網路安全漏洞趨勢互動式探索工具

Epoch AI 近日釋出了一款互動式資料探索工具，專注於展示自2020年以來軟體和硬體漏洞（CVE）的趨勢。該工具不僅提供了漏洞數量的時間變化，還按報告組織（CNA）進行了細分，幫助使用者理解不同實體在漏洞披露中的角色。

資料來源與處理：所有CVE記錄均來自CVE專案的cvelistV5倉庫，時間跨度從2020年至今。視覺化中的日期代表漏洞的公開日期，而非發現日期。嚴重性評估基於通用漏洞評分系統（CVSS），該系統根據攻擊複雜度、所需許可權、漏洞影響範圍等因素給出0到10的分數，並轉化為無、低（0.1-3.9）、中（4.0-6.9）、高（7.0-8.9）、嚴重（9.0-10.0）五個等級。工具預設優先使用CNA自身的評估，缺失時則採用第三方授權資料釋出者（ADP）的評估。若存在多個CVSS版本，優先使用v4.0，然後依次回退至v3.1和v3.0。無法歸入上述等級的記錄被標記為“未知”。

報告組織（CNA）：每個CVE記錄由一個CNA（CVE編號授權機構）分配，通常為受影響產品的供應商或第三方安全研究機構。工具統計了所有CNA的報告，但僅對知名CNA進行單獨統計，其餘歸入“其他”類別。知名CNA的定義為：廣泛部署的軟體或硬體供應商、大型開源專案或基金會，且活躍的CVE專案（自2020年以來至少釋出50個CVE）。包括17家主要供應商（微軟、谷歌、蘋果、Adobe、甲骨文、思科、IBM、紅帽、英特爾、AMD、輝達、高通、三星、SAP、亞馬遜AWS、VMware、GitHub）和4個開源專案（Linux、Mozilla、Apache、OpenSSL）。值得注意的是，各組織的報告實踐差異較大，例如Linux在2024年2月成為CNA後，開始為數千個向後移植的漏洞修復分配CVE，導致2024和2025年報告數量激增。

近期趨勢與AI影響：工具在時間軸上標記了Claude Mythos預覽版的釋出日期（2026年4月7日），該日期前後漏洞報告數量出現大幅增長。Anthropic聲稱Claude Mythos能夠自主發現漏洞，並在釋出前已向可信合作伙伴提供訪問許可權以加固軟體。截至2026年5月22日，Mythos預覽版已幫助識別超過一萬個高或嚴重級別的漏洞（並非全部公開）。此外，OpenAI聲稱其GPT-5.5（2026年4月23日釋出）和GPT-5.5-cyber（2026年5月7日釋出）同樣具備高階網路安全任務能力，並於2026年5月7日啟動了類似的信任合作伙伴計劃。這些AI驅動的漏洞發現工具被認為是近期漏洞報告激增的主要原因。

訪問與資料：使用者可以透過線上探索工具檢視彙總資料，也可下載完整資料集。所有資料在Creative Commons Attribution許可下免費使用。