概要

インシデント対応・セキュリティチームの国際フォーラムFIRST(Forum of Incident Response and Security Teams)は、2026年のCVE(共通脆弱性識別子)登録件数が約66,000件に達するとの予測を発表した。この数字は年初の予測を大きく上回るもので、AnthropicのMythosやOpenAIのGPT-5.4-Cyberといった自律型AIエージェントがソフトウェアの脆弱性を独自に発見・報告するようになったことが主な要因とされている。

AIエージェントによる脆弱性発見の実例

この傾向を示す具体的な事例として、MozillaがAnthropicのProject Glasswingを活用したケースが挙げられる。同プロジェクトはFirefox 150のリリースに向けた検証プロセスで271件のバグを検出・修正したとされ、AI自律エージェントが実際の製品開発サイクルに組み込まれた形で大量の脆弱性を発見できることを示した。GitHub Security AdvisoriesやVulnCheckなどのプラットフォームもCVEカタログの拡張・補完(バックフィル)を進めており、登録件数の増加に寄与している。

人間の検証能力がボトルネックに

FIRST CEOのChris Gibsonは「信頼できるネットワークと情報共有が、2026年の脆弱性嵐を乗り切る鍵となる」と述べ、コミュニティ間の連携強化を訴えた。最大の課題はCVEの登録数ではなく、人間のセキュリティアナリストによる検証・トリアージ・パッチ適用のスピードが追いつかないことにある。AIが生成した一時的なアプリケーションや短命なコードに存在するバグがCVEデータベースの外に大量に蓄積される問題も新たに浮上しており、ソフトウェア全体の量的増大が作業負荷をさらに増加させている。研究者はこの状況を「大雨と洪水」に例え、多くのCVEは実質的なノイズである一方、実際に悪用されるリスクを持つ脆弱性は限られたグループに集中すると指摘する。

攻防AIの速度競争と今後の展望

防御側でもAIの活用が進んでおり、攻撃型AIと防御型AIの「速度競争」が2026年後半の焦点になると見られている。開発段階での脆弱性除去にAIを活用する取り組みが拡大しており、パッチ適用の上流化による負荷軽減が期待される。実装チームは作業量の倍増に備える必要があるが、パッチ適用チームへの負荷は比較的安定して推移するとの見方もある。AIによる脆弱性発見の民主化が進む一方、その成果を安全に処理・対処するための体制整備が業界全体の急務となっている。