Cơ bản
Giao ngay
Giao dịch tiền điện tử một cách tự do
Giao dịch ký quỹ
Tăng lợi nhuận của bạn với đòn bẩy
Chuyển đổi và Đầu tư định kỳ
0 Fees
Giao dịch bất kể khối lượng không mất phí không trượt giá
ETF
Sản phẩm ETF có thuộc tính đòn bẩy giao dịch giao ngay không cần vay không cháy tải khoản
Giao dịch trước giờ mở cửa
Giao dịch token mới trước niêm yết
Futures
Truy cập hàng trăm hợp đồng vĩnh cửu
TradFi
Vàng
Một nền tảng cho tài sản truyền thống
Quyền chọn
Hot
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Giao dịch demo
Giới thiệu về Giao dịch hợp đồng tương lai
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia sự kiện để nhận phần thưởng
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
Launch
CandyDrop
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
Pre-IPOs
Mở khóa quyền truy cập đầy đủ vào các IPO cổ phiếu toàn cầu
Điểm Alpha
Giao dịch trên chuỗi và nhận airdrop
Điểm Futures
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Simple Earn
Kiếm lãi từ các token nhàn rỗi
Đầu tư tự động
Đầu tư tự động một cách thường xuyên.
Sản phẩm tiền kép
Kiếm lợi nhuận từ biến động thị trường
Soft Staking
Kiếm phần thưởng với staking linh hoạt
Vay Crypto
0 Fees
Thế chấp một loại tiền điện tử để vay một loại khác
Trung tâm cho vay
Trung tâm cho vay một cửa
Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ, cải cách toàn diện hoạt động của cơ sở dữ liệu lỗ hổng… bắt đầu tăng cường từ “CVE nguy cơ cao”
Viện Nghiên cứu Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ(NIST) đã thực hiện những điều chỉnh quan trọng trong cách vận hành của Cơ sở dữ liệu lỗ hổng quốc gia(NVD). Từ nay sẽ không còn phân tích hàng loạt tất cả các lỗ hổng chung được tiết lộ(CVE) nữa, mà chuyển sang hệ thống "lọc theo rủi ro dựa trên ưu tiên xử lý các lỗ hổng có nguy cơ thực tế cao hơn.
Hành động này xuất phát từ việc lượng CVE gửi lên tăng đột biến, khó có thể xử lý theo phương thức hiện tại. Theo NIST, từ năm 2020 đến 2025, số lượng CVE gửi lên đã tăng 263%, và trong quý đầu tiên của năm 2026, lượng gửi cũng tăng khoảng một phần ba so với cùng kỳ năm ngoái. NIST giải thích rằng, mặc dù đã tăng cường khoảng 42.000 thông tin CVE vào năm 2025, tăng 45% so với năm trước, nhưng vẫn chưa đủ để theo kịp tốc độ tăng trưởng.
Từ nay bắt đầu phân tích từ “lỗ hổng nguy hiểm nhất”
Theo tiêu chuẩn mới, NIST sẽ chỉ ưu tiên “hoàn toàn tăng cường” các CVE đáp ứng ba điều kiện sau: bao gồm các CVE nằm trong danh sách “lỗ hổng đã biết bị khai thác” của Cục An ninh mạng và Cơ sở hạ tầng Hoa Kỳ(CISA); ảnh hưởng đến phần mềm sử dụng trong chính phủ liên bang Hoa Kỳ; và ảnh hưởng đến các sản phẩm liên quan “công văn hành chính số 14028” về “phần mềm quan trọng”.
Đặc biệt, đối với các lỗ hổng nằm trong danh sách KEV của CISA, mục tiêu là hoàn tất quá trình tăng cường trong vòng 1 ngày làm việc sau khi gửi. Các CVE không nằm trong danh sách này sẽ vẫn tiếp tục được đăng ký trong NVD, nhưng sẽ được phân loại là “chưa xác định lịch trình”. Trong trường hợp này, điểm rủi ro và thông tin sản phẩm dùng để xác định ưu tiên vá lỗi của nhóm an ninh sẽ không tự động được thêm vào.
