Ghi chú về quyết định ngày 15 tháng 4 năm 2026 của NIST khi Cơ sở dữ liệu Lỗ hổng Quốc gia Hoa Kỳ chính thức rời bỏ tham vọng phân tích từng CVE và chuyển sang mô hình phân loại dựa trên mức độ rủi ro.

Trong hai mươi năm qua, gần như mọi quy trình quản lý lỗ hổng bảo mật ở quy mô doanh nghiệp trên thế giới đều đặt một phần niềm tin vào một cơ sở dữ liệu duy nhất. Cơ sở dữ liệu đó có tên là National Vulnerability Database, viết tắt là NVD, được duy trì bởi Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ, tức National Institute of Standards and Technology, thường được gọi tắt là NIST. Mối quan hệ giữa người làm an toàn thông tin và NVD có phần giống với mối quan hệ giữa người sử dụng tiền tệ và ngân hàng trung ương. Người ta không nghĩ quá nhiều về nó, cho đến khi có điều gì bất thường xảy ra. Ngày 15 tháng 4 năm 2026 là một ngày như vậy.

Trước khi trình bày sự kiện, cần dừng lại để định nghĩa một số khái niệm nền tảng. Bài luận này cố gắng không giả định rằng người đọc đã quen thuộc với cách các lỗ hổng bảo mật được ghi nhận và mô tả trong thế giới công nghiệp. Các khái niệm đó có vẻ hiển nhiên với những người đã làm việc trong lĩnh vực an toàn thông tin lâu năm, nhưng chúng vẫn là rào cản đầu tiên đối với nhiều người vừa bước vào nghề, kể cả sinh viên ngành công nghệ thông tin.

 Một CVE chưa được enrich trông giống như một mẩu tin ngắn gồm mã số và vài câu mô tả. Một CVE đã được enrich trông giống như một hồ sơ kỹ thuật đầy đủ: có điểm số, có phạm vi sản phẩm chịu ảnh hưởng, có tham chiếu đến các bản vá, có thông tin về vector tấn công. Sự khác biệt giữa hai trạng thái này quyết định liệu một đội ngũ vận hành có thể tự động phát hiện ra rằng tài sản của mình đang gặp rủi ro hay không. Bước enrichment, do đó, chính là giá trị cốt lõi mà NVD cung cấp cho cộng đồng trong suốt hai thập kỷ.

Điều gì đã xảy ra vào ngày 15 tháng 4 năm 2026

Vào ngày này, NIST công bố một bản cập nhật chính sách có tiêu đề NIST Updates NVD Operations to Address Record CVE Growth. Bản cập nhật được đưa ra ngay trong khi hội nghị VulnCon đang diễn ra, và phát biểu đầu tiên được đội ngũ lãnh đạo NVD trình bày tại hội trường VulnCon trước khi thông cáo báo chí chính thức được phát đi. Nội dung quan trọng nhất của bản cập nhật nằm trong một câu duy nhất, nhưng câu đó làm thay đổi kỳ vọng của toàn ngành.

Từ nay, National Vulnerability Database sẽ không còn đặt mục tiêu phân tích mọi CVE được gửi đến. Chương trình sẽ chuyển sang mô hình ưu tiên dựa trên rủi ro.Tinh thần của thông báo ngày 15 tháng 4 năm 2026

Trong suốt chiều dài tồn tại, NVD vận hành trên một giả định ngầm định nhưng hào phóng. Giả định đó là: bất cứ CVE nào được gửi đến đều xứng đáng được một chuyên viên của NIST đọc, phân tích, chấm điểm và gán CPE. Giả định này có nền tảng đạo đức rõ ràng. Nếu một lỗ hổng đã đủ quan trọng để được cộng đồng trao cho một mã định danh công khai, thì nó cũng đủ quan trọng để được cơ quan nhà nước phân tích đầy đủ trước khi công bố rộng rãi.

