01、全球漏洞管理體系的“至暗時刻”

2026年4月，一則來自美國國家標準與技術研究院（NIST）的公告，在全球網絡安全界投下了一顆炸彈。NIST正式宣布，將對其運營長達26年的國家漏洞數據庫（NVD）進行重大改革：放棄對所有通用漏洞披露（CVE）進行全面分析的長期目標，轉而采用基于風險的分級評估模型，僅優先處理三類“高優先級”漏洞。

這一決定的背后，是令人觸目驚心的數據：2020年至2025年間，全球CVE提交量暴漲了263%，相當于每兩年翻一番。2026年第一季度，這一數字同比再漲33%。面對如洪水般涌來的漏洞，NIST即便在2025年處理了創紀錄的42000個CVE，仍無法跟上提交速度，積壓未處理的漏洞已超過3萬條。人力不足的困境，迫使這個曾被全球安全團隊認可的權威數據庫，不得不收縮戰線。

這意味著什么？從4月15日起，只有被列入美國網絡安全和基礎設施安全局（CISA）已知已利用漏洞（KEV）目錄、影響聯邦政府軟件或屬于關鍵基礎設施軟件的CVE，才能獲得NIST的完整分析和CVSS嚴重性評分。其余海量漏洞將被標記為“未計劃分析”，它們只有一個編號和描述，沒有評分，沒有受影響產品的結構化信息。

依賴NVD進行自動化漏洞掃描和優先級判定的安全團隊，一夜之間發現自己站在了巨大的盲區面前。同一個漏洞，在Snyk、GitHub、Dependabot等不同數據供應商那里可能得到截然不同的評分，甚至直接被忽略。“哪個才算數？”的混亂問題將頻繁地出現。

全球漏洞管理的基石，正在變成一個“有洞的篩子”！

02、破局者登場：OpenCloudOS社區的“動態分級”答卷

正當全球安全生態為NVD的收縮而焦慮時，中國開源操作系統社區傳來了一個強有力的回應。近日，OpenCloudOS開源操作系統社區安全SIG發布了國內首個面向真實業務風險的動態漏洞分類分級體系EARS V1（Exploitability and Attack Risk Scale，漏洞可利用性與攻擊風險等級 V1）。

EARS V1的誕生，并非意圖取代國際通行的CVSS評分體系，而是直指當前漏洞治理在靜態評分與動態風險之間的巨大鴻溝。它是一套以“實戰化風險判斷”為核心的評級體系，旨在通過綜合分析漏洞利用條件、在野攻擊態勢與真實環境可達性，將動態威脅情報深度納入評級體系，反映漏洞對業務的真實影響與實時威脅，從而實現從“看分值“到“看風險”的漏洞治理進階。

OpenCloudOS社區建立的這套方法論，其精髓在于“四維動態評估矩陣”。這不是對CVSS分數的簡單加權平均，而是一個相互校驗、層層遞進的動態研判模型。

第一層：技術嚴重性——尊重科學基準。EARS V1全面采納CVSS v3/v4的基礎指標作為客觀、可比較的技術基準。它如同客觀的“體檢報告”，但社區清醒地認識到，同一份報告在不同系統環境下的“臨床意義”可能天差地別。因此，CVSS評分是參考，而非最終判決。

第二層：場景化可行性分析——評估真實攻擊門檻。這一層超越了CVSS的通用描述，社區通過深入OpenCloudOS的具體環境進行多維評估：漏洞涉及的服務在默認安裝中是否啟用？攻擊路徑是否被默認安全策略所緩解？在典型服務器生產環境中，利用所需的權限是否容易達成？經過這層篩選，許多理論高分漏洞因其極高的實際利用門檻，緊急程度會被合理下調。

第三層：業務影響研判——明確實際危害類型。事實上，并非所有漏洞的后果都一樣嚴重。因此，EARS V1將危害明確分為“從遠程代碼執行（RCE）、容器逃逸到本地拒絕服務”等8種類型。這一研判幫助用戶清晰分辨：一個漏洞到底是能導致系統被完全接管，還是僅造成局部功能中斷，從而將寶貴的修復資源精準投向威脅最大的目標。

