NIST不再“包打天下”：美国漏洞数据库开始放弃大多数CVE，这对整个安全行业意味着什么

安全 2026年4月18日

美国国家标准与技术研究院（NIST）正式承认：它已经无力为越来越多的CVE漏洞逐条补全元数据。这个决定看上去像是一次退让，但某种意义上也是现实主义的胜利——当漏洞数量被AI和软件碎片化推向爆炸增长时，“所有漏洞都要精细分析”本身就成了一种昂贵幻觉。

一个时代结束了：NVD不再试图覆盖所有漏洞

如果你在安全行业待得够久，就会知道NVD——也就是美国国家漏洞数据库——曾经像一座公共图书馆。研究员、甲方安全团队、漏洞管理厂商，甚至合规审计人员，都会默认去那里找“标准答案”：这个CVE到底严重不严重、影响哪些产品、有没有统一的评分、能不能纳入扫描器和报表。

但现在，NIST终于把一句很多人早就猜到的话说出了口：它不打算继续为大多数CVE做“富化”（enrichment）了。所谓富化，说白了就是给一个漏洞补上更完整的说明，包括受影响产品、CPE映射、CVSS评分等结构化信息。以后，NIST只会把精力放在几类更关键的漏洞上，比如已经被积极利用的CISA KEV条目、美国联邦机构在用的软件、以及被归类为“关键软件”的漏洞。

这不是技术路线调整那么简单，而是一种制度层面的收缩。过去两年，NVD积压的未处理CVE从几千条一路滚到数万条，NIST想追，追不上；想补，补不完。现在干脆承认：在现有预算、人力和漏洞增长速度面前，全面覆盖已经不现实了。很多人会把这看成一次失败，但坦率地说，这更像是一个已经被洪水淹到胸口的人，终于决定先救最重要的箱子，而不是试图把整栋房子都搬走。

漏洞为什么突然“多到做不完”

NIST的困境，不只是政府削预算这么简单。更深的原因，是今天的软件世界早就不是十年前那个样子了。

一方面，软件供应链变得越来越碎。一个看起来普通的业务系统，背后可能串着几十个开源库、若干云服务组件、各种容器镜像和固件模块。任何一个不起眼的小依赖，哪怕GitHub上只有几十上百颗星，也可能分配到一个CVE。另一方面，漏洞披露机制本身也越来越工业化，发现、申请、编号、同步、跟踪，全链条都在加速。2025年拿到CVE编号的漏洞已经超过4.8万个，而业内普遍预计，随着AI安全代理和自动化漏洞挖掘工具普及，这个数字还会继续飙升。

这就像城市垃圾分类系统原本是按每天几吨来设计，结果突然面对的是几百吨快递包装、外卖盒和建筑废料。不是工作人员不努力，而是系统的容量边界已经被打穿了。NVD过去扮演的是“国家级漏洞整理员”的角色，但当漏洞发现速度远远快于人工分析速度时，再坚持“每个都认真看、逐条补完”，结果只会是整个系统长期瘫在半空中。

从这个角度说，NIST这次不是突然变懒，而是终于放弃了不切实际的全能幻觉。对于防守方来说，真正重要的，从来也不是世界上有多少漏洞，而是哪些漏洞会在你还没开完早会时，就已经被黑客打进内网。

最受冲击的，不只是NIST自己

这次变化最先让谁头疼？不一定是黑客，反而可能是安全厂商。

很多漏洞管理平台、扫描器、风险看板，长期以来都把NVD当成上游数据源。厂商未必愿意承认，但行业里相当多的产品，本质上是在NVD提供的公共数据之上做包装、可视化和流程管理。如今NIST明确减少富化范围，意味着今后将有一大批CVE不再有完整、统一、官方补充的数据可用。这些厂商要么自己补数据，要么寻找别的数据源，要么接受覆盖率下降。

