科技媒体Android Authority近日披露,谷歌正酝酿对安卓系统安全更新机制进行重大调整,计划推出“基于风险的安全更新系统”(RBUS),通过差异化更新策略优化漏洞修复效率。这一变动旨在应对安卓生态长期存在的更新延迟问题,尤其惠及中低端设备用户。
现行机制下,谷歌每月发布安全公告并提前30天向设备制造商(OEM)提供私有补丁包,以便测试整合。然而由于安卓系统架构复杂,叠加OEM定制层与运营商审批流程,多数设备尤其是中低端机型仅能实现每2-3个月更新一次。统计显示,过去十年间发布的120份月度公告中,漏洞修复覆盖面始终受限于生态碎片化。
新推出的RBUS系统将更新频率与漏洞风险等级深度绑定。每月更新将专注修复两类高危漏洞:正在被主动利用的漏洞,以及构成已知攻击链关键节点的漏洞。其余中低风险漏洞则集中至季度更新发布。这种分级策略使OEM每月需处理的补丁数量大幅减少,测试压力与发布成本随之降低。
风险评估标准发生实质性转变。谷歌不再单纯依赖CVSS评分体系中的“严重”或“高”级标签,而是综合考量漏洞的实际利用可能性与攻击面广度。例如2025年7月的月度公告首次出现“零修复”情况,打破十年惯例;而9月季度公告则集中披露119个漏洞,显示修复资源正向高威胁漏洞倾斜。
谷歌同步强化系统底层防护,在Android与Pixel设备中优先部署Rust等内存安全编程语言,并引入硬件级安全机制。但隐私安全项目GrapheneOS指出,季度更新提前数月向OEM披露可能增加漏洞信息泄露风险,且谷歌停止为月度更新提供开源代码,导致多数定制ROM开发者难以维持原有更新节奏。
对用户端的影响呈现差异化特征。已实现月度更新的设备将保持原有体验,而更新周期较长的设备则可能获得更稳定的季度补丁推送。行业分析认为,该策略在提升整体安全效率的同时,也使安全防护更依赖季度集中更新,生态参与者需在响应速度与风险控制间寻求新平衡。
