2026 年 Verizon DBIR 的主要发现结果：漏洞修复速度越慢，漏洞遭利用的速度就越快

2026 年《Verizon 数据外泄调查报告》(DBIR) 揭示了一个令人担忧的趋势：漏洞利用激增，成为头号初始入侵途径，而修复率却在恶化。

要点

1. 漏洞可利用性激增，已成为数据外泄的主要初始入侵途径，占研究期间数据外泄的 31%。
2. 安全团队的修补工作远远落在后面，过去一年，修补时间的中位数增加了 11 天。
3. 随着 AI 驱动的工具提高了漏洞发现和漏洞利用的速度和数量，暴露风险管理通过持续评估其攻击面、对风险进行优先级分析以及编排安全弱点的自动修复，帮助企业跟上步伐。

Verizon DBIR 报告有哪些作用

Verizon 的年度《数据外泄调查报告》（DBIR）自 2008 年首次发布以来，一直在帮助企业了解不断演变的网络威胁。在 2026 年版中，Tenable Research 就漏洞可利用性和漏洞修复趋势再次提供了丰富的数据。今年的发现结果描绘了一幅严峻的图景：与去年相比，企业面临的

漏洞披露与修复之间日益扩大的缺口，是当今网络安全领域最紧迫的挑战之一。安全团队已经不堪重负，既要应对不断增加的漏洞数量，又要应对补丁管理时间不足的问题。这一现实突出表明对全面暴露风险管理的迫切需求，这是一种战略性的、由 AI 驱动的主动安全方法，旨在通过持续评估攻击面、对风险进行优先级分析并编排自动化修复安全漏洞，助力企业降低网络风险。

2026 年 Verizon DBIR 概述和分析

2026 年 Verizon DBIR 发现，漏洞利用是最主要的初始入侵途径，占研究期间数据泄露事件的 31%。更令人担忧的是，修复时间的中位数从 32 天增加到了 43 天，增加了 34%。今年的发现结果描绘了一幅严峻的图景：由于企业的修复速度不断滞后，漏洞数量仍在滚雪球般增长。

CVE 数量持续激增，而 AI 加剧了这一趋势

CVE 计划当前报告了 351,000 多个注册的 CVE，而且 2026 年已预留了 21,500 多个 CVE，这表明漏洞数量持续呈爆发式增长态势。我们即将迎来又一个创纪录的 CVE 数量，这股漏洞洪流让人手本就捉襟见肘的安全团队陷入了极度窘迫的境地。随着补丁修复中位时间的拉长和漏洞利用时间的压缩，攻守双方在披露与修复之间的这场赛跑中，攻击者已然胜券在握。

这种局面恐怕即将急剧恶化。网络安全社区对 AI 驱动的漏洞发现工具（如 Anthropic 的 Claude Mythos）的担忧日甚一日，这些工具可以无可比拟的速度和规模，自动识别代码库中的安全漏洞。尽管此类工具对防守性安全团队颇具吸引力，但还暗含一个转折点：如果 AI 发现漏洞的速度超过了企业修复补丁的速度，那么本已不堪重负的补丁重担，恐将变得彻底无法收拾。

这种 AI 驱动的加速偏偏发生在最糟糕的节骨眼上。企业在修复漏洞方面本已举步维艰：Verizon 数据外泄调查报告发现，企业仅成功修复了 26% 的 KEV 漏洞。令人更为忧心的是，DBIR 指出，2025 年需要修复的 CISA KEV 漏洞数量激增近 50%，安全团队承受了更大的压力。

如果 AI 模型开始向 CVE 数据库倾泻大量新发现的漏洞，或者更糟的是，如果攻击者利用这些模型在防御者做出反应之前发现并利用零日漏洞，那么当前的修复危机很可能升级为传统基于修复的防御模式的系统性崩溃。

暴露风险管理势在必行

虽然漏洞利用事件凭借头号入侵途径占据了新闻头条，但它仅仅是暴露风险问题的冰山一角。值得注意的是，DBIR 特别强调，凭证滥用是另一个重要的威胁途径，这凸显漏洞并非孤立存在。凭据被盗可将一个中等严重性的漏洞转变为一个重要的攻击路径，而暴露的配置则可为攻击者提供利用未修复系统所需的访问权限。

