漏洞管理进入智能时代!OC 社区发布国内首个 AI Agent 增强的漏洞动态分级标准
今天,OpenCloudOS开源操作系统社区安全SIG正式推出EARS V1(Exploitability and Attack Risk Scale,漏洞可利用性与攻击风险等级V1),它并非是一个取代CVSS的新评分,而是一套实战化风险判断为核心的评级体系,通过综合分析漏洞利用条件、在野攻击态势与真实环境可达性,将动态威胁情报纳入评级体系,致力于反映漏洞对业务的真实影响与实时威胁。EARS V1旨在帮助用户与生态伙伴实现从“看分值”到“看风险”的漏洞治理进阶,让修复决策更精准、更及时。 你可能见过这样的情况:同一个漏洞,不同发行版,两个不同结论。 漏洞CVE-2025-24813,CVSS评分8.6(满分10分,高危),厂商A却把它定为“中”优先级。 漏洞CVE-2025-0237,CVSS评分5.4(中危),厂商B却给了“高”优先级。 为什么?因为厂商在用自己对产品配置、默认环境的理解,去校准CVSS这个通用评分——这是专业性的体现,也是行业共识。 但即便经过了这样的校准,再看另一个场景:两个漏洞都是7.5分,一个正在被大规模利用,另一个披露一年了却无人问津。面对这两个漏洞,厂商评...
