NIST limita análise de vulnerabilidades CVE

O National Institute of Standards and Technology (NIST) anunciou mudanças significativas na gestão das vulnerabilidades CVE, devido ao crescimento acelerado do número de submissões.

A entidade, responsável pela National Vulnerability Database (NVD), passará a limitar a análise detalhada, conhecida como “enrichment”, apenas às vulnerabilidades consideradas críticas. As restantes continuarão a ser registadas, mas sem informação adicional como descrições completas ou classificação de severidade.

Segundo o NIST, as submissões de vulnerabilidades aumentaram cerca de um terço nos primeiros meses de 2026 face ao mesmo período do ano anterior. Apesar de ter enriquecido quase 42 mil CVE em 2025, um aumento de 45% face a anos anteriores, a organização admite que já não consegue acompanhar o ritmo.

Com as novas regras, apenas serão analisadas prioritariamente vulnerabilidades incluídas no catálogo de falhas exploradas ativamente da CISA, bem como aquelas que afetam software crítico ou utilizado pelo governo federal dos EUA.

A decisão surge num contexto de pressão crescente sobre os recursos da organização, que mantém uma equipa de apenas 21 pessoas para gerir um volume cada vez maior de vulnerabilidades.

O NIST reconhece ainda que não será possível eliminar o backlog acumulado desde 2024. As vulnerabilidades anteriores a março de 2026 passarão para uma categoria “não programada”, sendo analisadas apenas se cumprirem os novos critérios.

Especialistas apontam que a democratização de ferramentas de análise de código baseadas em inteligência artificial tem contribuído para o aumento significativo de vulnerabilidades reportadas, muitas delas de menor impacto.

Ao mesmo tempo, cresce a preocupação com sistemas autónomos capazes de identificar e explorar falhas de forma automática, aumentando a pressão sobre o ecossistema de cibersegurança.

A decisão do NIST levanta preocupações na indústria, que considera a NVD uma infraestrutura crítica para a gestão de risco. No entanto, a organização defende que esta abordagem baseada em risco é necessária para garantir a sustentabilidade e relevância da base de dados.