科技媒体Android Authority近日披露,谷歌正为安卓系统开发一项名为“基于风险的安全更新系统”(RBUS)的新策略,旨在通过差异化更新机制提升设备安全防护效率。该计划将高风险漏洞与常规漏洞修复分离,每月仅推送被证实处于活跃攻击状态的漏洞补丁,其余问题则集中至季度更新中处理。
过去十年间,安卓系统沿用每月定期发布安全公告的机制,同步列出当月修复的全部漏洞。谷歌会提前30天向设备制造商(OEM)提供补丁的私有版本,供其测试适配。但由于系统复杂度高、定制化需求强,叠加运营商审核流程,中低端机型实际更新周期普遍延长至2-3个月,导致大量设备长期暴露在已知漏洞风险中。
新策略的核心在于风险优先级排序。RBUS不再单纯依据漏洞严重等级(如“高危”“中危”),而是重点评估其是否已被黑客利用或构成已知攻击链的一部分。这种调整可使OEM每月需处理的补丁数量减少30%-50%,显著降低测试与发布成本。谷歌安全团队举例称,2025年7月的月度公告首次出现“零修复”情况,而9月季度更新则一次性披露了119个漏洞。
对于设备制造商,谷歌建议至少维持季度更新频率,但允许部分厂商根据合规要求或自身策略保持每月更新。Android与Pixel设备将继续优先修复高风险漏洞,并在系统底层采用Rust等内存安全编程语言,结合硬件级防护技术构建多层防御体系。
争议随之而来。隐私安全项目GrapheneOS指出,季度更新补丁提前数月向OEM披露可能增加信息泄露风险,攻击者可能利用更长的准备周期发动攻击。谷歌停止为月度更新提供开源代码,导致依赖社区维护的定制ROM(如LineageOS)难以保持原有更新节奏,部分机型可能被迫转向季度更新。
用户端影响呈现分化态势。对于已实现月度更新的高端设备,使用体验基本不受影响;但对于依赖厂商推送的中低端机型,新策略虽能提升补丁发布的规律性,却也意味着安全防护更依赖季度集中更新。行业分析认为,这一调整需在效率提升与潜在风险间寻求平衡,尤其是如何缩短漏洞从发现到修复的窗口期。
