Em 15 de abril de 2026, NIST enriquece apenas CVEs que aparecem no catálogo de vulnerabilidades conhecidas exploradas da CISA, software do governo federal ou software designado crítico sob a Ordem Executiva 14028. Todo o resto carrega um status de “Prioridade mais baixa”: sem pontuação CVSS, sem mapeamentos de produtos afetados, sem classificação de fraqueza. O NIST enriqueceu cerca de 42.000 CVEs em 2025, e as submissões no início de 2026 estão aumentando cerca de um terço ano após ano. Indústria estimativas sugerem que as categorias priorizadas cobrirão apenas 15–20% do volume previsto de CVE daqui para frente.
Para equipes cujos fluxos de trabalho de gerenciamento de vulnerabilidades dependem das pontuações CVSS do NVD, isso poderia criar uma lacuna operacional. Os CVEs no backlog não enriquecido podem significar vulnerabilidades reais que afetam software real. Eles não necessariamente deixam de ter importância porque o NIST não os alcançou.
A Recorded Future não acredita que a solução seja obter pontuações CVSS mais rapidamente. Em vez disso, o Recorded Future se esforça para fornecer sinais que realmente reflitam o comportamento do invasor. O CVSS foi projetado para caracterizar as propriedades técnicas de uma vulnerabilidade – vetor de ataque, complexidade, privilégios necessários, impacto potencial. CVSS não foi projetado com a priorização de patches como uma preocupação principal. Esta distinção sempre existiu; a crescente lacuna no enriquecimento do NVD aumenta a importância da inteligência e dos insights corretos que podem capturar o comportamento do invasor em tempo real.
Onde o risco de vulnerabilidade realmente se origina
Explorar superfícies de código no GitHub. O desenvolvimento de provas de conceito é discutido em fóruns de segurança ofensivos e comunidades clandestinas. Os operadores de ransomware avaliam quais vulnerabilidades se adequam aos seus pipelines de implantação. Os agentes de ameaças incorporam CVEs específicos em seus kits de ferramentas e começam a escanear em busca de alvos exploráveis.
Em algum momento durante ou após essa sequência, um CVE é atribuído e, sob a política anterior, seria eventualmente enriquecido pelo NVD. No momento em que um profissional vê uma pontuação CVSS no seu scanner, o risco já pode ter se materializado.
O atraso entre o uso do invasor e a atribuição de uma pontuação CVE e CVSS não é uma dinâmica nova. Por esta razão, as pontuações de risco de vulnerabilidade do Recorded Future nunca foram construídas para depender do enriquecimento do NVD.
A inteligência que determina se uma vulnerabilidade é perigosa tem origem nas comunidades técnicas, nos mercados clandestinos, nos repositórios de exploração e nos ecossistemas de malware onde os invasores trabalham. Não provém de bases de dados institucionais que processam CVEs até semanas ou meses após a alocação. A mudança de política do NVD não cria uma lacuna na cobertura do Recorded Future porque o NVD não é o principal sinal por trás do Recorded Future Vulnerability Intelligence.
O que o modelo realmente pesa
A pontuação de risco do Recorded Future é mapeada diretamente para o ciclo de vida de armamento de vulnerabilidade. Muitos dos sinais são disparados com base na localização de um CVE nesse caminho, e não no que o NIST pontuou ou não.
Figura 1: O ciclo de vida de armamento da vulnerabilidade, conforme exibido no painel de inteligência de vulnerabilidade do Recorded Future (Fonte: Recorded Future).
Os sinais que têm maior peso são aqueles ligados à exploração ativa em estado selvagem – amostras de malware observadas pela infraestrutura de coleta da Recorded Future, operações de ransomware validadas por analistas do Insikt Group® e outras evidências diretas do uso do invasor. A atividade de exploração confirmada tem maior peso no modelo, independentemente da pontuação CVSS do CVE. Estes são os sinais que respondem à pergunta que os profissionais realmente precisam responder: alguém está usando isso agora?
Abaixo da exploração ativa, o modelo rastreia a disponibilidade da prova de conceito, incluindo a distinção entre um PoC verificado e não verificado. O código de exploração verificado que demonstra a execução remota é um sinal materialmente diferente de uma prova de conceito não verificada de confiabilidade desconhecida. Por exemplo, o código de exploração no GitHub não representa um risco teórico; geralmente comprime o tempo entre a divulgação e a transformação em armamento. As pontuações de risco futuro registradas tratam-no adequadamente.
Além desses recursos de coleta e análise, o Recorded Future rastreia relatórios da web sobre um CVE antes que o NVD publique os dados de enriquecimento. Para a maioria dos novos CVEs daqui para frente, este sinal pré-NVD pode ser a inteligência estruturada mais antiga disponível em qualquer lugar. Um CVE que o NIST marcou como Prioridade Mais Baixa ainda pode acumular sinais em muitas dimensões. Como resultado, a ausência de uma pontuação CVSS no NVD não cria um ponto cego na avaliação do Recorded Future.
CVSS ainda é importante. Simplesmente não é a base.
As pontuações CVSS fluem para o modelo a partir de várias fontes. Muitas autoridades de numeração CVE (CNAs) fornecem pontuações CVSS no momento do envio e cobertura CVSS em CVEs publicados permaneceu acima de 90% em 2025 mesmo com a diminuição do enriquecimento independente do NVD. Isso não significa que as pontuações fornecidas pela CNA sejam intercambiáveis com as NVDs. Análises acadêmicas de CVEs com pontuação dupla documentaram taxas de divergência acima de 50% ao longo da última década, atingindo 70% em 2023com divergências às vezes grandes o suficiente para mover uma vulnerabilidade entre níveis de gravidade. Para CVEs onde nem o NVD nem o CNA forneceram pontuação, a Recorded Future atribui pontuações de forma independente através da sua própria análise. O CVSS ocupa uma posição no modelo, ao lado dos sinais baseados no comportamento observável do invasor, e esses sinais operam independentemente da existência de uma pontuação CVSS.
O que fazer com isso
Audite de onde vêm seus sinais de priorização. Se o seu programa se basear total ou principalmente nas pontuações CVSS extraídas do NVD, você poderá ter exposição, não apenas do backlog existente, mas de cada novo CVE que entra no ecossistema sob a nova política.
Inteligência de vulnerabilidades futuras registradascomo parte do Operações Cibernéticas A solução avalia cada CVE em relação ao conjunto completo de sinais: atividade de exploração, associações de malware e ransomware, disponibilidade de prova de conceito, direcionamento de atores de ameaças e inteligência validada por analistas. Tudo independente do pipeline de enriquecimento do NVD. Veja essa priorização e automação em ação com este clique percorrer.
Veja como o Vulnerability Intelligence se integra ao seu fluxo de trabalho de gerenciamento de vulnerabilidades existente — solicite uma demonstração.