第四層：威脅情報驅動——AI Agent動態感知實時威脅。這是將靜態評估轉化為動態風險管理的關鍵。系統通過AI Agent廣泛感知互聯網及多方信源的威脅情報。如果一個漏洞長期無任何在野利用跡象，其優先級可動態下調；反之，若短期內出現攻擊證據或漏洞利用代碼（PoC），其威脅等級將被實時上調，確保響應始終與最新威脅同步。

技術嚴重性提供基礎參考，利用前提條件衡量攻擊門檻，利用結果區分危害類型，在野利用可能性反映實時威脅。四個維度并非簡單疊加，而是構成一個持續校驗、動態平衡的模型，最終輸出一個更貼近真實業務風險的結論。

03、實踐答卷：以精準治理夯實產業安全根基

據OpenCloudOS社區在2025年全量漏洞數據的驗證結果顯示，EARS V1取得了顯著成效：高危漏洞“水分”擠出率超90%，重大威脅無一漏網，實現了漏洞的精準識別、正確定級、應修盡修。這意味著安全團隊可以將有限的精力，從應對海量“高危”告警的“疲于奔命”，轉向對真正威脅的“精準制導”。

EARS V1的發布，對國產操作系統乃至整個國內信創領域，具有深遠而重大的意義。

一方面，這是應對“供應鏈安全”挑戰的主動應對。當前，關鍵信息基礎設施國產化進程加速，但國產軟硬件產品的漏洞安全難題日益突出。NVD的收縮進一步加劇了外部依賴的風險。EARS V1的推出，標志著中國開源社區開始構建不依賴外部、具備內生韌性的漏洞治理能力，是夯實自主可控安全基石的必經之路。它幫助國產操作系統生態在漏洞情報的獲取、分析和響應上，逐步建立自主的“免疫系統”。

另一方面，這是引領漏洞治理“范式升級”的產業覺醒。長期以來，國內安全生態在一定程度上跟隨國際標準。EARS V1的出現，不是被動的規則適應，而是基于自身海量業務場景驗證的、面向真實風險的實踐創新。它呼應了國內產業界從“被動響應”到“主動防御+智能預測”的進化需求，為整個行業提供了一套可參考、可落地的動態風險評估框架。

04、攜手生態，邁向智能治理新階段

OpenCloudOS社區的探索并未止步。未來，社區計劃引入更多AI能力輔助風險分析，例如利用AI深入解讀漏洞公告、分析源代碼以理解潛在利用路徑，實現動態優先級的智能演算。

目前，OpenCloudOS社區與中科方德、新華三、海光、沐曦、龍芯、飛騰、進迭時空、騰訊云、東華軟件、奇安信、綠盟、作業幫、山東大學、中南民族大學、Circle Linux社區及國內頭部金融企業等伙伴攜手，不斷完善這一基于真實風險與動態證據的治理框架。這種開放協同的模式，旨在打破企業與企業、領域與領域之間的壁壘，共建跨界的“聯動防御”生態。通過協同實現能力互補、信息共享與聯合響應，共同提升我國基礎軟件的整體安全水位。

05、結語

NVD的“收縮”是一次壓力測試，暴露了全球漏洞管理體系的結構性危機。而OpenCloudOS社區EARS V1的“進擊”，則是一次寶貴的產業覺醒與實踐回應。它不僅僅是一個技術標準，更是一種治理思維的積極轉變。

在全球網絡安全博弈日益復雜、供應鏈安全成為核心議題的今天，國產操作系統領域通過這樣的創新，正在將安全主動權牢牢掌握在自己手中。從“有洞的篩子”到“精密的風險篩”，這場由國內開源社區引領的漏洞治理范式革命，或許正是中國信創產業走向更智能、更高效、更自主安全新階段的關鍵一步。