118 тысяч дыр в коде. В 2026 году интернет завалят сообщениями об уязвимостях

В 2026 году компании, отвечающие за управление уязвимостями, могут столкнуться с беспрецедентным объёмом новых записей, но это не значит, что интернет мгновенно станет опаснее. Проблема смещается от поиска новых дыр к тому, как быстро и точно отделять действительно критичные находки от потока малозначимых сообщений.

По прогнозу Forum of Incident Response and Security Teams (FIRST), в 2026 году число публично раскрытых уязвимостей может превысить 50 000 и в медианном сценарии приблизиться к 59 000. В более жёстких, но реалистичных вариантах оценка поднимается почти до 118 000, тогда как за 2025 год, по приведённым в материале оценкам, было зарегистрировано около 48 000 CVE. Авторы прогноза подчёркивают, что речь идёт не о резком росте возможностей атакующих, а о том, что индустрия лучше находит и фиксирует проблемы.

Представитель FIRST Эйрен Леверетт связывает рост с несколькими факторами. Увеличивается число команд и организаций, которые занимаются раскрытием уязвимостей, расширяется круг участников экосистемы CVE, а программы баг-баунти дополнительно стимулируют публикации.

Отдельно отмечается и более пристальное внимание к давно используемым кодовым базам, особенно в инфраструктурном open source, где многие ошибки существовали годами, но только теперь получают идентификаторы и попадают в статистику. FIRST также изменил подход к моделированию, учитывая перелом примерно с 2017 года, когда темпы публикаций заметно ускорились, и теперь предлагает планировать ресурсы по диапазонам, а не по одной цифре.

При этом увеличение количества CVE само по себе плохо описывает реальный риск для бизнеса. Технический директор Empirical Security Михаил Ройтман указывает, что эксплуатация живёт по другим законам и не обязана повторять динамику раскрытий, в том числе потому, что рабочие эксплойты могут появляться ещё до публикации идентификатора.

По данным Ройтмана, в 2025 году из десятков тысяч зарегистрированных уязвимостей лишь у небольшой части были публичные PoC-эксплойты, и ещё меньшая доля демонстрировала признаки эксплуатации в реальных атаках. Существенная часть CVE относится к нишевому ПО, потребительским устройствам или конфигурациям, которые не входят в приоритеты крупной организации, а многие теоретически пригодные для атаки ошибки остаются неинтересными злоумышленникам на фоне уже проверенных и тиражируемых вариантов.

Главный вызов, который видят в FIRST, скорее операционный. По оценке организации, основную угрозу формирует около 5% уязвимостей, но по мере роста общего потока становится сложнее стабильно находить именно эту небольшую долю. Ройтман подчёркивает, что нагрузку ещё можно выдержать, если обработка автоматизирована, но попытка переложить анализ десятков тысяч пунктов на людей быстро превращается в тупик. Поэтому на первый план выходят приоритизация, автоматический триаж и планирование ресурсов.

Отдельную тревогу вызывает роль ИИ. Инструменты на базе больших языковых моделей действительно ускоряют поиск дефектов в коде, но это не означает такого же скачка массовой эксплуатации. По логике Ройтмана, экономические и практические ограничения у атакующих сохраняются, поэтому они продолжают концентрироваться на небольшом наборе уязвимостей, которые дают предсказуемый результат. Параллельно защитники используют машинное обучение для оценки вероятности эксплуатации и отсечения «шума» на входе.

Рост числа раскрытий также усиливает давление на инфраструктуру уязвимостей. Обсуждается риск накопления очередей у участников экосистемы CVE, включая MITRE, National Vulnerability Database и организации, выступающие CVE Numbering Authorities.

Сотрудник RAND Саша Романоцки считает, что система скорее будет деградировать постепенно, чем «сломается», и часть записей просто начнёт обрабатываться с задержками или оставаться без полноценного обогащения. В результате организации могут чаще опираться на коммерческие инструменты и внутреннюю аналитику, а разрыв между зрелыми и незрелыми процессами управления уязвимостями станет заметнее.