美国网络安全与基础设施安全局（CISA）近日向联邦机构发布新的漏洞管理指引，要求对最高风险漏洞设定最短3天的处置时限。

据外媒GigaZine于11日（当地时间）报道，在人工智能（AI）加速网络攻击扩散的背景下，美国政府正调整漏洞管理思路，由过去按统一节奏处理，转向以实际风险为优先的处置模式。

这份指引的核心，是不再以同样速度处理所有漏洞，而是优先修补更可能被实际利用、且潜在影响更大的高风险漏洞。按照新要求，被划为最高风险等级的漏洞，须在3天内完成修补或停用；如有必要，还需实施互联网隔离。

根据新标准，CISA主要从四个方面评估漏洞风险：相关资产是否对外暴露；漏洞是否被纳入“已知被利用漏洞目录”；攻击者能否将利用过程自动化；以及漏洞一旦被利用，是否可能导致资产部分或全部控制权落入攻击者手中。不同条件组合对应不同的处置时限。

此次调整的背景在于，AI正在显著压缩攻击者发现并利用漏洞的时间窗口，而防守方并没有足够资源对海量漏洞逐一即时响应。基于这一现实，美国政府在原有以通用漏洞评分系统（CVSS）和已知漏洞清单为主的管理方式上，进一步转向以真实可利用风险为核心来确定处置优先级。

CISA表示，需要在3天内处置的漏洞仅占全部漏洞的约1%。换言之，绝大多数漏洞并不一定需要立即处理，通过明确优先级，反而更有助于提升资源使用效率，也更符合各机构在补丁管理上的实际能力。

Verizon《2026年数据泄露调查报告》显示，在被CISA目录收录的漏洞中，2025年得到完全修复的比例仅为26%，从发现到彻底解决的中位时间为43天。

按照该指引，各联邦机构需重新调整自身漏洞管理政策，不仅要压缩高风险漏洞的修补周期，还需将风险评估和处置优先级纳入内部流程，建立相应的管理机制。

CISA网络安全负责人、代理执行副局长Chris Butera表示，各机构需要预留处置窗口，以便更快为最紧急的漏洞部署补丁；对于低风险漏洞，则可继续按照常规补丁周期处理。

尽管这份指引主要面向联邦机构，但外界普遍将其视为漏洞管理思路转向的一个信号。在攻击自动化门槛持续下降、针对公开暴露资产的入侵尝试不断提速的情况下，相比单纯关注漏洞数量，依据实际可利用风险来确定处置速度正变得愈发重要。

这也意味着，美国政府的安全运营方式预计将从单一依赖严重性评分，逐步转向同时衡量攻击可行性与潜在损害规模的管理框架。