У червні 2026 року Microsoft випустила рекордний набір латок: Patch Tuesday закрив 206 унікальних CVE. У подкасті Security Intelligence від IBM Technology ведучий Метт Козінські разом із експертами з кібербезпеки Мішель Альварес, Остіном Зайзелем та Ербландом Моріною обговорюють, чому це не просто «незвично великий патч-день», а ознака структурних змін у тому, як виявляються вразливості — і як із цим мають жити корпоративні команди безпеки.
Від 50 до 200+ CVE: чому це нова норма, а не катастрофа
Червневий реліз Microsoft уже назвали історичним: це «biggest Patch Tuesday on record», який «addressing 206 unique CVEs». Але учасники дискусії застерігають від паніки через саму лише цифру.
Звучить прогноз, який ще кілька років тому виглядав би перебільшенням: «The days of 50 CVE Patch Tuesdays are over. I would expect at a minimum 100 plus CVEs each month to become the norm across Patch Tuesday.» Іншими словами, сторінки бюлетенів із тризначними числами вразливостей можуть стати стандартом.
Остін Зайзель описує це як «structural shift in vulnerability discovery». Patch Tuesday «is not your typical Patch Tuesday anymore», і «that is becoming the new baseline especially as AI helps scale CVE research». Штучний інтелект не змінює сам формат оновлень, але радикально змінює обсяг виявленого.
Ключове уточнення: «It’s not the software that’s suddenly less secure… it’s rather that AI is just dramatically increasing the speed, scale, but also the depth of that discovery… with these flaws that have always been there.» Зростання кількості CVE — це не ознака раптового провалу в розробці, а наслідок того, що інструменти на основі AI швидше й глибше «прочісують» код, витягаючи назовні те, що роками лишалося невидимим.
Не тільки Microsoft: вибух латок по всій екосистемі
Microsoft із Patch Tuesday — лише найпомітніший маркер тенденції. Мішель Альварес наголошує: «it’s not just Microsoft… we also had Google Chrome this month over 400 vulnerabilities released… Oracle who’s historically just done quarterly releases now they’re also moving to monthly plus they’re quarterly.»
Тобто одночасно відбувається кілька процесів.
По-перше, різні вендори різко нарощують обсяг публічних виправлень. Приклад Chrome з «over 400 vulnerabilities released» у тому ж місяці, коли Microsoft затикала 206 дірок, показує, що хвиля йде одразу через кілька великих стеків.
По-друге, змінюється ритм. Oracle, яка «historically just done quarterly releases», тепер переходить на «monthly plus they’re quarterly». Це означає, що модель «великий реліз раз на квартал» доповнюється постійним щомісячним темпом — ще один прояв того, як автоматизоване виявлення змушує вендорів частіше й дрібніше випускати латки.
Для корпоративних команд, які «tracking all of these vulnerabilities», це перетворюється на «tremendous effort» і, як сформулювала Альварес, на «vuln-lanche» — лавину вразливостей, що накриває і процеси, і людей.
Коли AI шукає дірки: загроза чи шанс для оборони
Швидше виявлення вразливостей за допомогою AI — очевидний подарунок і для зловмисників, і для дослідників. Ербланд Моріна нагадує, що є не лише Patch Tuesday, а й «exploit Wednesday»: «everything which being published now tomorrow most likely it will be seen». Як тільки виходить бюлетень, можна очікувати швидку появу експлойтів, навіть якщо їх ще не було в публічному доступі.
Водночас у розмові неодноразово підкреслюється, що AI працює не лише «на червоних». «We have to see also the other side because then the patching is faster with AI… I can see also automation in the blue team and architecture», — каже Моріна. Ті самі технології, що масштабують пошук багів, можуть прискорювати їх аналіз, створення латок і розгортання оновлень.
Мішель Альварес описує, як команди, що «have over three decades of vulnerability tracking», уже «leveraging AI to help with those workflows». Для неї це про оптимізацію колосального «work streams», який виникає, коли потрібно відстежувати сотні CVE від різних вендорів і переводити їх із сирого переліку в осмислені рекомендації для клієнтів.