Giả định đó giờ đây không còn đứng vững nữa. Theo thông báo mới, kể từ thời điểm triển khai, NIST chỉ cam kết enrich những CVE rơi vào một trong ba nhóm được gọi là ưu tiên. Nhóm thứ nhất là những CVE đã xuất hiện trong danh mục KEV của CISA, tức là những lỗ hổng mà giới tình báo mối đe dọa đã xác nhận đang bị kẻ tấn công khai thác ngoài thực địa. Nhóm thứ hai là những CVE ảnh hưởng đến phần mềm được chính phủ liên bang Hoa Kỳ sử dụng. Nhóm thứ ba là những CVE liên quan đến phần mềm trọng yếu, được định nghĩa trong Sắc lệnh Hành pháp số 14028 về tăng cường an ninh mạng quốc gia.

Đối với nhóm thứ nhất, mục tiêu nội bộ của NIST là hoàn thành enrichment trong vòng một ngày làm việc kể từ khi nhận được CVE. Đây là cam kết dịch vụ nhanh nhất trong lịch sử chương trình. Đối với hai nhóm còn lại, quy trình vẫn được duy trì, tuy không có cam kết thời gian cụ thể. Mọi CVE không thuộc ba nhóm trên sẽ được xếp vào một trạng thái mới mang tên Not Scheduled, tạm dịch là chưa được lên lịch. Trong ngôn ngữ hành chính, cụm từ này nghe có vẻ tạm thời. Trên thực tế, nó mang ý nghĩa mạnh hơn nhiều: những CVE đó có thể sẽ không bao giờ được phân tích.

Lưu ý: Một thay đổi thứ hai, ít được truyền thông chú ý nhưng có hệ quả kỹ thuật đáng kể, là việc NIST sẽ ngừng cấp điểm CVSS riêng đối với những CVE mà bên đệ trình đã cung cấp điểm. Trước đây, NIST thường gán điểm độc lập và trong nhiều trường hợp điểm của NIST khác với điểm của CNA. Từ nay, điểm của CNA sẽ trở thành điểm mặc định được chấp nhận.

Bên cạnh đó, toàn bộ khối lượng CVE tồn đọng từ trước ngày 1 tháng 3 năm 2026, vốn đã là một khối tồn đọng hơn 30.000 CVE theo phát biểu của Harold Booth, trưởng nhóm kỹ thuật và chương trình của NIST tại VulnCon, cũng sẽ được chuyển toàn bộ sang trạng thái Not Scheduled. NIST có để ngỏ khả năng enrich theo yêu cầu đối với những CVE tồn đọng đặc biệt nghiêm trọng, thông qua quy trình gửi email đến địa chỉ [email protected], nhưng kèm theo điều kiện rất rõ ràng rằng việc xử lý sẽ chỉ được thực hiện khi nguồn lực cho phép.

Bốn nhóm trạng thái mới của một CVE trong NVD

Để hình dung tác động của chính sách mới, cách tốt nhất là quan sát hành trình của một CVE bất kỳ dưới ánh sáng của quy trình mới. Kể từ ngày 15 tháng 4 năm 2026, mỗi CVE xuất hiện trong NVD sẽ được phân vào một trong bốn nhóm trạng thái. Bốn nhóm này không tương đương nhau về mặt chất lượng dữ liệu, và sự bất đối xứng giữa chúng chính là nội dung then chốt mà người làm an toàn thông tin cần nắm được.

Cần đặc biệt chú ý đến nhóm thứ tư. Mặc dù nhãn Not Scheduled về mặt từ ngữ chỉ có nghĩa là chưa được lên lịch, thực tế vận hành cho thấy đây là một nhãn gần như đồng nghĩa với bỏ dở. Lý do không nằm ở thiện chí của các chuyên viên NIST, mà nằm ở toán học cơ bản về dòng CVE đang đổ vào hệ thống mỗi ngày. Ở phần sau của bài luận, chúng ta sẽ thấy rằng chỉ riêng lượng CVE mới xuất hiện trong năm 2025 đã đủ lớn để hấp thụ toàn bộ năng lực xử lý của đội ngũ enrichment, không còn lại dư địa cho việc trở lại xử lý phần tồn đọng.

