科技媒体Android Authority近日披露,谷歌正在酝酿一项针对安卓系统安全更新的重大调整——推出“基于风险的安全更新系统”(RBUS)。该计划旨在通过差异化更新策略,解决长期以来安卓设备因碎片化导致的安全补丁延迟问题,同时平衡厂商测试压力与用户防护需求。
自2015年以来,谷歌每月定期发布安卓安全公告,提前30天向设备制造商(OEM)提供私有补丁包用于测试。然而,由于安卓系统架构复杂、厂商定制层差异以及运营商审批流程冗长,中低端机型往往只能每2-3个月才能获得更新,高端机型虽能实现月更,但厂商仍需投入大量资源进行适配。
新推出的RBUS系统将安全更新分为两个层级:每月更新仅包含“正在被主动利用”或“属于已知攻击链”的高风险漏洞,其他漏洞则推迟至季度更新集中发布。谷歌强调,高风险判定不单纯依赖漏洞的严重等级,而是综合评估其实际威胁性。例如,2025年7月的安全公告首次出现“零修复”情况,而9月的季度公告则一次性披露了119个漏洞。
这一调整预计将显著减轻厂商负担。据测算,OEM每月需处理的补丁数量可能减少60%以上,测试周期从平均14天缩短至7天。谷歌同时要求厂商至少保持季度更新频率,并允许部分厂商根据合规要求或自身策略维持月更节奏。作为配套措施,Android系统底层已引入Rust内存安全语言,Pixel设备还增加了硬件级防护模块。
但争议随之而来。隐私安全项目GrapheneOS指出,季度更新补丁需提前数月向厂商披露,可能增加漏洞信息泄露风险,为攻击者提供更长的利用窗口。更关键的是,谷歌不再为月度更新提供开源代码,这使得依赖社区维护的定制ROM(如LineageOS)难以维持原有更新频率,可能被迫转向季度更新。
对用户而言,影响呈现两极分化。原本按月更新的设备(如Pixel系列、三星旗舰机)将保持原有体验,而更新频率较低的设备(尤其是千元机)虽能获得更稳定的季度补丁,但安全防护将更依赖集中更新。行业分析师认为,这标志着安卓生态从“追求更新速度”转向“注重更新质量”,但如何平衡效率与风险仍是待解难题。