问题在于，替代品并不完美。MITRE负责CVE编号体系，但它不是以深度分析为主；欧盟也在推动EUVD，但还处于早期阶段；各大厂商自己的安全公告则充满口径差异，格式不统一，甚至带着明显的“公关修辞”。过去大家总希望有一个“单一真相源”，现在这个幻想正在被官方亲手打破。安全团队今后恐怕必须接受一个事实：漏洞情报会越来越像新闻采编，而不是查字典。你得交叉验证、比较来源、理解上下文，而不是机械地引用一个数据库里的分数。

这会让行业更成熟，也会更麻烦。成熟在于，大家终于被迫承认风险判断不能外包给一个政府数据库；麻烦在于，中小企业、资源不足的安全团队，过去恰恰是最依赖这个公共基础设施的那批人。大公司可以自己做漏洞情报，小公司呢？这也是这次政策调整里最现实、也最让人不舒服的一层：当公共服务退场，最先暴露在雨里的，通常不是最有钱的人。

CVSS评分回归“原厂”，争议恐怕才刚开始

比减少富化更微妙的一刀，是NIST今后还将停止为NVD条目提供自己的CVSS严重性评分，转而展示最初签发CVE的机构所给出的分数。

这听起来像是流程简化，实际上可能埋下更多争议。原因不复杂：给漏洞打分的人，有时就是漏洞产品的制造者自己。让厂商给自家漏洞定严重性，像不像让餐厅自己决定食物中毒事件算不算“轻微不适”？理论上大家应当专业、公正，但现实世界里，厂商淡化风险、下调评分、模糊描述影响范围，这种事在安全圈并不新鲜。很多研究员都经历过类似场景：自己判断这是高危甚至接近灾难级别的问题，厂商公告里却轻描淡写地写成“需要特定条件才能利用”。

过去NIST虽然也不完美，但至少提供了一个相对独立的二次判断。现在这层缓冲削弱之后，围绕CVSS的“口水仗”大概率会更多。扫描器看到的是厂商给的低分，研究员在社交平台上喊这是高危，企业客户夹在中间，一边担心误报太多，一边又怕漏掉真问题。所谓漏洞管理，未来可能越来越不像“按分数排队修补”，而更像一门需要结合威胁情报、资产暴露面、业务上下文的综合判断题。

这件事真正重要的地方：安全行业要学会告别“唯一答案”

我觉得，NIST这次收缩最值得关注的，不是数据库少填了多少字段，而是它等于宣布了一个旧秩序的结束：安全行业不再拥有一个可以理直气壮依赖的中央权威答案库。

这在今天这个时间点尤其关键。AI正在把漏洞发现门槛拉低，把产量拉高。以后我们会看到更多“有编号但无关痛痒”的CVE，也会看到更多被自动化工具翻出来、却未必值得优先处理的噪音。过去行业的问题是“信息不够”；接下来更大的问题会变成“信息太多，但判断太少”。NIST的退让，某种程度上是提前承认：未来最稀缺的不是漏洞编号，而是筛选能力。

这会逼着整个产业链重新分工。政府数据库可能更像基础设施，只保最关键的部分；商业厂商会更强调自有情报和上下文分析；企业安全团队则要把关注点从“有没有CVE”转向“这个漏洞会不会真的打到我”。这是个更务实的方向，但也意味着行业门槛会提高——你不能再指望一个公共网站替你做完所有判断。

说得直白一点，NIST没有放弃漏洞管理，它只是放弃了“替所有人管理所有漏洞”这件不可能完成的事。问题是，接下来谁来补上那块空白？是商业公司、社区项目、区域性数据库，还是AI驱动的新型漏洞情报平台？这恐怕会成为未来两三年安全行业最值得看的新战场之一。

Summary: 我的判断是，NIST这次并不是简单“摆烂”，而是在漏洞数量失控、预算收紧、AI加速发现的三重压力下，做了一次迟到但理性的止损。短期内，行业一定会抱怨数据不完整、评分更混乱、工具链要重构；但长期看，这可能反而迫使安全团队摆脱对单一数据库的依赖。未来的赢家，不会是收集CVE最多的人，而是最会判断哪些漏洞真正值得优先处理的人。

NISTNVDCVE漏洞数据库漏洞管理CVSSCPE映射CISA KEV漏洞富化网络安全行业