2026 год, согласно новому прогнозу, может стать переломным для всей экосистемы кибербезопасности, поскольку ожидаемое число зарегистрированных уязвимостей CVE впервые превысит планку 50 тыс., что фактически зафиксирует рекордный объём проблем в программном обеспечении за один календарный год и задаст новый масштаб нагрузки для специалистов по защите.
По оценке FIRST, количество новых записей CVE в 2026 году способно не просто приблизиться к рекорду, а заметно его превзойти. В среднем аналитики ожидают около 59 427 уязвимостей за год, при этом диапазон возможных значений выглядит пугающе широко и тянется от 30 012 до 117 673. Такой разброс не выглядит фантазией, а отражает реальную нестабильность темпов раскрытия проблем в современном ИТ-ландшафте.
Прогноз опубликован 11 февраля и основан на обновлённой статистической модели, которую специалисты FIRST адаптировали под разные сценарии раскрытия информации. В расчётах использовались массивы исторических данных о CVE, а также динамика публикаций из Национальной базы данных уязвимостей США и архивов MITRE. Модель уже проходила обкатку на прогнозе за 2025 год и показала достаточно скромную погрешность, около 7,48% в годовом разрезе и 4,96% по итогам 4 квартала.
Если оценки оправдаются, 2026 год станет первым периодом, когда число официально опубликованных CVE превысит 50 тыс., что в FIRST называют важной исторической точкой для всей системы раскрытия уязвимостей. При этом в отчёте прямо говорится, что при реалистичных сценариях рынок может увидеть и более радикальные цифры, вплоть до 70 000–100 000 новых записей всего за 12 месяцев.
На этом кривая не собирается выравниваться. Аналитики FIRST закладывают дальнейший рост и после 2026 года. Медианное значение прогноза на 2027 год составляет около 51 018 CVE, на 2028 год уже 53 289, а верхняя граница сценариев к 2028 году подбирается к почти 193 тыс. уязвимостей, что выглядит как стресс-тест для всей индустрии информационной безопасности.
В самой FIRST поясняют, что подобные оценки задумывались как практичный инструмент планирования для команд безопасности по всей отрасли. По мнению организации, подобная статистика должна помогать более взвешенно распределять ресурсы и принимать стратегические решения, а не метаться от отчёта к отчёту.