多家軟體供應商2026年以來CVE揭露量攀升，Chrome大增563.2%，AI輔助漏洞發掘影響浮現

VulnCheck表示，自2026年初以來，該公司的漏洞回報服務收到大量提交通報，起初部分通報內容品質不高，但近幾個月回報品質已明顯改善，且整體數量並未減少。到了4月7日，AI模型業者Anthropic宣布Project Glasswing與Claude Mythos Preview後，相關討論也迅速聚焦於AI輔助漏洞發掘可能帶來的影響。

這也引發資安產業關注，AI輔助漏洞發掘究竟已發展到多大規模，以及這樣的變化會如何反映在公開漏洞揭露數量上。為了進一步掌握這類變化，VulnCheck研究人員開始追蹤疑似由Anthropic模型發掘的CVE，並整理相關清單，並回顧過去5年20家主要CVE編號授權機構（CVE Numbering Authorities，CNA）的CVE核發量。

圖片來源／VulnCheck

從主要軟體供應商的CVE統計圖表來看，2026年截至目前的揭露量並未全面同步上升，而是呈現明顯差異。若以揭露總量來看，Linux核心專案網站kernel.org以1,617筆居冠，但較去年同期減少21.3%；微軟則有597筆，年增18%。若以年增幅觀察，Chrome今年已揭露378筆CVE，年增563.2%；Mozilla為185筆，年增156.9%；VMware為59筆，年增180.9%；Apache為200筆，年增170.3%；HPE為72筆，年增132.3%；F5為62筆，年增113.8%。此外，QNAP年增560.0%、Canonical年增700.0%、TP-Link年增8,000%，雖然揭露總量相對較低，但增幅同樣明顯。

另一方面，Apple年減18.4%、IBM年減26.4%、Qualcomm年減47.5%、Intel年減50.0%、Fortinet年減38.9%，SAP與Android則持平，顯示不同供應商之間的揭露變化幅度不一。VulnCheck表示，這些跡象似乎顯示，新一代AI模型可能已讓軟體供應商與資安研究人員得以找出並修補更多原本可能被忽略的漏洞 ，但現階段仍難以將所有變化直接歸因於AI。

對企業而言，VulnCheck建議應假設漏洞回報與待處理清單可能持續增加，因此更需要提早修補、盡快更新版本，並搭配威脅情報，優先處理已出現實際濫用跡象，或高度可能遭利用的新興威脅。至於這波漏洞揭露高峰是否會持續下去，還是只是先進AI模型導入不同程式碼庫後形成的短期現象，仍有待觀察。