Foto: SecurityWeek
Black Kite u izvješću za 2026. o ranjivostima u opskrbnom lancu navodi da se nove ranjivosti otkrivaju prebrzo, da je vrijeme do iskorištavanja sve kraće i da je vidljivost nad njima i dalje vrlo ograničena. U središtu upozorenja nalazi se procjena da organizacije sve teže prate što je doista kritično u složenim poslovnim i softverskim lancima, posebno zato što mnoge ni ne znaju gdje se točno nalaze u tom lancu.
Black Kite u svom izvješću ističe tri ključna zaključka: više od 48.000 CVE-ova objavljeno je tijekom 2025., vrijeme do iskorištavanja sada je negativan broj, a samo je 58 CVE-ova označeno kao stvarna, otkriva i iskorištiva prijetnja za opskrbne lance u poduzećima. Tvrtka je za analizu izdvojila 1.024 visokoprioritetna CVE-a na temelju EPSS ocjena, uključivanja u KEV i relevantnosti trećih strana, a među njima je tek 58 bilo lako otkriti napadačima kroz OSINT, zbog čega ih Black Kite smatra najkritičnijima.
U izvješću se navodi i da bi se ovaj omjer mogao dodatno pogoršati tijekom 2026. godine, a kao jedan od razloga spominje se umjetna inteligencija. Black Kite pritom navodi više mogućih čimbenika: frontier model AI tijekom 2026. mogao bi pronaći više ranjivosti nego ranijih godina, rast aplikacija nastalih uz „vibe coding” uvodi više slabosti, a češća ažuriranja softvera potaknuta AI-em mogu donositi i zlonamjerne npm-uzorke slabosti koje se kasnije mogu iskoristiti. Jeffrey Wheatman, viši potpredsjednik i cyber risk strateg u Black Kiteu, dodaje i da agentic alati mogu povećati izloženost jer im se dodjeljuju autorizacija, autentikacija i pristup.
Wheatman pritom upozorava i na problem vidljivosti jer IT i sigurnosni odjeli često nisu svjesni da se agentic sustavi koriste u njihovoj infrastrukturi. Ti sustavi mogu biti skriveni i neotkriveni u preuzetim web aplikacijama ili se mogu tiho pojaviti kroz shadow AI. Istodobno, broj ranjivosti nastavit će rasti, a vrijeme do iskorištavanja nastavit će se skraćivati, navodi Black Kite. Wheatman ipak ističe da dio upozorenja može ostati u razini pozadinske buke, primjerice kada se pažnja usmjerava na vrlo stare pogreške poput 27 godina starog buga u OpenBSD-u, za koji kaže da se u praksi ne može lako kompromitirati.
Posebnu pozornost u izvješću dobiva i pitanje obrambene umjetne inteligencije. Wheatman navodi da bi veća brzina prijetnji mogla dovesti do veće oslonjenosti na potpuno autonomnu obrambenu AI, ali upozorava da je odgovor na to pitanje uvijek ovisan o kontekstu. Kao primjer podsjeća na CrowdStrikeov incident, kada je pogrešno konfigurirano ažuriranje za Falcon Sensor na Windows sustavima automatski distribuirano kroz Rapid Response Content sustav i izazvalo pad oko 8,5 milijuna Windows sustava. Prema njegovu stajalištu, automatska ažuriranja nose rizik, ali ne ažurirati potpise, definicije i mogućnosti otkrivanja predstavlja znatno veći rizik.
Vezane vijesti
