标题：美国的网络防御正在从内部瓦解：CVE系统濒临崩溃

Sign in / up The Register

Security Off-Prem On-Prem Software Offbeat Special Features Vendor Voice Resources

15

America's cyber defenses are being dismantled from the inside

15

The CVE system nearly dying shows that someone has lost the plot

Steven J. Vaughan-Nichols Wed 23 Apr 2025 // 08:27 UTC

观点认为，我们差点失去了通用漏洞披露（CVE）数据库系统，但这只是President Trump及其团队对美国网络安全工作所作所为的冰山一角。

在技术安全方面，让我们面对现实。我们很糟糕，也很懒惰。但我们通常不会故意让情况变得更糟。直到现在。直到President Donald Trump和他那群技术喽啰，更广为人知的是Elon Musk的政府效率部门（DOGE），接管了一切。

你可能会想，如果你在美国境外，谁在乎呢？不幸的是，不管你喜不喜欢，美国长期以来都在技术安全方面处于领先地位。

举例来说，我们差点失去了通用漏洞披露（CVE）数据库。任何熟悉网络安全的人都会听说过CVE。它是过去25年来几乎所有安全漏洞的主列表。

正如网络安全和基础设施安全局（CISA）前局长Jen Easterly在LinkedIn上解释的那样：“这是一个全球目录，可以帮助每个人——安全团队、软件供应商、研究人员、政府——使用相同的参考系统来组织和讨论漏洞。”

如果没有它，每个人都在使用不同的目录，或者根本没有目录，没有人知道他们是否在谈论同一个问题，防御者浪费了宝贵的时间来弄清楚哪里出了问题。最糟糕的是，威胁行为者会利用这种混乱。

如此重要的项目怎么会失败呢？很简单。它没有获得资金。监督CVE的机构CISA，其员工面临超过三分之一的裁员。此外，CISA的员工被要求在周一午夜之前，在继续工作或辞职之间做出选择。因此，延长MITRE CVE合同的决定直到最后一刻才做出。

该合同将在2026年3月到期。谁知道Trump等人是否会再次延长它？曾经，这种决定是毫不费力的。我的意思是，无论好坏，所有的技术安全都依赖于CVE系统。现在？你的猜测和我的一样好。

在安全方面，你不能依赖猜测。

然而，Trump政府的任期内，美国联邦政府的技术安全工作已经一再遭受重大挫折。

例如，国家安全局（NSA）和美国网络司令部负责人General Timothy D. Haugh，在4月初被解雇。General Haugh是捍卫国家网络基础设施的关键人物，尤其以对抗俄罗斯自2016年选举以来的干预而闻名。他的解雇，以及其他高级网络官员的撤职，大大削弱了该国的网络防御。为什么？他犯了什么错？极右翼阴谋论者和Trump的哥们Laura Loomer不喜欢他。

该政府还系统性地解散了关键的网络安全咨询机构。值得注意的是，在前任Biden政府领导下成立的，旨在调查重大网络事件的网络安全审查委员会（CSRB），实际上是通过终止所有成员而解散的。这一举动停止了对重大网络攻击的调查，包括中国的“Salt Typhoon”黑客攻击。

请注意，“Salt Typhoon”攻击的目标也是Trump和副总统JD Vance，但出于某种原因，不要问我为什么，他们不在乎。我们已经知道Trump和俄罗斯是哥们，但是中国呢？他正在与之进行重大贸易战的国家？这对我来说毫无意义。

那么，谁应该负责保护美国的网络资源呢？你相信吗，是州和地方政府？

根据Trump的“通过州和地方准备实现效率”行政命令：“准备工作在州、地方，甚至个人层面得到最有效的拥有和管理，并由一个有能力、可访问和高效的联邦政府支持。公民是健全的地方决策和旨在应对风险（包括网络攻击、野火、飓风和太空天气）的投资的直接受益者。”

• It's fun making Studio Ghibli-style images with ChatGPT – but intellectual property is no laughing matter
• Musk's move fast and break things mantra won't work in US.gov
• Windows 10's demise nears, but Linux is forever
• Is it really the plan to take over Greenland and the Panama Canal? It's been a weird week

其中一部分显然为摆脱联邦紧急事务管理局（FEMA）奠定了基础，但是太空天气！？网络攻击！！？你知道有多少真正的IT安全专家吗？你认为所有50个州都能雇佣足够的人手吗？我不这么认为。哦，而且我们不要忘记，网络攻击不仅仅是针对，比如说，北卡罗来纳州和西弗吉尼亚州，它们会袭击所有人，所有地方。五十个不同的团体试图应对国家支持的精英黑客团队，简直是愚蠢至极。

哦，我有没有提到？在他任期早期，Trump削减了专门针对网络安全的联邦资助计划的资金。所以，祝你好运，能雇佣到一流的安全专家来保护你的家乡州。

我们也不要忘记内部的敌人。DOGE可以访问敏感的联邦系统。这些系统包括财政部的支付系统和社会保障系统。看来这些数据已经被复制到只有上帝才知道的地方，现在可以被没有权利查看或使用它的人访问。

因此，不仅美国外部的网络防御被拆除了，而且数据也已泄露，可能导致有史以来对个人公民进行的最严重的袭击。160万人从一家保险公司窃取了他们的社会保障信息？这太小儿科了。

美国将因这些自残的安全创伤而遭受最大的痛苦，但整个世界都会感受到这种痛苦。“系好安全带，我们将经历一段颠簸的旅程。” ®

Share

More about

• Common Vulnerability Scoring System
• Cybersecurity and Infrastructure Security Agency
• DOGE