摘要
2026 年 6 月 15 日,事件响应与安全团队论坛(FIRST)在第 38 届年会上发布了年中漏洞预测更新:2026 年全年 CVE 披露数量预计将达到约 66,000 个,较 2 月预测中位数 59,427 大幅上调,且前四个月实际数据已超出原预测 46.3%。AI 驱动的自主漏洞发现工具——尤其是 Anthropic 的 Claude Mythos Preview 和 OpenAI 的 GPT-5.4-Cyber——正在以前所未有的速度挖掘软件漏洞,而人类安全团队的修补能力远远跟不上这一节奏。本文梳理数据背后的结构性矛盾,并探讨其对行业运作模式的深远影响。
66,000 个 CVE:一个被 AI 重塑的漏洞生态
过去的十年里,全球 CVE 年披露量大致稳定在 25,000 至 30,000 区间。即便在 2020 至 2025 年间 NIST 报告 CVE 提交量增长了 263%,年总量也从未逼近 70,000 这条线。但 2026 年正在打破所有既有预期。
根据 FIRST 在丹佛发布的年中预测,2026 年 CVE 实际披露量已远超年初模型。FIRST 漏洞预测团队使用 ExponentialSmoothing 模型对 2020 年 1 月至 2026 年 4 月的每日 CVE 发布数据进行训练,发现截至 4 月已有 6,420 个超额 CVE 被记录,全年预测值从 2 月的 59,427 上调至约 66,000。这是历史上首次年漏洞披露量逼近 70,000 大关。
FIRST 将这一激增归因于三个结构性驱动因素:AI 辅助漏洞发现、GitHub Security Advisory(GHSA)年同比增长 449%、以及 VulnCheck 的 CNA-of-Last-Resort 活动暴增 3,119%(吸收了此前大量未分配漏洞的积压)。其中,AI 辅助发现是最具颠覆性的变量。
FIRST 联络官兼漏洞预测团队负责人 Éireann Leverett 对此评论道:"我们正在见证漏洞格局的重大转变,不是因为软件突然变得更不安全,而是因为我们集体发现漏洞的能力已经被结构性改造。防御者面临的挑战不再是漏洞的发现,而是以行业前所未有的规模去验证、协调和优先级排序这些漏洞。"
值得注意的是,FIRST 提出了一个"雨与洪水"的区分:原始 CVE 总量确实在飙升,但经过 CISA KEV 目录或 EPSS 评分(高于 10%)过滤后,真正需要紧急修补的漏洞数量并未同比例增长。这意味着安全团队如果使用基于可利用性的分层工具,仍可在不按比例扩充人员的情况下管理风险敞口。但这一窗口期可能不会持续太久——随着对抗性 AI 的成熟,AI 加速漏洞利用与 AI 加速补丁生成之间的竞赛,将成为 2026 年下半年最核心的安全动态。
Project Glasswing:一个模型单月发现量匹敌人类一年
如果说 FIRST 的预测描绘了宏观趋势,那么 Anthropic 的 Project Glasswing 则是这一趋势最生动的微观注脚。
2026 年 4 月 7 日,Anthropic 联合 AWS、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、Linux 基金会、Microsoft、NVIDIA 和 Palo Alto Networks 等合作伙伴,共同发起了 Project Glasswing 计划,目标是在 AI 驱动的网络攻击时代到来之前,为防御者建立持久的优势。
该计划的核心是 Claude Mythos Preview——一个未公开的、具备通用能力的前沿模型,其代码理解和推理能力在多个基准测试中远超 Anthropic 此前最强的 Opus 4.6。在 CyberGym 网络安全漏洞复现任务中,Mythos Preview 达到 83.1%,而 Opus 4.6 为 66.6%;在 SWE-bench Verified 上,Mythos Preview 达到 77.8%,Opus 4.6 则为 53.4%。
但真正令行业震动的是它在真实代码库中的表现。根据 Anthropic 的官方更新和 CyberScoop 的报道,Claude Mythos Preview 在单月部署中扫描了超过 1,000 个开源项目,标记出 23,019 个潜在漏洞,其中 6,202 个被评估为高危或严重级别。在 1,752 个经过独立审查的高危/严重发现中,超过 90% 被确认为真实有效——一个在漏洞研究领域前所未闻的确认率。
这一数字意味着什么?在 AI 前时代,全球所有人类漏洞研究者一年的发现量大约也在这个量级。而现在,一个 AI 模型在一个月内就能做到。
Mythos Preview 的发现不仅数量惊人,深度也令人警醒。它发现了 OpenBSD 中一个潜伏了 27 年的漏洞——OpenBSD 一直以安全性著称,被广泛用于防火墙等关键基础设施。它还在 FFmpeg 中发现了一个 16 年前的漏洞,而该漏洞所在的代码行已被自动化测试工具命中超过 500 万次却从未被标记。在 Linux 内核中,它自主发现并串联了多个漏洞,能够将普通用户权限提升至对机器的完全控制。
Anthropic 自身也承认:"修补此类漏洞的瓶颈在于人类进行分类、报告、设计和部署补丁的能力。"
结构性矛盾:发现是指数级的,修补是线性的
