2026年CVE數量恐破6.6萬個，FIRST國際資安應變組織提四項應對建議

報告分析指出，這波CVE數量暴增並非軟體安全性下降，而是反映漏洞挖掘技術與回報機制的結構性轉變。推動數量增長的三大因素包含：AI輔助漏洞挖掘重塑漏洞揭露生態、GitHub資安通報量較去年同期暴增449%，以及VulnCheck等「最後手段CNA」（CNA-of-Last-Resort）機構的漏洞編號核發數量呈現爆發式成長，年增率高達3,119%，吸收大量未分配CVE編號的漏洞。

面對2026年的漏洞挑戰，FIRST提醒，雖然CVE總量顯著上升，但實際被利用或有高度威脅的漏洞比例並未跟著總量一起增長，這代表資安團隊的應對邏輯並未改變。對此，FIRST提出四項建議：（一）應從軟體資產類型快速增加的角度，重新審視預算配置；（二）立即採用EPSS與CISA KEV等工具進行漏洞可利用性篩選，以從大量雜訊中辨識關鍵威脅；（三）針對可能倍增的修補工作量預先作準備與規畫；（四）應積極導入防禦性AI工具，以縮短平均修復時間（MTTR）。