由 Simon 全球网络安全防线崩塌?两大漏洞数据库濒临停摆,2.5万漏洞积压引爆恐慌!医疗系统瘫痪、中小企业”裸奔”,这场数字危机将如何收场?
【全球漏洞追踪体系濒临崩溃】美国国家漏洞数据库(NVD)与通用漏洞披露平台(CVE)两大网络安全支柱近期接连陷入危机,暴露出数字时代早期预警系统的致命缺陷。2024年2月,由美国政府运营的NVD突然停止更新漏洞分析报告,其年度370万美元的联邦资金遭削减;4月,CVE项目因合同到期风险濒临停摆。尽管美国网络安全局(CISA)紧急延长CVE资助并推出”Vulnrichment”替代计划,当前积压未处理的漏洞已突破2.5万例——较2017年峰值激增近10倍!
■ 危机连锁反应
• 医疗系统瘫痪:未修补漏洞已导致多起医院致命事故
• 中小企业困境:商业漏洞管理软件年费高达数万美元,预算有限企业被迫”裸奔”
• 地缘博弈升级:中欧加速建设自主漏洞数据库,欧盟”全球CVE”架构即将上线
【关键人物发声】
“失去CVE就像同时抽空所有图书馆的目录卡!”美国网安专家Jen Easterly警告。安全工程师Komal Rawat更直言:”若NVD崩溃,市场将陷入混乱——其他数据库要么不普及,要么收费昂贵。”
■ 深层矛盾凸显
1. 资金困局:NIST年度预算削减12%,承包商处理效率追不上漏洞爆发速度(2024年7月CVE收录量突破30万)
2. 责任真空:软件厂商年披露数千漏洞却鲜少修复,终端用户协议(EULA)平均长度堪比《战争与和平》
3. AI双刃剑:OpenAI模型虽能发现零日漏洞,但分析准确率难达安全要求
【破局尝试】
• 立法突破:俄勒冈州波特兰市因CrowdStrike漏洞事件宣布紧急状态,达美航空等企业启动天价索赔
• 技术革新:CISA推动”安全设计”原则,要求软件商免费提供核心防护功能
• 全球协作:前CVE董事会成员Brian Martin团队自建VulnDB数据库,收录11.2万条未公开漏洞
延伸思考:
1. 当漏洞情报成为战略资源,国际社会是否需要建立类似WHO的全球网络安全治理机构?
2. 在AI生成漏洞速度超越人类修复能力的未来,软件开发商是否应该承担无限责任?
阅读 Technology Review 的原文,点击链接。