这里存在一个根本性的不对称。AI 漏洞发现工具的性能受算力、模型能力和部署规模驱动,理论上可以呈指数级增长。但人类安全团队的修补能力受限于人头数、工时和认知带宽——这些都不会翻倍。
Cloudflare 在使用 Mythos Preview 扫描其关键路径系统后,发现了 2,000 个漏洞,其中 400 个为高危或严重级别,误报率优于人类测试者。Mozilla 在 Firefox 150 版本中利用 Mythos Preview 发现并修复了 271 个漏洞,是此前版本使用 Anthropic 早期模型时发现量的十倍以上。多家合作伙伴报告称,部署 Mythos Preview 后漏洞发现率提升了超过十倍。
与此同时,FIRST 的数据显示,有漏洞的独立软件产品数量已经增长了两个数量级——这组增长独立于 AI 或 CNA 结构变化,纯粹反映了软件资产多样性本身的膨胀。再加上 AI 助手生成的"一次性代码"——这些代码可能包含漏洞却永远不会进入 CVE 注册表——传统扫描和补丁程序在结构上对这部分风险是盲目的。
Cloud Security Alliance、SANS Institute 和 OWASP 联合发布的一份报告得出了一个直白的结论:组织在短期内"很可能被压倒"——威胁行为者利用 AI 发现和利用漏洞的速度将超过防御者打补丁的速度。
Fable 5 禁令:在最需要防御工具时剥夺它们
正是在这一背景下,美国政府于 6 月 12 日对 Anthropic 的 Fable 5 和 Mythos 5 模型下达了出口管制指令,理由是未指明的国家安全关切。Anthropic 随后在全球范围内暂停了这两个模型的访问。
Fable 5 是 Anthropic 于 6 月 9 日发布的 Mythos 公开版本,内置了严格的护栏——在生物、化学和网络安全领域基本阻断了所有相关提示。许多安全研究者发现,Fable 5 的护栏严格到几乎拒绝任何与网络安全相关的提示。
这一禁令的导火索据报道是一份由 Amazon 研究人员撰写的未公开论文,声称展示了绕过 Fable 5 护栏的方法。但漏洞披露与赏金平台先驱 Katie Moussouris 在审阅该论文后指出,论文中描述的方法并非真正的越狱,而只是要求 Fable 修复包含已知公开漏洞和故意植入漏洞的开源代码——这正是防御性安全工作中最基本、最有价值的"发现-修复-测试"循环。
6 月 15 日,76 名网络安全专家——包括前 Facebook 安全主管 Alex Stamos、Bugcrowd 创始人 Casey Ellis、著名密码学家 Jon Callas、以及 Moussouris 本人——在 freefable.org 发表公开信,呼吁白宫解除对 Fable 和 Mythos 的出口管制。公开信写道:"在没有充分理由的情况下,将最好的能力从防御者手中夺走,而我们的对手正在快速进步,这是危险的。"
这一禁令的时间点尤其值得玩味。在 FIRST 预测 2026 年 CVE 将达 66,000 个的同一天,在 Anthropic 宣布 Project Glasswing 将扩展至 15 个国家约 150 个组织的两周之后,美国政府收紧了防御者获取最强大 AI 工具的渠道。无论禁令背后的国家安全理由是否成立,其实际效果是在漏洞积压呈指数增长之际,系统性地削弱了防御方的工具能力。
行业拐点:从"人修补"到"AI 辅助自动化修补"
综合上述数据,一个结论正在浮现:安全行业的运作模式必须发生根本性转变。
过去三十年,漏洞管理的核心范式是"人类发现-人类验证-人类修补"。即便有了自动化扫描工具,最终的决策权仍在人类分析师手中。但在 AI 每月可发现两万多个漏洞、年 CVE 总量冲向 66,000 的时代,这一范式已经不可持续。
FIRST 在其年中预测中明确建议组织"立即采用可利用性分层工具"(EPSS 和 CISA KEV),并"现在就开始投入防御性 AI 工具"。Anthropic 也在 4 月底推出了 Claude Security 公开测试版,使用 Claude Opus 4.8 扫描代码库并生成补丁,三周内修补了超过 2,100 个漏洞。
但仅靠少数几家 AI 公司的内部工具远远不够。整个行业需要在以下方向上加速:
- 自动化补丁生成与验证:AI 不仅应发现漏洞,还应能够生成、测试和部署补丁,压缩平均修复时间(MTTR)。
- 动态漏洞编目:AI 生成的一次性代码带来的漏洞需要运行时监控和 AI 物料清单(AI-BOM)来追踪,而非依赖静态 CVE 注册表。
- 安全不变式设计:从"逐个修补漏洞"转向消除整类攻击向量的安全架构设计——例如出口控制、正向执行控制和硬件支持的抗钓鱼认证。
- 跨组织协调:正如 FIRST CEO Chris Gibson 所言,"没有一个组织可以独自解决所有问题。能够在 2026 年的漏洞风暴中生存下来的团队,是那些已经建立了可信网络、在危机发生前就共享情报和协调响应的团队。"
漏洞债务正在以指数级速度累积。如果安全行业的应对方式仍然是"加人、加班、加预算"的线性模式,那么无论投入多少资源,差距只会越来越大。唯一的出路是让 AI 同时承担发现和修补的双重角色——而这意味着,政策制定者必须确保防御者能够获得最强大的 AI 工具,而不是在漏洞洪峰到来之际将它们锁在门外。