Nguyên nhân sâu xa của cuộc khủng hoảng khối lượng

Thông báo của NIST không giấu giếm lý do dẫn tới quyết định này. Văn bản chính thức nêu rõ rằng số lượng CVE được đệ trình đã tăng 263 phần trăm trong giai đoạn 2020 đến 2025, và lượng đệ trình trong ba tháng đầu năm 2026 đã cao hơn gần một phần ba so với cùng kỳ năm trước. Đội ngũ NVD nói rằng họ đang làm việc nhanh hơn bao giờ hết và đã enrich gần 42.000 CVE trong năm 2025, cao hơn 45 phần trăm so với năm cao nhất trước đó. Tuy nhiên, tốc độ tăng năng suất này vẫn không đủ để theo kịp tốc độ tăng đầu vào.

Có ba nguyên nhân xếp chồng lên nhau đã tạo nên hiện tượng này, và cần được tách bạch rõ ràng.

• Nguyên nhân thứ nhất: chiều rộng của thế giới phần mềm

Thế giới phần mềm trong sáu năm qua đã mở rộng theo cả chiều sâu và chiều rộng. Chiều sâu thể hiện ở việc mỗi ứng dụng hiện đại phụ thuộc vào hàng trăm thư viện phụ trợ. Chiều rộng thể hiện ở sự bùng nổ của các nền tảng mã nguồn mở, đặc biệt trong các hệ sinh thái npm, PyPI, Maven và Cargo. Mỗi thư viện trong các hệ sinh thái đó đều có thể tạo ra một CVE. Số lượng thư viện đang được theo dõi bởi các dịch vụ giám sát nguồn mở hiện đã vượt bốn triệu. Tỷ lệ xuất hiện lỗ hổng trên một thư viện có thể không đổi, nhưng mẫu số đã nhân lên, nên tử số cũng tăng tương ứng.

• Nguyên nhân thứ hai: sự phổ cập của công cụ phát hiện lỗ hổng

Các công cụ kiểm thử tĩnh, kiểm thử động và fuzzing đã trở nên dễ tiếp cận hơn rất nhiều. Những công việc trước kia đòi hỏi nhà nghiên cứu có kinh nghiệm nay có thể được thực hiện bởi sinh viên đại học, thậm chí bởi các tác tử tự động chạy trong nền. Hệ quả là hàng loạt lỗ hổng cỡ nhỏ và cỡ trung, vốn trước đây không được phát hiện, giờ đã được phát hiện và đệ trình. Về mặt chất lượng phần mềm toàn cầu, đây là tin tốt. Về mặt tải trọng hành chính cho NVD, đây là tin xấu.

• Nguyên nhân thứ ba: trí tuệ nhân tạo đang tham gia vào quy trình phát hiện

Theo ghi nhận của Dustin Childs từ Zero Day Initiative thuộc Trend Micro, thời gian gần đây đã bắt đầu xuất hiện cả những CVE có chất lượng cao do công cụ trí tuệ nhân tạo phát hiện và cả những CVE có chất lượng thấp được sinh ra một cách tự động, mà Childs gọi thẳng là garbage CVEs. Việc phân biệt đâu là lỗ hổng thực và đâu là kết quả giả định của một mô hình ngôn ngữ lớn không phải lúc nào cũng đơn giản, và chính việc phân biệt này cũng tiêu tốn nguồn lực của NVD. Khi cả hai phía đều tăng lên, đường đệ trình đi lên theo đồ thị dốc đứng.

Hệ quả đối với các tổ chức sử dụng NVD như nguồn sự thật

Để đánh giá hệ quả, cần phân biệt rõ ràng hai nhóm người dùng của NVD. Nhóm thứ nhất là các tổ chức có đội ngũ an toàn thông tin chuyên trách, có hệ thống tình báo mối đe dọa, có quy trình quản lý bản vá được thiết kế bài bản, và đã từ lâu không coi NVD là nguồn dữ liệu duy nhất. Nhóm thứ hai là các tổ chức vận hành bằng các công cụ thương mại hoặc mã nguồn mở có tích hợp sẵn NVD, trong đó NVD là nền tảng ngầm định của toàn bộ quy trình ra quyết định bản vá. Chính sách mới ảnh hưởng đến hai nhóm này theo những cách rất khác nhau.

