脆弱性対応の国際フォーラムFIRST(Forum of Incident Response and Security Teams)は2026年6月15日、AIによる脆弱性自動発見の急増により、年間CVE(共通脆弱性識別子)数が当初予測比+46.3%となり約6万6000件に達する見込みだと予測を大幅に上方修正しました。さらに深刻なのは速度の問題で、CVEの28.3%が開示後24時間以内に悪用されており、従来の「責任ある開示(Responsible Disclosure)」プロセスが機能不全に陥りつつあるとFIRSTは警告しています。
件数の増加よりもむしろ「開示後24時間で悪用」という数字が業界に衝撃を与えています。Hacker Newsでは「CVSSスコアで脆弱性の優先順位をつける従来手法がもはや通用しない」というコメントが上位を占めました。攻撃者側もAIを用いてパッチ解析や悪用コード生成を高速化しており、発見・開示・悪用のサイクルが人間の対応速度を超えてしまっているという現状がr/sysadminに投稿されたエンジニアの声として多くの共感を集めています。
この状況への対応として、パッチ管理のSLAを根本から見直すべきという議論がX上でトレンド入りしました。「24時間以内の悪用が前提なら、現行の月次パッチサイクルは意味をなさない」との指摘から、継続的な脆弱性評価(BAS:Breach and Attack Simulation)への予算移行が加速するとみられています。AIが攻撃側・防御側の双方で使われる結果として「脆弱性の軍拡競争」が加速するというシナリオは、もはや未来の話ではなくなっています。