暴露风险的这种相互关联性凸显了为何越来越多的企业正在采用全面的暴露风险管理。在当今的威胁形势下，了解并应对包括身份风险、配置错误、过度权限和漏洞资产在内的完整攻击面，对于降低数据泄露风险至关重要。

AI 驱动的漏洞发现技术的兴起，使得暴露面管理变得至关重要。随着 AI 工具加速了漏洞识别的进程，企业决不能采用修复速度加数量的打法。相反，企业必须专注于在自身特定环境的上下文中，理解与修复那些真正严重的漏洞。一个存在于隔离系统中、无凭据暴露且访问控制严格的新发现漏洞，其风险远低于一个暴露在互联网资产上、身份验证较弱的旧 CVE。Tenable One 暴露风险安全管理平台不仅提供了做出关键优先级决策所需的上下文框架，更配备了在 AI 加速漏洞发现时代加快修复速度所需的代理编排引擎。

DBIR 报告期内重要的数据洞察

Tenable Research 在研究数据趋势时，我们的团队决定将 CVE 按产品类别进行归类，并比较哪些类别中的未修复资产比例最大。在分析中，我们重点关注 KEV CVE，因为这些是已知已被利用，也成为攻击者目标的漏洞。

如下图所示，受开发工具类漏洞影响的资产，其未修复率最高，紧随其后的是虚拟化/虚拟机监控程序缺陷，以及远程监控与管理 (RMM) 类缺陷。虽然这些产品类别的修复过程可能各不相同，但几乎所有产品类别的未修复率都超过 50%，这一总体趋势表明，企业漏洞修复上仍然举步维艰。

同样，我们还查看了资产仍未得到修复的平均天数，并将其与 DBIR 报告期间影响该类别的 CVE 数量进行了比较。

Tenable 对数据的分析，进一步印证了 Verizon DBIR 报告所凸显的严酷现实：企业在修补已知和已遭利用的漏洞方面花费的时间越来越长，同时需要立即采取措施的漏洞数量却在迅速增加。

DBIR 调研结果

2026 年 DBIR 调研结果令人警醒，但对于奋战在网络安全一线的人员来说并不意外。这些数据证实了许多安全团队每天都在经历的事情：补丁负担的增长速度超过了企业的应对能力。目前，漏洞利用已成为最主要的初始入侵途径，而修复所需的中位时间也在持续攀升，因此攻击者的速度与防御者的反应速度之间的差距在不断扩大。

企业必须采用以暴露风险为中心的方法，不仅要考虑漏洞是否存在，还要考虑其环境中完整风险上下文：

• 哪些资产暴露在外？
• 谁有访问权限？
• 哪些凭据遭泄露？
• 哪些暴露风险组合会形成最危险的攻击路径？

在 AI 发现漏洞的速度比人工修复速度更快的时代，了解哪些暴露风险是致命要害，是我们唯一可持续的前行之路。

经 Tenable Research 数据充实的 2026 年 DBIR 为了解当今的威胁形势提供了宝贵的见解。Tenable 鼓励安全专业人员全文阅读 Verizon DBIR，了解当前的攻击趋势，并使用这些发现结果来指导其暴露风险管理策略。本报告所记录的危机预示着，传统以漏洞为中心的模式，亟需向全面、AI 驱动的暴露风险管理实现根本性演变。

识别受影响的系统

Tenable 为 CISA 的 KEV 目录提供全面的检测覆盖范围，并在漏洞披露后迅速部署检测功能。这种覆盖范围涵盖各种资产类别，可全面了解整个环境中被主动利用的漏洞。KEV 目录上的 CVE 将在各自的 CVE 页面上带有标签，您可以在插件管道页面上浏览我们即将推出的插件。

获取更多信息

• 2026 年《Verizon 数据外泄调查报告》 (DBIR)

加入 Tenable Connect 上的 Tenable Research 特别行动 (RSO) 团队，进一步探讨最新的网络威胁。

了解有关 Tenable One 的更多信息，这是适用于现代攻击面的暴露风险安全管理平台。