文章总结： NIST因AI驱动漏洞提交激增自2026年4月15日起仅对三类漏洞提供官方分析：已被利用漏洞、美国政府软件漏洞及关键基础设施相关漏洞，其余标记为最低优先级不再处理。企业需转向AI分析漏洞威胁，传统依赖NVD打补丁模式失效，需自主评估风险或承担未修补漏洞的安全隐患。 综合评分： 78 文章分类： 漏洞预警,政策法规,安全运营,AI安全,威胁情报

AI挖洞激增致使NVD不在分析CVE漏洞

原创

剑思庭 剑思庭

IRTeam工业安全

2026年4月19日 16:53 日本

在小说阅读器读本章

去阅读

随着AI在安全领域的发力，2026年第一季度，这个CVE漏洞提交数字又同比2024年第一季度上涨了一倍，仅2025年就处理42000条CVE。

无奈NIST宣布只保关键软件，其余全部放弃

从4月15日起，NIST只给三类漏洞提供官方分析和评分：

• 第一类，已经被黑客实际利用的漏洞（CISA KEV）。
• 第二类，美国政府使用的软件漏洞。
• 第三类，行政令14028定义的关键基础设施软件漏洞。

只有这三类漏洞，NIST会优先完成分析。

剩下的所有漏洞，全部被打上”最低优先级”标签。 NIST不会主动给它们加任何细节。

你没看错，就是不管了。

CVE就是每个漏洞的唯一身份证号。

而NVD就是给这些身份证号盖章、写备注的官方机构。

这套机制已经运行了20多年。

以前，只要有新漏洞出现。

NIST会在几天内给出评分和影响范围。

企业只要照着NVD的优先级打补丁就行。

现在，对于99%的普通企业来说，如果没有用到那三类软件，以后面对海量漏洞。

要么自己分析。

要么就只能赌运气，赌这个漏洞危害不高，攻击者不会利用。

未来企业面对漏洞的暴露面管理，必须通过AI来分析漏洞的威胁和风险，而不能采用传统的管理方式。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：IRTeam工业安全 剑思庭 剑思庭《AI挖洞激增致使NVD不在分析CVE漏洞》