網絡安全漏洞趨勢交互式探索工具

Epoch AI 近日發佈了一款交互式數據探索工具，專注於展示自2020年以來軟件和硬件漏洞（CVE）的趨勢。該工具不僅提供了漏洞數量的時間變化，還按報告組織（CNA）進行了細分，幫助用户理解不同實體在漏洞披露中的角色。

數據來源與處理：所有CVE記錄均來自CVE項目的cvelistV5倉庫，時間跨度從2020年至今。可視化中的日期代表漏洞的公開日期，而非發現日期。嚴重性評估基於通用漏洞評分系統（CVSS），該系統根據攻擊複雜度、所需權限、漏洞影響範圍等因素給出0到10的分數，並轉化為無、低（0.1-3.9）、中（4.0-6.9）、高（7.0-8.9）、嚴重（9.0-10.0）五個等級。工具默認優先使用CNA自身的評估，缺失時則採用第三方授權數據發佈者（ADP）的評估。若存在多個CVSS版本，優先使用v4.0，然後依次回退至v3.1和v3.0。無法歸入上述等級的記錄被標記為“未知”。

報告組織（CNA）：每個CVE記錄由一個CNA（CVE編號授權機構）分配，通常為受影響產品的供應商或第三方安全研究機構。工具統計了所有CNA的報告，但僅對知名CNA進行單獨統計，其餘歸入“其他”類別。知名CNA的定義為：廣泛部署的軟件或硬件供應商、大型開源項目或基金會，且活躍的CVE項目（自2020年以來至少發佈50個CVE）。包括17家主要供應商（微軟、谷歌、蘋果、Adobe、甲骨文、思科、IBM、紅帽、英特爾、AMD、英偉達、高通、三星、SAP、亞馬遜AWS、VMware、GitHub）和4個開源項目（Linux、Mozilla、Apache、OpenSSL）。值得注意的是，各組織的報告實踐差異較大，例如Linux在2024年2月成為CNA後，開始為數千個向後移植的漏洞修復分配CVE，導致2024和2025年報告數量激增。

近期趨勢與AI影響：工具在時間軸上標記了Claude Mythos預覽版的發佈日期（2026年4月7日），該日期前後漏洞報告數量出現大幅增長。Anthropic聲稱Claude Mythos能夠自主發現漏洞，並在發佈前已向可信合作伙伴提供訪問權限以加固軟件。截至2026年5月22日，Mythos預覽版已幫助識別超過一萬個高或嚴重級別的漏洞（並非全部公開）。此外，OpenAI聲稱其GPT-5.5（2026年4月23日發佈）和GPT-5.5-cyber（2026年5月7日發佈）同樣具備高級網絡安全任務能力，並於2026年5月7日啓動了類似的信任合作伙伴計劃。這些AI驅動的漏洞發現工具被認為是近期漏洞報告激增的主要原因。

訪問與數據：用户可以通過在線探索工具查看彙總數據，也可下載完整數據集。所有數據在Creative Commons Attribution許可下免費使用。