資安漏洞五年暴增 263% 壓垮分析量能，NIST 轉向風險優先策略

NIST 調整漏洞分析策略

2025 年 CVE 漏洞數量再創新高，近五年數量已暴增 263%。美國國家標準技術研究院（NIST）坦言，現行漏洞分析速度已難以負荷暴增的通報數量，未來將優先處理已被利用或涉及關鍵系統的風險。

NIST 表示，2025 年的 CVE 漏洞提交數量相較 2020 年增長了 263%，其 2025 年豐富的 CVE 提交數量接近 42,000 個，比以往任何一年都多了 45%。這一增長勢頭預計將持續。

針對此情況，NIST 將改採「風險優先」策略，不再分析所有漏洞，僅對 KEV（已知惡意軟體）及關鍵系統漏洞提供 CVSS（通用嚴重性評分）分析。

在網路威脅態勢方面，本週陸續傳出 Checkmarx 與 Bitwarden 遭受供應鏈攻擊，以及邊緣裝置遭攻擊者鎖定並發動零時差漏洞攻擊。

這些攻勢迫使防守方必須更緊密地關注威脅情報與開發鏈的安全，顯示即便 AI 技術進步，在自動化漏洞審核分析上仍存在瓶頸。