Sin embargo, existe un problema fundamental con el concepto cero CVE en la práctica. A saber, la única forma de acercarse a cero CVE a escala es actualizar siempre al último código aguas arriba. Esto le brinda los últimos parches de seguridad, pero también trae consigo nuevas características, nuevos errores, nuevas regresiones, nuevas incompatibilidades, cambios de configuración, etc. En otras palabras, tenemos que reconocer que cualquier cambio de código puede introducir aún más las nuevas vulnerabilidades (o inestabilidades) que pueden ser peores que la vulnerabilidad corregida. El problema es que no todos los defectos de software son una amenaza (o una seria amenaza para la seguridad, especialmente dada la creciente ola de CVE. Por ejemplo, hubo aproximadamente 30,000 CVE registrados en 2023, pero casi 40,000 en 2024. Hay muchas variables que alimentan esta inflación de CVE. La lista incluye aumentos en el número de programadores que escriben código, generadores de código de IA que los ayudan, la gran cantidad de código nuevo que se está escribiendo, un aumento en la complejidad de ese código e incentivos tanto para los investigadores de seguridad como para los piratas informáticos. Por ejemplo, los estudiantes e investigadores de seguridad están incentivados para encontrar e informar los CVE por recompensas financieras, académicas y de marca personal. Peor aún, con las guerras AI, podemos esperar que el descubrimiento de los nuevos CVE aumente rápidamente. Se acerca una carrera armamentista donde la IA ayudará a descubrir nuevas CVE y parchearlos. El resultado final podría ser una rotación de código absurdo. Algunos proyectos ascendentes incluso se niegan a aceptar errores encontrados por AI, creando efectivamente un ataque de denegación de servicio a los desarrolladores.