Historischer Anstieg: KI lässt Anzahl gemeldeter Sicherheitslücken explodieren

Künstliche Intelligenz stellt Softwareentwickler und IT-Admins auf der ganzen Welt vor neue Herausforderungen. Wie das globale Forum of Incident Response and Security Teams (First) in einem neuen Bericht(öffnet im neuen Fenster) schildert, werden allein für das Jahr 2026 bis zum Jahresende nach aktuellem Stand rund 66.000 neu registrierte CVE-IDs für Sicherheitslücken erwartet. Im Februar war noch ein Medianwert von 59.427 CVE-IDs prognostiziert worden.

"Damit sind die jährlichen Veröffentlichungen von Sicherheitslücken zum ersten Mal in der Geschichte auf dem besten Weg, die Marke von 70.000 zu erreichen", heißt es in der Meldung. Die Ursache für den rapiden Anstieg soll bei "intensiverer Sicherheitsforschung und verbesserten Meldepraktiken" liegen, aber auch am Einsatz von KI.

Der bevorstehende Wettlauf zwischen der KI-beschleunigten Erzeugung von Exploits und der KI-beschleunigten Erstellung von Patches werde eine der prägenden Sicherheitsdynamiken Ende 2026 sein, schreibt das First. Für Unternehmen sei es daher wichtig, schnell zu handeln, um dem KI-Einsatz potenzieller Angreifer etwas entgegensetzen zu können.

Wie viele CVE-IDs 2025 registriert wurden, erwähnt das First in seiner Meldung nicht. Anderen Quellen(öffnet im neuen Fenster) ist aber zu entnehmen, dass es knapp 48.000 waren. Dazu passt auch eine Angabe in der First-Prognosemeldung von Februar(öffnet im neuen Fenster), in der es heißt, 2026 werde voraussichtlich das erste Jahr mit mehr als 50.000 veröffentlichten CVE-IDs. Im Vergleich zum Vorjahr dürfte die Anzahl der Sicherheitslücken also um gut 30 bis 40 Prozent ansteigen, wenn nicht sogar noch mehr.

Die Anzahl der Github Security Advisories (GHSA) soll im Vergleich zum Vorjahr sogar um 449 Prozent angestiegen sein. Allerdings betont das First auch, dass die aktive Ausnutzung gemeldeter Lücken nicht im gleichen Umfang zugenommen hat. "Bei Filterung nach realem Risiko hat sich der Patch-Aufwand trotz des Anstiegs des Rohvolumens nicht wesentlich erhöht", heißt es.