- O Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) anunciou que reduzirá as análises de vulnerabilidades no programa CVE.
- A política prioriza apenas vulnerabilidades que atendam a critérios como inclusão no catálogo KEV da CISA, uso em softwares do governo federal ou em softwares críticos.
- Mesmo com a restrição, o NIST continuará a listar todas as vulnerabilidades descobertas na Base Nacional de Dados de Vulnerabilidades (NVD).
- A mudança foi motivada pelo impacto de ferramentas de inteligência artificial na detecção de falhas, que levou a um crescimento de 263% entre 2020 e 2025 nas vulnerabilidades registradas.
- O objetivo é concentrar recursos nas CVEs com maior potencial de impacto generalizado, mantendo outras informações disponíveis, mas com menor prioridade de análise.
O NIST, órgão norte-americano responsável por padrões de tecnologia, anunciou que reduzirá as análises de vulnerabilidades de cibersegurança que realiza. A medida afeta o programa Common Vulnerabilities and Exposures (CVE) e prioriza falhas em softwares críticos ou usados pelo governo federal.
Segundo o comunicado de 15 de abril, nem todas as vulnerabilidades do CVE receberão enriquecimento, ou seja, uma análise detalhada com notas de gravidade. A seleção levará em conta critérios específicos.
Os critérios incluem inclusão no catálogo KEV da CISA, presença em softwares do governo dos EUA e em softwares críticos. Ainda assim, o NIST continuará a divulgar todas as vulnerabilidades na Base Nacional de Vulnerabilidades (NVD).
Por que a mudança ocorreu
O site Cybersecurity Dive aponta que ferramentas de IA para detecção de vulnerabilidades contribuíram para um crescimento significativo de falhas entre 2020 e 2025, estimado em 263%. O aumento sobrecarregou bases de dados de várias instituições, incluindo o NIST, que não tem conseguido acompanhar o volume.
A nova política busca concentrar o foco em CVEs com maior potencial de impacto generalizado. Embora vulnerabilidades fora dos critérios possam ter efeito nos sistemas afetados, o risco sistêmico costuma ser menor.
Contexto e impactos
O CVE, sigla para Common Vulnerabilities and Exposures, é uma base de falhas usadas para identificar problemas de cibersegurança. Em 2025, o projeto quase ficou sem verba devido a questões contratuais com a gestão da base pela Mitre, conforme reportado pelo Cybersecurity Dive.
A mudança anunciada pelo NIST mantém a listagem completa na NVD, mas restringe o enriquecimento apenas aos itens prioritários. Fontes: Cybersecurity Dive.
Entre na conversa da comunidade