Загальний висновок співрозмовників: збільшення видимості — це «overall… a net positive». Так, воно створює тиск на процеси, загострює «exploit Wednesday» і вимагає перегляду підходів до управління вразливостями. Але це не криза безпеки як такої, а криза масштабування, яку можна вирішувати тими ж технологіями, що її спричинили.
Пріоритизація замість «патчити все й одразу»
На тлі тризначних цифр у бюлетенях природно виникає інстинкт: «треба патчити швидше». Але це, на думку учасників подкасту, недостатня й навіть хибна відповідь.
Вони наводять цитату: «For enterprise security teams, the lesson is not simply patch faster… the majority of CVEs probably aren’t exploitable, but we need to prioritize which ones actually are and can have that impact on us.» Остін Зайзель підхоплює цю думку: «it’s not just a numbers game. It really is that… quality over quantity.»
Звідси випливають кілька наслідків для корпоративних програм безпеки.
По-перше, потрібен системний відбір. Визначення «what’s actually exploitable, but also what has the highest impact» стає центральним завданням. Не все, що має CVE-ID, однаково небезпечне для конкретної організації.
По-друге, потрібна комунікація ризику. Як наголошує Альварес, важливо «disclose that not every vulnerability… is going to be exploited. Not everything is going to have a publicly available exploit», і будувати розмову з бізнесом навколо ризику для «revenue generating processes» та «business continuity».
По-третє, штучний інтелект може допомогти і тут: структурувати великі масиви даних, виділяти вразливості з відомими експлойтами, зі збігами з певними технологіями в середовищі, з ознаками активної експлуатації.
У підсумку пріоритизація виявляється наскрізною темою: від управління патчами до стратегічного планування безпеки.
«Shift left» і менше дірок у коді завтра
Реакція на лавину CVE — лише половина задачі. Друга — зменшити її обсяг у майбутньому.
Моріна підкреслює важливість «shifting left which means that we have the secure development and early cycle in all the products». Йдеться про те, щоб перевести тестування, пентестинг і пошук вразливостей «вліво» життєвого циклу розробки — ближче до написання коду, а не після релізу.
AI, за його словами, уже змінює цю частину ландшафту: «most of the developers they incorporate for example AI in early stage to basically patch and to push to production less vulnerable code.» Інструменти аналізу коду на базі ШІ дозволяють вбудувати щось на кшталт «раннього пентесту» прямо у пайплайни розробки.
Для нього правильна відповідь — це «early pentesting patching everything before before pushing to prod». Тоді Patch Tuesday із сотнями CVE стає не єдиною й останньою лінією оборони, а резервним механізмом для того, що пройшло крізь початкові фільтри.
Мішель Альварес розвиває цю думку з точки зору інцидентів: навіть якщо вразливість пройшла й призвела до зламу, питання в тому, «what have you done to reduce the blast radius?» Тобто як архітектура, сегментація, контроль доступу та інші базові практики обмежують наслідки помилки в коді.
Як жити з новою реальністю Patch Tuesday
Якщо спробувати звести всі акценти панелі в один меседж, він виглядатиме так: тризначні Patch Tuesday — не відхилення, а нова норма, зумовлена масштабуванням пошуку вразливостей за допомогою AI. Це не означає, що програмне забезпечення стало різко гіршим, але означає, що старі підходи «латати все, що рухається» більше не працюють.
Учасники розмови пропонують замінити їх трьома опорами.
Перша — прийняти структурний зсув у виявленні вразливостей і використати ті самі інструменти AI для автоматизації аналізу, пріоритизації й розгортання латок.
Друга — будувати процеси навколо ризику й впливу, а не навколо «кількості закритих CVE», фокусуючись на тому, що дійсно експлуатується і здатне порушити ключові бізнес-процеси.
Третя — зрушити безпеку «вліво»: впроваджувати безпечну розробку, ранній пентестинг і автоматизовані перевірки коду, щоб зменшити кількість проблем, які взагалі доживають до бюлетенів.
У такій парадигмі Patch Tuesday зі 100+ вразливостей — не вирок, а черговий елемент операційного циклу, з яким можна працювати системно й передбачувано, якщо прийняти нові правила гри.