Национальный институт стандартов и технологий США признал, что не справляется с потоком сообщений об уязвимостях и переводит систему CVE на новый режим с жёсткой приоритизацией.
За первые 3 месяца 2026 года количество заявок выросло почти на треть по сравнению с тем же периодом годом ранее, а в 2025 году специалисты обработали около 42 000 уязвимостей, превысив прежний рекорд на 45%. Даже такой темп не позволил догнать поток новых сообщений.
Раньше каждая запись в базе получала подробное описание и оценку риска после публикации. Теперь полноценный разбор будет только у тех случаев, которые проходят по новому уровню приоритета. В первую очередь внимание сосредоточится на уязвимостях, которые уже активно используются в атаках и числятся в федеральном каталоге CISA.
Для них обещают ускоренную обработку, данные будут обновляться в течение суток после получения информации. В приоритет также попадают продукты государственных структур США и критически важное программное обеспечение.
Все остальные записи останутся в базе, но без дополнительного анализа. NIST при этом перестанет присваивать собственную оценку уровня риска для всех случаев и будет опираться на данные от авторов сообщений.
Проблемы накапливались давно. В 2024 году из-за нехватки ресурсов около 90% записей оставались без дополнительной обработки, часть задач временно взяло на себя агентство CISA, а представители отрасли обратились к Конгрессу США с просьбой поддержать развитие базы.
К 2026 году ситуация не улучшилась. В NIST работает всего 21 специалист, тогда как поток новых записей продолжает расти. Существенную роль в этом сыграли инструменты на базе ИИ, которые позволяют находить ошибки быстрее и в большем объёме, чем раньше.
Все записи, опубликованные до 1 марта 2026 года и оставшиеся без анализа, переведут в статус не запланировано, хотя часть из них смогут пересмотреть при обнаружении критической значимости.
В самом институте признают, что новая модель далека от совершенства и может пропускать серьёзные угрозы. При необходимости эксперты смогут инициировать дополнительную проверку отдельных записей вручную. В индустрии такие изменения воспринимают как вынужденное решение в условиях, когда количество уязвимостей растёт быстрее, чем возможности централизованной обработки.
