信息安全最重要的基石之一——通用漏洞披露（Common Vulnerabilities and Exposures,CVE）系统，正站在一个历史性的十字路口。上周特朗普政府一句“这玩意跟国家安全没啥关系”，差点断了CVE的资金命脉，一度引发网络安全行业的恐慌。该事件不仅暴露了CVE体系的脆弱性，更激起了全球范围对技术标准分裂和“科技巴尔干化”的深层忧虑。

这是否会成为科技界的一次“萨拉热窝事件”，引爆更广泛的信任危机与技术体系割裂？

导火索：CVE的“濒死体验”

一切始于美国政府对其长期资助的非营利组织MITRE（负责运营CVE项目）的资金削减威胁。尽管在最后一刻，美国网络安全与基础设施安全局（CISA）“态度反转”，承诺再提供11个月的临时资金支持，但这短暂的喘息并未驱散笼罩在全球漏洞管理生态系统上空的阴云。这次事件如同一记警钟，敲响了对单一国家政府资助模式稳定性的质疑。

正如信息安全服务商Optiv的网络运营高级总监Ben Radcliff所指出的，对单一且如今显得反复无常的政府资金的持续依赖，是一个严重的缺陷，甚至可能“迫使该组织（MITRE）在运作时减少公正性和政治中立性”。Flashpoint的漏洞分析师Brian Martin更是直言，这起风波暴露了“全球对美国政府确保CVE连续性承诺的信任缺失”。

欧洲的B计划：EUVD的登场

恰在此时，欧洲似乎早已未雨绸缪。基于其《网络和信息安全指令2》（NIS 2 Directive）的要求，欧盟网络安全局（ENISA）开发并维护着一个替代性系统——欧盟漏洞数据库（EUVD）。该数据库在去年六月宣布启动，旨在整理已披露的漏洞、记录其影响并链接到相关的安全建议和补丁，功能上类似于美国的国家漏洞数据库（NVD）。

值得注意的是，EUVD不仅使用标准的CVE ID，还引入了自己的EUVD ID以及似乎已停止运作的云安全联盟全球安全数据库（GSD）的ID。EUVD已酝酿近一年，CVE的资金不确定性无疑将其推向了聚光灯下，使其成为一个潜在的替代、备用或并行选择。IT服务巨头Atea的信息安全顾问Marcus Söderblom表示，希望EUVD能获得更多关注，“这样欧洲也能在这个领域实现自给自足”。

从“通用语”到“巴别塔”？

CVE的核心价值在于提供了一个全球通用的“语言”。提及“CVE-2017-5754”，业内人士立刻明白这是指英特尔的“Meltdown”漏洞。这种标准化避免了混乱，正如Flashpoint分析师Kecia Hoyt所比喻的，否则就像网络犯罪组织的命名一样——同一个团伙可能被不同机构称为Cozy Bear、Midnight Blizzard或APT 29，导致沟通障碍和信息壁垒。

然而，随着EUVD的崛起，以及诸如“全球CVE分配系统”（GCVE，目前似乎规模尚小）和旨在消除单点故障的“CVE基金会”等新倡议的出现，一个统一的全球漏洞编号体系正面临被多个区域性或独立系统取代的风险。这可能导致“一个漏洞，多种编号”的局面，如同“公制与英制”的混乱，甚至更糟。应用安全公司Black Duck的Tim Mackey预测，区域性监管可能会倾向于支持本地的漏洞数据库，进一步加剧分裂。

分裂的背后是信任的流失，以及对未来由谁主导全球漏洞标准体系的疑问。由单一政府支持的方案，已被证明存在单点故障和潜在的政治偏见风险。然而，将权力交给大型科技公司或企业联盟，又可能“危及中立性并引入偏见”，Hoyt警告说。在缺乏明确、可靠的全球性治理结构的情况下，整个漏洞管理生态系统可能碎片化，企业、政府和社区组织各自为政，最终损害的是全球网络安全防御的协同效率。

贸易战背景下的“科技巴尔干化”

CVE的分裂危机并非孤立事件，它恰好发生在全球关税战硝烟弥漫、美国与中国、欧洲之间科技与贸易裂痕加深的宏观背景之下。

从万斯在慕尼黑安全会议对欧盟AI安全政策的全盘否定开始，美国与欧盟在数字治理和网络安全领域的裂痕开始迅速扩大。从欧洲客户考虑“逃离”美国云巨头，到欧盟可能针对美国科技巨头采取关税反制，再到荷兰议会呼吁优先使用本土技术，以及欧洲科技界要求设立主权基金以摆脱“山姆大叔的数字束缚”——种种迹象都指向一个趋势：“去美国化”和“科技巴尔干化”。

“科技巴尔干化”指的是全球科技生态系统因地缘政治、贸易保护主义和国家安全担忧而分裂成多个相互隔绝、标准不一、互操作性差的区域性“技术孤岛”。过去，这种讨论更多集中在硬件供应链（如芯片）或互联网治理层面（如中美之间的防火墙）。而如今，连网络安全最基础的通用语言——漏洞命名与跟踪标准——也出现了分裂的苗头，这标志着“巴尔干化”的趋势正向更深层次、更基础的技术设施蔓延。

CVE体系面临的解体危机，是全球科技合作精神衰退的一个缩影，如果连这样一个旨在提升全球共同安全的非竞争性基础标准都难以维持统一，那么在更广泛的科技领域，构建开放、协作、互信的全球生态将面临更大的障碍。

这次CVE的“濒死”风波，或许真的如同历史上的萨拉热窝事件，本身的影响有限，但它所揭示和可能触发的，将是全球科技格局更深远、更复杂的重构与分裂。