Ciscoが公開した「State of AI Security 2026」レポートによると、AIを使ったサイバー攻撃が急増しており、脆弱性(CVE)の公開から24時間以内に悪用が開始されるケースが28.3%に達していることが明らかになりました。AI生成コードによる脆弱性の増加も指摘されており、同レポートは2026年を「AI支援攻撃の転換点」と位置づけています。
CVEとは共通脆弱性識別子(Common Vulnerabilities and Exposures)のことで、脆弱性が公開された直後から攻撃者がスキャン・悪用ツールを準備し始める「ウィンドウ期間」の短縮は長年の課題でした。数年前は公開から悪用開始まで数週間程度かかることが多かったのが、AIによる攻撃コード自動生成と大規模スキャンの組み合わせにより24時間以内という水準に達しています。これはベンダーがパッチを配布してユーザーが適用するまでの時間を大幅に下回っており、「パッチが間に合わない」状況が標準化しつつあることを意味します。またAIコード生成ツールが広く普及したことで、開発者が意図せず脆弱なコードをAIに書かせ、レビューなしにデプロイするケースも増加しているとCiscoは報告しています。
「パッチが出る前に脆弱性が悪用される時代」という危機感を示すセキュリティ専門家のコメントがX(旧Twitter)で多数見られます。r/cybersecurityでは「AI攻撃への防御にAIを使うという軍拡競争」の現実について議論が展開されており、防御側も同等の自動化ツールを持たない限り対応が困難になりつつあるという見方が広まっています。Hacker Newsでは「CVE公開24時間以内の悪用率28.3%」というデータへの驚きとともに、パッチリリース速度のベンダー間比較や、ゼロデイ脆弱性の情報共有体制の改善を求める声も上位に挙がっています。
AI支援攻撃の本格化は、企業のセキュリティ投資の優先順位を根本的に変えつつあります。定期的なパッチ適用サイクルから、リアルタイムの脅威検知・自動対応への移行を迫られており、EDR(Endpoint Detection and Response)やXDR(Extended Detection and Response)といったAI組み込みの防御ツールへの需要が急拡大しています。防御と攻撃の両面でAIが使われる時代、セキュリティの在り方そのものが問われています。