美国国家标准与技术研究院，全面改革漏洞数据库运营…从“高风险CVE”开始加强

美国国家标准与技术研究院(NIST)对国家漏洞数据库(NVD)的运营方式进行了重大调整。今后将不再对所有收到的通用漏洞披露(CVE)进行批量分析，而是转向优先处理实际风险较高漏洞的"基于风险的筛选"体系。

此举是由于激增的CVE提交量已难以用现有方式应对。据NIST称，从2020年到2025年，CVE提交数量增长了263%，2026年第一季度的提交量也比去年同期增加了约三分之一。NIST解释称，尽管在2025年就强化了约4.2万条CVE信息，较上年增长45%，但仍不足以跟上增长速度。

今后从"最危险的漏洞"开始分析

根据新标准，NIST将仅优先对符合三项条件的CVE进行"完全强化"。包括：被列入美国网络安全和基础设施安全局(CISA)"已知被利用漏洞"清单的情况；影响美国联邦政府使用软件的情况；以及影响第14028号行政命令中"关键软件"相关产品的情况。

特别是，对于登上CISA KEV清单的漏洞，目标是在提交后1个工作日内完成强化。而未包含在此清单中的CVE虽会继续在NVD登记，但将被归类为"未定日程"。这种情况下，安全团队确定补丁优先级时参考的风险评分和产品信息将不会自动添加。

清理自2024年以来积压的工作

NIST还计划一并清理自2024年初以来积压的工作量。原则上，在2026年3月1日之前已在NVD公开但尚未强化的CVE将移至"未定日程"。不过，已列入KEV清单的漏洞不在此次清理范围内。

部分流程也将简化。如果CVE编号机构(CNA)已自行提供风险评分，NIST将不再另行计算相同分数。此外，对于已修改的CVE，也不再对每次更新都重新分析，而仅当变更对强化数据产生实质性影响时才重新审查。

AI被指为导致漏洞报告激增的背景原因

尽管NIST未直接指明人工智能(AI)是原因，但业界认为AI是推高CVE增长趋势的关键因素之一。身份威胁检测与响应公司SlashID的联合创始人兼首席执行官文森佐·约乔表示：“AI发现的已验证漏洞报告激增”，“有分析称仅去年报告的漏洞数量就增长了一倍以上。”

他评价此次政策变更是"合理的调整，因为最重要的类别仍会持续处理"。并预测，随着大语言模型(LLM)性能提升，各组织将能自行根据其环境判断漏洞的优先级和背景，相应地，对外部’强化CVE’的依赖度也将逐渐降低。

“现在不能只等待CVE评分了”

RunSafe Security的首席技术官谢恩·弗莱指出，此次公告向业界发出了明确信号。他表示：“这意味着等待CVE评分出来后再应对的时代已经结束。”

弗莱强调，鉴于漏洞可见性本质上是不完整的，企业和机构不应仅依赖单一数据库，而应结合利用多种漏洞信息来源才能做出更准确的判断。他补充说，还应在假设软件中可能已存在尚未公开的未知漏洞的前提下，建立即使在补丁或官方评分发布前也能阻止被利用的防御体系。

此次改革更接近于市场结构的变化，而非简单的行政调整。在漏洞激增的环境下，对所有项目进行同等深度分析的方式已触及极限，NIST最终转向了以"优先级"为中心的方向。在安全实践领域，未来相比仅仅等待NVD的评分，结合威胁情报与资产现状进行更快速判断的能力将显得更为重要。

TP AI 注意事项 本文基于TokenPost.ai语言模型生成文章摘要。可能遗漏正文主要内容或与事实存在出入。