CVE: rekordowy wzrost podatności i nowe wektory ataków. Co z tym cybersecurity?

Jeśli pracujesz w IT, to musisz znać skrót CVE. CVE (Common Vulnerabilities and Exposures) to publiczny katalog znanych podatności w oprogramowaniu i sprzęcie. Każda luka otrzymuje swój unikalny numer (np. CVE-2025-12345), który ułatwia śledzenie, raportowanie i reagowanie. Projekt ten zarządzany jest przez MITRE Corporation i finansowany przez Cybersecurity and Infrastructure Security Agency (CISA) – część Departamentu Bezpieczeństwa Wewnętrznego USA. CVE stał się standardem w świecie cyberbezpieczeństwa.

CVE może być też ciekawym źródłem statystycznym, które potwierdza wzrost zagrożeń. Patrząc na statystyki z ostatnich kilku lat, widać 2x większą liczbę zgłoszeń. W 2020 roku mieliśmy ok. 18 000 zgłoszeń, a w 2024 było ich już ok. 40 000. Natomiast w aktualnym roku jest ich już ok. 28 000, co może zwiastować nowy rekord. Dlaczego tak jest? Bo mamy coraz większą złożoność systemów, liczba zgłaszających wzrasta, mamy więcej open source, więcej API, więcej zależności i coraz lepsze (i szybsze) metody wykrywania luk bezpieczeństwa.

W tym wszystkim mamy też nową i rosnącą kategorię - AI-related vulnerabilities. W samym tylko 2024 roku odnotowano 439 podatności związanych z AI i jest to wzrost aż o 1025% względem poprzedniego roku. Natomiast aż 99% z nich dotyczyło niewłaściwie zabezpieczonych interfejsów API wykorzystywanych przez modele ML i systemy inference. Co jest w tym ciekawe? Ano to, że AI jest po obu stronach barykady… z jednej strony jest wykorzystywane do szybszego i inteligentniejszego wykrywania podatności, a z drugiej strony służy atakującym do… ataków 🤔

Przy tym tempie wzrostu CVE i ekspansji AI-related vulnerabilities, nadchodzące lata mogą całkowicie zmienić krajobraz cyberzagrożeń. To wszystko rodzi pytanie - czy AI stanie się główną bronią cyberprzestępców, czy może największym sprzymierzeńcem Blue Teamów? Zostaw komentarz - jestem ciekawy Twojej opinii na ten temat 😉

Źródła:

• https://www.welivesecurity.com/2021/02/15/record-breaking-number-vulnerabilities-reported-2020/

• https://www.yeswehack.com/news/cve-surge-record-jump-vulnerabilities

• https://www.helpnetsecurity.com/2025/01/30/ai-powered-api-security/