Đối với nhóm thứ nhất

Nhóm thứ nhất sẽ chịu tác động về mặt vận hành nhưng không chịu tác động về mặt chiến lược. Họ đã xây dựng hạ tầng để nhận dữ liệu CVE từ nhiều nguồn song song, bao gồm GitHub Security Advisory, các bản tin của hãng phần mềm, các kho dữ liệu thương mại, và kho KEV của CISA. Việc NVD thu hẹp phạm vi enrichment làm cho một số ô trong bảng dữ liệu của họ bị thiếu, nhưng họ có cơ chế điền bù từ các nguồn còn lại. Công việc của họ chủ yếu là điều chỉnh trọng số giữa các nguồn và giám sát chặt hơn những khu vực bị bỏ trống.

Đối với nhóm thứ hai

Nhóm thứ hai mới là nhóm chịu rủi ro thực sự. Khi một công cụ quét lỗ hổng mã nguồn mở không nhận được CVSS và CPE từ NVD cho một CVE, nó thường im lặng thay vì phát ra cảnh báo. Sự im lặng này là nguy hiểm, bởi nó không giống với trạng thái không có lỗ hổng. Nó chỉ là trạng thái không có dữ liệu. Trong thực tế vận hành, các đội ngũ sử dụng công cụ đó sẽ cho rằng hệ thống của mình an toàn, trong khi thực ra họ đang đối mặt với một mảng mù mở rộng từng ngày.

Nhận định này không phải giả thuyết. Immanuel Chavoya, sáng lập RiskHorizon AI, lưu ý trong một thảo luận công khai rằng CPE là thành phần đặc biệt có vấn đề vì cộng đồng đang mắc kẹt với chúng, và NVD vẫn là nguồn có thẩm quyền về CPE chứ không phải các hãng phần mềm. Trong ngôn ngữ giản dị, nếu NVD không gán CPE cho một CVE, thì công cụ quét gần như không có cách nào ánh xạ CVE đó vào sản phẩm cụ thể đang chạy trong doanh nghiệp. Nói cách khác, một CVE không có CPE là một cảnh báo bị câm tiếng.

Rủi ro cánh báo: Một CVE nằm trong nhóm Not Scheduled đồng nghĩa với việc không có CVSS tự động và không có CPE. Với phần lớn công cụ quản lý lỗ hổng tích hợp sẵn NVD, sự vắng mặt của hai trường dữ liệu này khiến CVE không hiện lên trong báo cáo rủi ro của khách hàng. Hệ quả không phải là cảnh báo sai, mà là vắng bóng cảnh báo. Đây là kiểu sai lệch nguy hiểm hơn nhiều so với cảnh báo nhầm, bởi người vận hành không có cơ hội phản ứng.

Những điểm mù không được đề cập trong thông báo chính thức

Thông báo của NIST trình bày chính sách mới như một bước đi hợp lý về mặt nguồn lực. Cách trình bày này, dù đúng về mặt hành chính, che khuất một số điểm mù đáng được mang ra ánh sáng.

Điểm mù thứ nhất: ranh giới của danh mục KEV

Bằng cách gắn quyền ưu tiên enrichment vào việc CVE có xuất hiện trong KEV hay không, NIST thực chất đã ủy quyền cho CISA xác định CVE nào đủ quan trọng để được phân tích. Câu hỏi được đặt ra một cách chính xác bởi Michelangelo Sidagni, giám đốc kỹ thuật của NopSec: còn những lỗ hổng đang bị khai thác thực tế nhưng chưa kịp được CISA đưa vào KEV thì sao. KEV vốn có chủ ý được thiết kế khá bảo thủ. Tính đến đầu tuần thông báo, KEV của CISA chỉ chứa khoảng 1.559 lỗ hổng, trong khi VulnDB đã ghi nhận trên 7.000 lỗ hổng có bằng chứng khai thác. Khoảng cách giữa hai con số này định nghĩa quy mô của vùng xám mới: những lỗ hổng đang bị khai thác nhưng không được enrich.

