2026 год по новому прогнозу может стать переломным для всей экосистемы кибербезопасности: ожидаемое число зарегистрированных уязвимостей CVE впервые превысит 50 тыс. Это зафиксирует рекордный объём проблем в ПО за один год и задаст новый масштаб нагрузки для специалистов по защите.
По оценке FIRST, количество новых CVE в 2026 году способно не просто приблизиться к рекорду, а заметно его превзойти. В среднем ожидается около 59 427 уязвимостей за год, при этом диапазон возможных значений широк: от 30 012 до 117 673. Такой разброс отражает нестабильность темпов раскрытия проблем в современном ИТ-ландшафте.
Прогноз опубликован 11 февраля и основан на обновлённой статистической модели FIRST, адаптированной под разные сценарии раскрытия информации. В расчётах использовались исторические данные о CVE, динамика публикаций из Национальной базы данных уязвимостей США и архивов MITRE. Модель проходила обкатку на прогнозе за 2025 год и показала погрешность около 7,48% в годовом разрезе и 4,96% по итогам 4 квартала.
Если оценки оправдаются, 2026 год станет первым периодом, когда число официально опубликованных CVE превысит 50 тыс. — в FIRST это называют важной исторической точкой. В отчёте отмечается, что при реалистичных сценариях рынок может увидеть и более высокие цифры — вплоть до 70–100 тыс. новых записей за 12 месяцев.
Рост не планируется останавливать и после 2026 года. Медианное значение прогноза на 2027 год — около 51 018 CVE, на 2028 — 53 289, а верхняя граница сценариев к 2028 году подбирается к почти 193 тыс. уязвимостей, что выглядит как стресс-тест для индустрии информационной безопасности.
В FIRST поясняют, что оценки задумывались как практичный инструмент планирования для команд безопасности: помогать более взвешенно распределять ресурсы и принимать стратегические решения, а не метаться от отчёта к отчёту.