漏洞数量5年间暴涨263%。
2026年Q1同比再涨33%。
2025年处理42000条CVE,创历史新高。
过去,NIST 的 NVD 项目分析所有 CVE 添加详细信息——例如严重性评分和受影响产品列表——这些信息能帮助安全团队确定漏洞处理的优先级并实施缓解措施。
然而就在这周,美国国家标准与技术研究院(NIST)正式官宣。
全球最大、最权威的网络安全漏洞数据库NVD。放弃运行26年的全量分析模式,不再分析所有CVE。
很明显,这不是一次小变化。
漏洞数量暴涨,压垮了NVD
从2020到2025年,全球CVE漏洞提交量暴涨了263%。 这个数字有多恐怖? 相当于每2年,漏洞数量就翻一番。
随着AI在安全领域的发力,2026年第一季度,这个数字又同比上涨了33%。
漏洞数量,没有任何放缓的迹象。
NIST已经拼尽全力了。 2025年,他们一共处理了近42000条CVE漏洞。但即便如此,积压的漏洞还是像滚雪球一样越滚越大。
目前积压未处理的 CVE 总量已超过 3 万条。
NIST只保关键软件,其余全部放弃
从4月15日起,NIST只给三类漏洞提供官方分析和评分:
第一类,已经被黑客实际利用的漏洞(CISA KEV)。
第二类,美国政府使用的软件漏洞。
第三类,行政令14028定义的关键基础设施软件漏洞。
只有这三类漏洞,NIST会优先完成分析。
剩下的所有漏洞,全部被打上"最低优先级"标签。 NIST不会主动给它们加任何细节。
你没看错,就是不管了。
历史积压漏洞,直接打入"冷宫"
更狠的是对历史积压的处理。
所有在2026年3月1日之前提交、还没被分析的漏洞。
NIST直接把它们全部划入"不计划处理"类别。
除非你发邮件专门申请。 否则这些漏洞永远不会有官方数据。
而去年被标记为"延期处理"的所有漏洞。 也会在2周内,批量转为"修改后不再分析"状态。 未来将根据资源情况,进行信息富化。
漏洞管理,一夜回到解放前
NVD是什么?它是全球网络安全的"通用货币"。
几乎所有的安全产品:漏扫、IDS、WAF、威胁情报。
都以NVD的数据为标准。
CVE就是每个漏洞的唯一身份证号。
而NVD就是给这些身份证号盖章、写备注的官方机构。
这套机制已经运行了20多年。
以前,只要有新漏洞出现。
NIST会在几天内给出评分和影响范围。
企业只要照着NVD的优先级打补丁就行。
现在,对于99%的普通企业来说,如果没有用到那三类软件,以后面对海量漏洞。
要么自己分析。
要么就只能赌运气,赌这个漏洞危害不高。
攻击者不会利用。
NIST的无奈,也是全球互联网的安全危机
NIST不是不想管。是真的管不动了。
漏洞数量的增长速度。已经远远超过了NIST的极限。
First预计今年将提交5万多个 CVE
FIRST CEO Chris Gibson表示:“漏洞发现和利用的速度之快,是我们前所未见的。”
NIST自己也承认。全量分析模式已经完全不可持续。
他们现在只能先保住最核心的部分。然后慢慢开发自动化工具,利用AI来提升效率。
但什么时候能上线?没人知道。
参考资料: NIST Updates NVD Operations to Address Record CVE Growth https://www.nist.gov/news-events/news/2026/04/nist-updates-nvd-operations-address-record-cve-growth
声明:本文来自玄月调查小组,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