Điểm mù thứ hai: định nghĩa mơ hồ của phần mềm liên bang

Hai trong ba nhóm ưu tiên liên quan đến phần mềm được dùng trong chính phủ liên bang Hoa Kỳ và phần mềm trọng yếu theo Sắc lệnh 14028. Trong thực tế, ranh giới của hai tập hợp này không rõ ràng. Chính phủ liên bang sử dụng hàng chục ngàn sản phẩm phần mềm, từ hệ điều hành đến các công cụ nghiên cứu chuyên sâu. Dustin Childs nhận xét rằng cụm từ phần mềm được chính phủ liên bang sử dụng là một phát biểu rất mơ hồ, và tính mơ hồ này tạo ra khoảng trống diễn giải. Trong thực tế, khoảng trống đó sẽ trở thành nơi NIST có thể quyết định cụ thể theo từng trường hợp, kéo theo rủi ro thiếu minh bạch về tiêu chí.

Điểm mù thứ ba: mô hình CVE không bao phủ toàn bộ lỗ hổng thực

Một điểm mù có tính chất triết học hơn liên quan đến chính bản chất của hệ thống CVE. Không phải lỗ hổng nào cũng được công bố. Các nhóm bảo trì phần mềm lớn thường xuyên sửa lỗi bảo mật trong nội bộ và không phát hành CVE. Trong năm đầu tiên vận hành, dịch vụ giám sát Aikido Intel ghi nhận 67 phần trăm các thư viện có lỗ hổng mà họ phát hiện đã không được công bố ở bất cứ cơ sở dữ liệu nào, bao gồm NVD, GitHub Advisory và MITRE. Trong số các trường hợp cuối cùng được công bố, thời gian trung bình từ lúc vá tới lúc có CVE là 27 ngày, và trường hợp dài nhất là chín tháng. Điều này có nghĩa ngay cả khi NVD enrich hoàn hảo, bức tranh vẫn không bao giờ đầy đủ. Chính sách mới của NIST chỉ làm cho bức tranh vốn đã không đầy đủ trở nên ít rõ nét hơn ở nửa đã được khắc họa.

Tái cấu trúc hệ sinh thái: CNA, KEV, EUVD, và các nguồn bổ trợ

Thay đổi ngày 15 tháng 4 không đứng một mình. Nó buộc toàn bộ hệ sinh thái dữ liệu lỗ hổng phải tự tái cấu trúc. Có thể hình dung hệ sinh thái mới như một mạng lưới nhiều trung tâm, thay vì một mô hình tập trung vào một điểm duy nhất.

EUVD, viết tắt của European Union Vulnerability Database, là một sáng kiến của cơ quan an ninh mạng châu Âu ENISA. EUVD ra đời không phải như phản ứng đối với NVD, nhưng sự trùng hợp thời gian giữa cuộc khủng hoảng ngân sách NVD năm 2024 và việc EUVD bắt đầu nhận dữ liệu đã tạo ra ấn tượng về một nguồn thay thế tiềm năng. Thực tế, EUVD còn non trẻ, và đội ngũ EUVD chưa có nguồn lực để đảm đương vai trò tương đương NVD trong tương lai gần. Việc coi EUVD là lối thoát cho khoảng trống NVD là một kỳ vọng không thực tế.

Thay đổi đáng chú ý hơn liên quan đến vai trò của các CNA. Bằng việc ngừng cấp điểm CVSS độc lập khi CNA đã cung cấp điểm, NIST đang dịch chuyển trọng lượng chuyên môn về phía các hãng phần mềm và các nhà cung cấp dịch vụ bảo mật. Cách làm này đẩy nhanh dòng dữ liệu, nhưng kéo theo một vấn đề đã được Jerry Gamblin, kỹ sư chính của Cisco, chỉ ra tại VulnCon: NVD và GitHub hiện đã có điểm CVSS không khớp nhau cho gần 1.500 CVE. Mâu thuẫn giữa các CNA sẽ không còn được NIST điều hòa bằng một phán quyết độc lập. Trong một số trường hợp, người dùng cuối sẽ phải tự chọn tin ai.

