美國國家標準暨技術研究院(NIST)於 4 月 15 日正式宣布,將大幅調整國家漏洞資料庫(National Vulnerability Database,NVD)的運作方式,改採風險導向的優先處理機制,僅針對符合特定條件的高風險漏洞進行「資料豐富化(enrichment)」作業,其餘漏洞將不再獲得完整的技術分析與嚴重性評分。此舉標誌著 NVD 自建立以來最大規模的政策轉向,也對全球倚賴 NVD 作為漏洞情資核心來源的資安團隊帶來直接衝擊。
CVE 提交量暴增,NIST 正式承認無力全面處理
NIST 表示,此次政策調整的根本原因在於 CVE 提交量的持續爆炸性成長。2020 年至 2025 年間,CVE 提交數量累計增加 263%,而 2026 年前三個月的提交量更較去年同期再成長近三分之一。儘管 NIST 團隊在 2025 年已完成約 4 萬 2000 筆 CVE 的豐富化作業,較前一年成長 45%,仍遠不足以應付持續湧入的新提交量。
NVD 計畫經理 Harold Booth 在 VulnCon26 資安會議上坦言,NVD 的業務範疇已超出 NIST 現有的行政能量。目前負責 NVD 日常作業的核心人員僅有 21 人,在聯邦預算於 2024 年遭刪減 12% 並引發人才外流後,人力瓶頸問題更形嚴峻。
資安產業界人士對此結果並不感到意外。資安研究社群與業界人士長期觀察到 NVD 積壓問題,將此次公告視為「另一隻鞋終於落地」。
三大優先條件,決定 CVE 能否獲得完整分析
依據新政策,NIST 將優先針對以下三類漏洞進行豐富化作業:
- 已列入網路安全暨基礎設施安全局(CISA)已知遭利用漏洞(KEV)目錄者,將在 CISA 通報後一個工作日內完成處理
- 影響美國聯邦政府使用軟體者
- 涉及第 14028 號行政命令所定義之關鍵軟體者,包含身分識別與存取管理系統、作業系統、端點安全軟體、網路防護產品及遠端存取工具等
不符合上述條件的 CVE 將被歸類為「Not Scheduled(未排程)」,雖仍會收錄於 NVD,但不會獲得 NIST 的額外技術描述或獨立嚴重性評分,僅保留由 CVE 編號授權機構 CNA 原始提交的資料。此外,NVD 發布日期早於 2026 年 3 月 1 日的積壓 CVE,亦將一律移入「未排程」分類,不再追溯處理。
資安廠商與企業團隊首當其衝
此政策對仰賴 NVD 作為漏洞情資基礎的資安工具與企業團隊影響深遠。眾多掃描工具、SIEM 系統,長期以 NVD 的豐富化資料作為修補優先順序判斷依據。一旦大量 CVE 缺乏完整的嚴重性評分與受影響產品清單,自動化工具的準確性將直接受損。
電信軟體廠商 Weave 資安長Jessica Sica 指出,雖然 NIST 轉向風險優先模式的方向本身合理,但資料缺口的現實影響不容輕忽。她直言:「有些東西會被漏掉。許多資安廠商仰賴 NVD 作為企業修補的資訊來源,私立部門或開源社群必須站出來填補這個空缺。」
RunSafe Security 技術長 Shane Fry 則進一步點出 AI 工具的推波助瀾效應。他表示,隨著大型語言模型愈來愈普遍用來發現漏洞,CVE 提交量的增長趨勢短期內不會逆轉,資安團隊必須從被動等待 NVD 資料,轉向主動將防禦能力內建於軟體本身,以因應修補程式尚未發布或漏洞尚未揭露前的威脅暴露窗口。
社群協作與替代情資來源成為關鍵
面對 NVD 資料豐富化縮減的現實,NIST 表示正積極開發自動化系統與工作流程,以期在長期達到永續運作目標。同時,使用者仍可透過電子郵件(nvd@nist.gov)向 NIST 申請特定「未排程」CVE 的豐富化作業或獨立嚴重性評分。
Bugcrowd 資深主管 Trey Ford 認為,此次政策調整折射出一個更深層的現實:
以集中式機構處理如此規模的漏洞分類,在結構上即難以為繼。他強調,真正驅動修補優先順序的訊號,始終來自真實世界的可利用性,而非資料庫的後設資料,這需要具備對抗性直覺的安全研究人員持續在真實環境中運作。
CISA 網路安全代理執行助理主任 Chris Butera 亦表示,CISA 將持續與 NIST 密切合作,支援全球防禦者保護其網路。
對台灣企業與政府機關而言,NVD 長期是漏洞管理流程的重要參考依據。在 NVD 豐富化資料可信度下降的新常態下,建議資安團隊同步參考 CISA KEV 目錄、原始 CNA 公告及多元商業威脅情資來源,以確保漏洞應變的完整性與時效性不受影響。