A 2025-ös év kiberbiztonsági mérlegét megvonva 2026 közepére egyértelművé vált, hogy a sérülékenységek kezelése véglegesen kilépett a tisztán technikai keretek közül. A biztonsági rés ma már nem pusztán a szoftverfejlesztés mellékterméke, hanem döntési fölényt biztosító erőforrás: aki hamarabb és tisztábban látja egy sebezhetőség valódi súlyát, az előbb tud kockázatot csökkenteni – vagy stratégiai előnyt kovácsolni.

Ez a változás azért lett ennyire látványos, mert idén egyszerre mozdult el a globális kiberbiztonság több, egymásra épülő rétege. Míg Kína az elmúlt években – ahogy azt a From Vegas to Chengdu jelentés1 is alátámasztja – tudatosan intézményesítette a sebezhetőségi információk útját és ösztönzőrendszerét, addig a nyugati világban az Egyesült Államok által fenntartott globális alapréteg (CVE/NVD) a volumen és a kapacitás határára ért. Erre válaszul Európa saját adat- és koordinációs képességek (EUVD, ENISA-szerepbővülés) kiépítésébe kezdett, hogy ne pusztán kiszolgáltatott fogyasztója legyen egy bizonytalanná váló külső infrastruktúrának.

A tét nem elméleti: a kritikus infrastruktúrákba mélyen beépülő, tartós hozzáférésre, ezzel előzetes pozíciószerzésre építő Typhoon kampányok 2025-ben megmutatták, hogy a sérülékenységek értéke a puszta javításon túl a műveleti mozgástér megteremtésében is mérhető. Elemzésünkben ezt a rendszerszintű átrendeződést térképezzük fel: a kínai képesség-pipeline-tól indulva, a nyugati adat-infrastruktúrák átalakulásán át, egészen a gyakorlati válaszopciókig.

A sebezhetőség mint stratégiai erőforrás

Évtizedekig tartotta magát a kényelmes illúzió, hogy a sérülékenység csupán a szoftverfejlesztés elkerülhetetlen, de technikai jellegű hordaléka: egy bug, amit a gyártó javít, a védő frissít, a támadó pedig olykor kihasznál. Ez a kép 2025 végére nemcsak elavult, hanem veszélyesen félrevezető is.

A kiberhadviselés és a digitalizáció korában a felfedezett biztonsági rés idő- és információs aszimmetriát teremtő nyersanyag. Aki hamarabb birtokolja a tudást, hamarabb léphet – ez az előny pedig közvetlenül lefordítható kockázati kitettségre vagy stratégiai mozgástérre.

Ebből a perspektívából a sérülékenységi ökoszisztéma többé nem egy háttérben működő kiszolgáló infrastruktúra, hanem a kiberhatalom egyik alaprétege.

A valódi kérdés már nem a mennyiség (vagyis az, hogy hány hibát találnak meg globálisan), hanem az, hogy ezek a hibák kinek a csatornáin, milyen játékszabályok szerint és mekkora késleltetéssel válnak láthatóvá a védelem számára.

A kínai modell – és különösen a hackerversenyek világa – iskolapéldája ennek a paradigmaváltásnak. Ahogy azt az ETH Zürich kutatói a From Vegas to Chengdu jelentésben feltárták, a Tianfu Cup és a hozzá hasonló versenyek nem kizárólag a piaci logika mentén szerveződnek. Ezek az események egyszerre kínálnak pénzdíjat, presztízst és egy strukturált utánpótlás-bázist, ahol a kutatói tehetség, az ipari laborok és az állami prioritások egyetlen koordinált térben találkozhatnak. Kínában a képességtermelés és a sérülékenység-feltárás már nem ad hoc jellegű, hanem iparosított folyamat.

A történet azonban nem áll meg a képességek felhalmozásánál. A mit kezdünk a sérülékenységgel kérdés stratégiai súlyát akkor értjük meg igazán, amikor a támadói oldalon megjelenik a tartós hozzáférés és a válsághelyzeti opciók logikája. A McCrary Institute Code Red jelentése2 a kínai állami hátterű Typhoon műveleteket pontosan ebben a keretben értelmezi, azaz nem elszigetelt incidensek sorozataként, hanem a kritikus infrastruktúrákban és kulcsfontosságú hálózati rendszerekben kiépített hídfőállások rendszereként.

Ebben a logikában a sebezhetőségek feletti információs kontroll nem öncélú, hanem stratégiai előnyt kovácsol a hozzáférés megszerzésében, fenntartásában és a megfelelő politikai pillanatban történő aktiválásában.

Eközben a védekezési oldalon a globális gyakorlat hosszú ideig egyetlen közös nyelvre támaszkodott: a CVE (Common Vulnerabilities and Exposures)3 és az NVD (National Vulnerability Database)4 alkotta ökoszisztémára, amely standardizált azonosítókkal és dúsított adatokkal táplálta a kockázatkezelési automatizmusokat. Amikor ez a központi adatmotor 2024–2025 során teljesítményproblémákkal küzdött, az nem pusztán adminisztratív kellemetlenséget okozott, hanem operatív kockázatot jelentett, romlott a priorizálás hatékonysága, nőttek a vakfoltok, és késtek a védelmi döntések.

Ebben a kontextusban nyer új értelmet az Európai Unió intézményi válasza is. Az EUVD (European Vulnerability Database)5 felépítése és az ENISA (European Union Agency for Cybersecurity)6 szerepének kibővítése nem egyszerű hatásköri vita, hanem kísérlet arra, hogy a sérülékenység-kezelés európai gyakorlata kevésbé legyen kiszolgáltatva egyetlen tengerentúli adatközpont vagy intézményi szűk keresztmetszet állapotának.

A 2025-ös év tehát rendszerszintű kérdéssé emelte a sebezhetőségek életciklusát: a feltárás, a visszatartás, az azonosítás és a publikálás folyamata ma már hatalmi kérdés.

Elemzésünkben ezt a mechanikát követjük végig a terület működését meghatározó szereplők vizsgálatán keresztül. Kínából indulunk, bemutatva, hogyan szerveződik intézményekbe és ösztönzőkbe a sebezhetőségi életciklus. Ezt követően a Typhoon-kampányok keretében, egy friss stresszteszttel (React2Shell) kiegészítve mutatjuk meg, miért nyer stratégiai értelmet a gyors adaptáció. Végül a figyelem a globális adat-infrastruktúrára kerül: az NVD körüli zavarokra, az EUVD új szerepére és arra, milyen valós válaszopciók szűkíthetik a kitettségi ablakot.