Dọn dẹp công việc tồn đọng từ năm 2024 trở đi
NIST cũng dự định dọn dẹp khối lượng công việc tồn đọng kể từ đầu năm 2024. Nguyên tắc là, các CVE đã công khai trong NVD nhưng chưa được tăng cường trước ngày 1 tháng 3 năm 2026 sẽ được chuyển sang “chưa xác định lịch trình”. Tuy nhiên, các lỗ hổng đã nằm trong danh sách KEV sẽ không nằm trong phạm vi dọn dẹp này.
Một số quy trình cũng sẽ được đơn giản hóa. Nếu tổ chức cung cấp điểm rủi ro cho CVE(CNA), NIST sẽ không tính điểm lại nữa. Ngoài ra, các CVE đã được chỉnh sửa cũng sẽ không phân tích lại mỗi lần cập nhật, mà chỉ khi sự thay đổi ảnh hưởng thực chất đến dữ liệu tăng cường thì mới xem xét lại.
AI bị cho là nguyên nhân dẫn đến sự gia tăng báo cáo lỗ hổng
Mặc dù NIST không trực tiếp chỉ rõ AI(AI) là nguyên nhân, nhưng giới trong ngành cho rằng AI là một trong những yếu tố chính thúc đẩy xu hướng tăng CVE. Đồng sáng lập kiêm Giám đốc điều hành của công ty phát hiện và phản ứng mối đe dọa danh tính SlashID, ông Vinsenzo Jojio, nói: “Báo cáo lỗ hổng đã được xác minh do AI phát hiện tăng đột biến”, “Có phân tích cho rằng, chỉ riêng năm ngoái, số lượng lỗ hổng được báo cáo đã tăng gấp đôi.”
Ông đánh giá rằng, chính sách thay đổi này là “sự điều chỉnh hợp lý, vì các loại quan trọng nhất vẫn sẽ tiếp tục được xử lý”. Và dự đoán rằng, với sự nâng cao của các mô hình ngôn ngữ lớn(LLM), các tổ chức sẽ tự đánh giá được mức độ ưu tiên và bối cảnh của lỗ hổng dựa trên môi trường của họ, từ đó giảm dần sự phụ thuộc vào “tăng cường CVE” từ bên ngoài.
“Giờ đây không thể chỉ chờ điểm CVE nữa”
Giám đốc công nghệ của RunSafe Security, ông Shain Flay, nhấn mạnh rằng thông báo này gửi tín hiệu rõ ràng đến giới trong ngành. Ông nói: “Điều này có nghĩa là đã kết thúc thời kỳ chờ điểm CVE để xử lý.”
Flay nhấn mạnh rằng, do tính chất không hoàn chỉnh của khả năng nhìn thấy lỗ hổng, các doanh nghiệp và tổ chức không nên chỉ dựa vào một cơ sở dữ liệu duy nhất, mà cần kết hợp nhiều nguồn thông tin về lỗ hổng để đưa ra quyết định chính xác hơn. Ông bổ sung rằng, còn cần xây dựng hệ thống phòng thủ có thể ngăn chặn khai thác lỗ hổng ngay cả khi chưa có bản vá hoặc điểm đánh giá chính thức.
Chính sách cải cách này mang tính chất gần hơn với sự thay đổi về cấu trúc thị trường, chứ không chỉ là điều chỉnh hành chính đơn thuần. Trong bối cảnh số lượng lỗ hổng tăng đột biến, phương pháp phân tích tất cả các dự án với độ sâu như nhau đã chạm tới giới hạn, và NIST cuối cùng chuyển hướng sang tập trung vào “độ ưu tiên”. Trong thực hành an ninh, trong tương lai, việc kết hợp phân tích tình hình mối đe dọa và tài sản để đưa ra quyết định nhanh hơn sẽ trở nên quan trọng hơn so với chỉ chờ điểm đánh giá của NVD.
Lưu ý về AI của TP: Bài viết dựa trên mô hình ngôn ngữ TokenPost.ai để tạo tóm tắt. Có thể bỏ sót nội dung chính hoặc có sự khác biệt với thực tế.