Ядро Linux заняло первое место по числу зарегистрированных уязвимостей (CVE) за первую половину 2026 года — 2308 записей, больше, чем у любого другого производителя в списке. Статистику опубликовал Грег Кроа-Хартман (Greg Kroah-Hartman), сопровождающий стабильной ветки ядра Linux. Высокие цифры он считает не признаком слабой защиты, а результатом более полного и ответственного раскрытия уязвимостей: коммерческие производители сообщают в систему CVE лишь о части найденных проблем, тогда как открытые проекты вынуждены регистрировать всё.

Статистика CVE по производителям за первую половину 2026 года
За первые шесть месяцев 2026 года список по производителям, отсортированный по убыванию числа CVE, выглядит так:
| Производитель | Число CVE |
|---|---|
| Linux | 2308 |
| 1752 | |
| n/a | 1308 |
| Microsoft | 843 |
| OpenClaw | 495 |
| Oracle Corporation | 445 |
| Adobe | 395 |
| Red Hat | 340 |
| Apache Software Foundation | 310 |
| Apple | 284 |
CVE (Common Vulnerabilities and Exposures) — единый публичный реестр известных уязвимостей информационной безопасности. Каждой записи присваивается идентификатор вида CVE-год-номер с кратким описанием и ссылками на источники.
Записи с пометкой «n/a» — это уязвимости без указанного производителя. Кроа-Хартман отметил, что прежняя формулировка про второе место в его докладах устарела:
Мне придётся переделать доклад, где я говорю, что «мы на втором месте» — это давно уже не так. Надеюсь, остальные производители возьмутся за ум и начнут сообщать в систему обо всех CVE, а не только о тех, что сами сочтут нужным подать.
— Грег Кроа-Хартман, сопровождающий стабильной ветки ядра Linux
Отдельные продукты: Linux, Chrome и OpenClaw
Сравнение по производителям не всегда корректно: под одним именем вроде Google или Microsoft объединены десятки разных продуктов. Поэтому Кроа-Хартман привёл вторую таблицу — по отдельным продуктам:
| Продукт | Число CVE |
|---|---|
| Linux | 2309 |
| Chrome | 1584 |
| n/a | 888 |
| OpenClaw | 497 |
| Windows 10 Version 1607 | 284 |
| Firefox | 255 |
| Android | 153 |
| AVideo | 141 |
| Red Hat Enterprise Linux 10 | 136 |
| iOS and iPadOS | 124 |
Причина, по которой у открытых продуктов CVE больше, чем у коммерческих, кроется в методике раскрытия. По словам Кроа-Хартмана, коммерческие производители подают в CVE только те уязвимости, которые сами относят к высокой степени опасности, тогда как открытые проекты регистрируют всё: предсказать, как будет использован их код, они не могут.
Такие производители, как Apple, Microsoft и другие, сообщают в CVE только об уязвимостях, которые сами относят к «высокой» опасности. А проекты с открытым кодом вынуждены сообщать обо всём: мы не можем предписывать, как используется наш код, и не знаем, где он применяется.
— Грег Кроа-Хартман, сопровождающий стабильной ветки ядра Linux
Ядро Linux — не единый потребительский продукт с одним предсказуемым сценарием использования: оно работает на серверах, настольных компьютерах, смартфонах, встраиваемых устройствах, роутерах, промышленных системах и в облачной инфраструктуре. Уязвимость, малозначимая в одной конфигурации, в другой может оказаться критичной, поэтому заранее отнести проблему к «низкой» опасности невозможно.
OpenClaw в пятёрке лидеров
В обоих списках в первую пятёрку неожиданно попал OpenClaw — 495 CVE по производителям и 497 по продуктам, выше Oracle Corporation, Adobe и Red Hat.
OpenClaw — открытый самостоятельно размещаемый ИИ-агент (автономный помощник, выполняющий задачи на компьютере пользователя), появившийся в конце 2025 года. В первой половине 2026 года по проекту зарегистрировано аномально большое число уязвимостей.
В обсуждении под постом комментаторы сочли такие цифры для настолько молодого проекта тревожными, а для самого явления придумали слово «CVEmaxxing» — когда по продукту регистрируется целый поток уязвимостей. Сам Кроа-Хартман отозвался с иронией: показатели впечатляют, и хорошо, что проект документирует все свои проблемы, а не только избранные.
Что эти цифры значат для администраторов и пользователей
Само по себе лидерство Linux в статистике CVE не означает, что ядро защищено хуже других. Скорее наоборот: чем полнее регистрируются уязвимости, тем яснее картина для дистрибутивов, администраторов и конечных пользователей — видно, что уже исправлено, а что ещё требует внимания. Более прозрачный учёт делает цифры выше, но они полезнее, чем тихие пробелы в отчётности части коммерческих поставщиков.
Данные открыты для самостоятельной проверки: полный набор записей в формате JSON доступен в репозитории cvelistV5 проекта CVE — там можно сравнить показатели по производителю, продукту, регистрирующей организации (CNA) и другим полям.