CVE漏洞數量大增，FIRST進一步說明致災風險並未隨總量而增加的理由

若僅觀察漏洞總數，上述預測結果似乎令人擔憂。但根據FIRST預測團隊的分析，若進一步套用「漏洞可利用性的分析層」（Exploitability Overlay）進行過濾，會發現實際狀況比想像的情境更受到一定程度的控制。

數據顯示，雖然今年總量呈現激增的態勢，但那些出現在CISA KEV（已知被利用漏洞清單）中，或EPSS（漏洞利用預測評分系統）分數超過10%的高風險漏洞，其增長曲線其實相當平緩。對於資安團隊而言，這代表既有的應對策略仍然有效。

因此，FIRST強調，企業在面對排山倒海而來的漏洞通報時，應繼續採用EPSS與CISA KEV作為優先順序篩選的標準。而報告中所提到的「10% EPSS分數門檻」，主要是為了符合多數組織的風險胃納（Risk Appetite）能力，協助團隊精準鎖定最具槓桿效應（highest-leverage）、數量最少的高風險漏洞，盡快著手修補。

換言之，這項預測帶給資安防禦者的關鍵啟示在於：需要精準識別出那些真正會引發災難的「洪水訊號」。由於實際的洪水風險並未改變，企業只要能夠善用自動化工具進行風險評分，即便CVE總量持續創下新高，資安團隊仍能在不額外擴增人力成本的前提下，有效管理風險暴露，確保企業營運安全。