2026年の脆弱性開示件数は、年初の予想を大きく上回るペースで増加し続けています。最初の数カ月間の累計はすでに当初の見通しを大幅に超えており、インシデント対応・セキュリティチームフォーラム(FIRST)は今年の年間CVE件数が66,000件近くに達すると予測しています。

その主な原因は一つの動向にあります。AIツールが自律的にソフトウェアの脆弱性を探索し始めており、しかもその性能が非常に高いのです。
「2026年の脆弱性の嵐を乗り越えられるチームは、すでに信頼できるネットワークを構築し、インテリジェンスを共有し、危機が訪れる前から対応を調整しているチームです」と、FIRSTのCEOであるクリス・ギブソン氏は述べています。
探索を担う機械
自律的な発見エージェントが、今や脆弱性開示のエコシステムの一部となっています。AnthropicのMythosや、OpenAIのGPT-5.4-Cyberが、発見される脆弱性の件数を押し上げています。
Mozillaはその実例を示しています。同社は年初にFirefoxの脆弱性開示が急増しましたが、これはAnthropicのProject Glasswingによるものです。このプロジェクトはMythos PreviewエージェントとClaude Opus 4.6をブラウザエンジンの既存バグ探索に活用するものです。Mozillaのエンジニアは既存のファジングセットアップ上にハーネスを構築し、Firefox 150のリリースに向けて271件のバグを発見・修正しました。同様のパターンが他のプロジェクトにも広がっています。
増加の一部は整理・管理作業によるものです。GitHubセキュリティアドバイザリとVulnCheckはいずれもカタログ化作業を拡大し、過去の記録を遡及的に補完しており、これが合計数を膨らませています。世界のソフトウェアの純粋な増加も件数に影響しており、初めて本格的なセキュリティ審査を受けるオープンソースプロジェクトの増加も一因となっています。
雨と洪水
研究者たちは状況を正しく把握するために気象の比喩を用います。殺到する開示情報はすべて大雨に例えられます。一方、実際に家を浸水させる恐れがある水は、それよりはるかに少ないものです。
その少数のグループは、攻撃者がすでに実際に悪用しているバグや、近い将来に悪用される可能性が最も高いバグで構成されています。急増するCVEをそのセットに絞り込めば、パッチ適用の負担は一定に保たれます。2026年のCVEのうち、防御側が迅速に対応しなければならないレベルに達するものはごく一部であり、その割合は年間を通じて安定しています。課題は、そのシグナルをノイズの中から抽出することにあります。
攻防両面の競争
防御的なAIが攻撃的なAIと並行して登場しています。OpenAIのGPT-5.4-Cyberは、より高速なエクスプロイト生成に対する防御側の対抗手段となっており、予測では攻撃的な技術が引き続き防御用途に転用されると見込まれています。2026年後半を決する争いは、AIが生成するエクスプロイトの速度と、AIが生成するパッチおよび検知シグネチャの速度との競争になるでしょう。
メンテナーにとって、ここには活用すべき機会があります。発見が速くなることで、根本的な脆弱性の検証と修正に労力を集中できるようになり、開発プロセスから脆弱性のカテゴリーごと排除するチャンスが生まれます。
データベースが見落とす領域
AIアシスタントはオンデマンドでコードを生成・デプロイし、使い捨てのアプリケーションを量産しています。これらはCVEレジストリが把握できない脆弱性を内包していることが多く、国家データベースには登録されないまま、それらを実行するシステム内で現実のリスクを生み出しています。これらの要素を出現時点で追跡するためには、動的なカタログ化、AIソフトウェア部品表(AI BOM)、そしてランタイムモニターが必要です。
ボトルネックは人的リソース
制約は人的キャパシティにあります。AIはアナリストが検証・調整・修正できる数をはるかに超える脆弱性を発見でき、検知シグネチャを書くのは依然として人間の仕事です。公開件数が落ち込む時は、インターネットが安全になったのではなく、担当者が休暇を取ったり病気になったりしているサインであることが多いです。
資産所有者へのアドバイスは、ソフトウェアの増加を考慮した予算計画を立てることです。脆弱性を抱える製品の種類の拡大は、バグ件数そのもの以上に作業負荷を増大させるためです。ソフトウェアベンダーはCVEの増加を直接受け、1リリースあたりより多くの修正を出荷する計画を立てるべきです。コードを保守するチームは、おおよそ2倍の作業量に備える必要があります。本番システムへのパッチ適用を担うチームは、2026年末まで安定した負荷が続くと想定しておくべきでしょう。
翻訳元: https://www.helpnetsecurity.com/2026/06/15/first-2026-cve-forecast/