於2026年4月7日宣布Project Glasswing與Claude Mythos Preview,VulnCheck已開始追蹤疑似由Anthropic模型發掘的CVE清單。VulnCheck漏洞回報服務近月收到大量提交,品質改善且數量未減。

待解問題

此波高峰是短期現象(AI模型導入不同程式碼庫後的一次性掃描)還是長期趨勢,仍有待觀察。

企業建議

應假設漏洞回報與待處理清單可能持續增加,需提早修補、搭配威脅情報優先處理已確認遭利用的漏洞。

廠商案例(2026-05-21更新)

iThome 2026-05-21報導進一步彙整各廠商實際案例:Mozilla Firefox(Claude掃描後修補22+271個漏洞)、微軟MDASH系統(找出16個新漏洞含4個RCE)、GitHub(私下通報量增4倍)、Curl(5個回報中3個誤判,警示需人類審查)、Palo Alto Networks(多模型掃描,CVE量從每月<5個增至26個)。詳見 AI進入漏洞研究與通報生態Mozilla微軟GitHub與Curl案例

來源文章

相關頁面