Kết luận: thời đại của nguồn sự thật duy nhất đã khép lại

Câu hỏi lớn cuối cùng không phải là liệu quyết định của NIST đúng hay sai. Với khối lượng dữ liệu đang đổ vào, quyết định này gần như là kết cục bắt buộc. Câu hỏi thực sự là cộng đồng an toàn thông tin toàn cầu sẽ điều chỉnh như thế nào trong một thế giới mà nguồn sự thật đã phân rã thành nhiều mảnh.

Cần nhìn nhận thay đổi này ở ba cấp độ. Ở cấp độ kỹ thuật, nó nhắc nhở rằng mọi hệ thống tập trung đều có giới hạn về quy mô và đều có điểm gãy. Mô hình NVD từng hoạt động hiệu quả trong giai đoạn mà số lượng CVE còn ở mức vài nghìn mỗi năm. Khi con số bước qua ngưỡng 60.000 mỗi năm, mô hình tập trung không còn đủ khả năng xử lý. Đây là quy luật về độ phức tạp chứ không phải câu chuyện về năng lực cá nhân.

Ở cấp độ vận hành, thay đổi này buộc mọi tổ chức phải coi hạ tầng dữ liệu lỗ hổng như một phần của kiến trúc bảo mật cần thiết kế chủ động, không phải một dịch vụ miễn phí luôn luôn sẵn có. Một đội ngũ trưởng thành cần duy trì ít nhất ba nguồn dữ liệu song song: nguồn chính thức như NVD và EUVD, nguồn theo ngữ cảnh khai thác như KEV, và nguồn chuyên biệt theo hệ sinh thái công nghệ mà tổ chức đang sử dụng. Sự dư thừa giữa các nguồn không phải lãng phí. Nó là chi phí cần thiết của độ tin cậy.

Ở cấp độ chiến lược, thay đổi này mở ra câu hỏi về vai trò của trí tuệ nhân tạo trong chính quy trình enrichment. Harold Booth đã công khai nói rằng NIST đang theo đuổi các hướng ứng dụng mô hình ngôn ngữ lớn, tác tử tự động, và tự động hóa quy trình để tăng tốc phân tích. Đây có thể là câu trả lời bền vững cho bài toán khối lượng, nhưng đồng thời cũng đặt ra một vòng lặp thú vị: một phần CVE đang đổ vào hệ thống chính là hệ quả của việc trí tuệ nhân tạo được dùng để tìm lỗ hổng, và câu trả lời của NIST là dùng trí tuệ nhân tạo để phân tích chính dòng CVE đó. Hai nhánh trí tuệ nhân tạo này, nhánh tấn công và nhánh hành chính, sẽ định hình giai đoạn sắp tới của hệ sinh thái.

Trong lịch sử của ngành an toàn thông tin, đã nhiều lần xuất hiện những khoảnh khắc mà một cấu trúc quen thuộc phải nhường chỗ cho một cấu trúc mới. Việc chuyển từ mô hình phòng thủ biên sang mô hình không tin cậy mặc định là một khoảnh khắc như vậy. Việc chuyển từ quản lý bản vá thủ công sang quản lý dựa trên tư thế rủi ro là một khoảnh khắc như vậy. Ngày 15 tháng 4 năm 2026 có lẽ cũng là một khoảnh khắc như vậy, dù ở một quy mô ít phô trương hơn. Ba thập kỷ tới, khi sinh viên ngành an toàn thông tin học về lịch sử quản lý lỗ hổng, họ sẽ học về một thời kỳ đầu mà thế giới phó thác kỳ vọng vào một cơ sở dữ liệu duy nhất, và về một ngày mà thế giới lặng lẽ chấp nhận rằng thời kỳ đó đã khép lại.