网络安全漏洞趋势交互式探索工具

Epoch AI 近日发布了一款交互式数据探索工具，专注于展示自2020年以来软件和硬件漏洞（CVE）的趋势。该工具不仅提供了漏洞数量的时间变化，还按报告组织（CNA）进行了细分，帮助用户理解不同实体在漏洞披露中的角色。

数据来源与处理：所有CVE记录均来自CVE项目的cvelistV5仓库，时间跨度从2020年至今。可视化中的日期代表漏洞的公开日期，而非发现日期。严重性评估基于通用漏洞评分系统（CVSS），该系统根据攻击复杂度、所需权限、漏洞影响范围等因素给出0到10的分数，并转化为无、低（0.1-3.9）、中（4.0-6.9）、高（7.0-8.9）、严重（9.0-10.0）五个等级。工具默认优先使用CNA自身的评估，缺失时则采用第三方授权数据发布者（ADP）的评估。若存在多个CVSS版本，优先使用v4.0，然后依次回退至v3.1和v3.0。无法归入上述等级的记录被标记为“未知”。

报告组织（CNA）：每个CVE记录由一个CNA（CVE编号授权机构）分配，通常为受影响产品的供应商或第三方安全研究机构。工具统计了所有CNA的报告，但仅对知名CNA进行单独统计，其余归入“其他”类别。知名CNA的定义为：广泛部署的软件或硬件供应商、大型开源项目或基金会，且活跃的CVE项目（自2020年以来至少发布50个CVE）。包括17家主要供应商（微软、谷歌、苹果、Adobe、甲骨文、思科、IBM、红帽、英特尔、AMD、英伟达、高通、三星、SAP、亚马逊AWS、VMware、GitHub）和4个开源项目（Linux、Mozilla、Apache、OpenSSL）。值得注意的是，各组织的报告实践差异较大，例如Linux在2024年2月成为CNA后，开始为数千个向后移植的漏洞修复分配CVE，导致2024和2025年报告数量激增。

近期趋势与AI影响：工具在时间轴上标记了Claude Mythos预览版的发布日期（2026年4月7日），该日期前后漏洞报告数量出现大幅增长。Anthropic声称Claude Mythos能够自主发现漏洞，并在发布前已向可信合作伙伴提供访问权限以加固软件。截至2026年5月22日，Mythos预览版已帮助识别超过一万个高或严重级别的漏洞（并非全部公开）。此外，OpenAI声称其GPT-5.5（2026年4月23日发布）和GPT-5.5-cyber（2026年5月7日发布）同样具备高级网络安全任务能力，并于2026年5月7日启动了类似的信任合作伙伴计划。这些AI驱动的漏洞发现工具被认为是近期漏洞报告激增的主要原因。

访问与数据：用户可以通过在线探索工具查看汇总数据，也可下载完整数据集。所有数据在Creative Commons Attribution许可下免费使用。