CVE, nguồn thông tin an ninh mạng toàn cầu, suýt bị Bộ An ninh Nội địa (DHS) cắt giảm chỉ vài giờ trước khi bị đóng cửa.

Tác giả tanthanh 10/02/2026 9 phút đọc

Lỗ hổng và phơi nhiễm phổ biến, hoặc CVE, kho lưu trữ giữ câu trả lời cho một số câu hỏi quan trọng nhất của bảo mật thông tin. Cụ thể, chúng ta đang nói đến vấn đề bảo mật nào và nó hoạt động như thế nào?

Chương trình CVE 25 năm tuổi, một phần thiết yếu của an ninh mạng toàn cầu, được trích dẫn trong hầu hết mọi cuộc thảo luận hoặc phản hồi về vấn đề bảo mật máy tính, bao gồm cả các bài đăng của Ars. CVE thực sự có nguy cơ đóng cửa sau khi hợp đồng của họ hết hạn vào ngày 16 tháng 4. Tổ chức phi lợi nhuận MITRE điều hành CVE và các chương trình liên quan (như Điều tra điểm yếu chung hoặc CWE) theo hợp đồng với Bộ An ninh Nội địa Hoa Kỳ (DHS). MỘT thư gửi thành viên hội đồng quản trị CVE được gửi hôm thứ Ba bởi Yosry Barsoum, phó chủ tịch MITER, đã đưa ra thông báo về khả năng ngừng hoạt động.

“Nếu xảy ra gián đoạn dịch vụ, chúng tôi dự đoán sẽ có nhiều tác động đối với CVE, bao gồm suy giảm cơ sở dữ liệu và tư vấn về lỗ hổng quốc gia, nhà cung cấp công cụ, hoạt động ứng phó sự cố và tất cả các loại cơ sở hạ tầng quan trọng,” Barsoum viết.

Cuối ngày thứ Ba, Cơ quan An ninh mạng & Cơ sở hạ tầng (CISA) “đã thực hiện thời hạn tùy chọn trên contract” để đảm bảo tiếp tục cung cấp dịch vụ, CISA nói với trang bảo mật BleepingComputer. “Chúng tôi đánh giá cao sự kiên nhẫn của các đối tác’ và các bên liên quan’, người phát ngôn của CISA được trích dẫn cho biết.

Báo cáo của Nextgov việc gia hạn của CISA đó là trong 11 tháng. Các bản tin đã trích dẫn nửa đêm ngày 15 hoặc 16 tháng 4 là thời điểm tiềm năng khi nguồn tài trợ của CVE hết hạn.

Khả năng mất cơ sở hạ tầng quan trọng đối với an ninh mạng toàn cầu đã khiến một số thành viên hội đồng CVE thành lập CVE Foundation, một tổ chức phi lợi nhuận cam kết đảm bảo một tương lai an toàn hơn cho chương trình CVE mà chính phủ Hoa Kỳ có thể cung cấp vào lúc này. “Mặc dù chúng tôi đã hy vọng ngày này sẽ không đến nhưng chúng tôi đã chuẩn bị cho khả năng này,” thông cáo báo chí của nhóm cho biết. “CVE, với tư cách là nền tảng của hệ sinh thái an ninh mạng toàn cầu, quá quan trọng để có thể dễ bị tổn thương,” Kent Landfield, một quan chức của tổ chức, cho biết trong thông cáo báo chí.

Nhà tài trợ CVE DHS đang bị cháy

Chính quyền thứ hai của Trump đã nhanh chóng nhắm mục tiêu vào DHS và CISA để cắt giảm sâu và tổ chức lại, bao gồm Hội đồng đánh giá an toàn mạng của CISA. Các hợp đồng gần đây nhất để MITER duy trì CVE liên quan đến khoản thanh toán tiềm năng khoảng 40 triệu USD, được triển khai vào ngày 26 tháng 4 năm 2024 và có khả năng hết hạn vào ngày 25 tháng 4 năm nay.

Bộ trưởng An ninh Nội địa Kristi Noem đã tìm cách cắt giảm cơ quan này, cơ quan mà các nhà lập pháp Đảng Cộng hòa nhắm tới vì bị cáo buộc kiểm duyệt các quan điểm bảo thủ bằng cách tìm cách xóa thông tin sai lệch về bầu cử. Trump trước đó đã sa thải Chris Krebs, người đứng đầu CISA, người phản bác tuyên bố của Trump về gian lận bầu cử vào năm 2020. CISA được tạo ra vào năm 2018 trong nhiệm kỳ tổng thống đầu tiên của Trump.

CVE hoạt động như một cơ quan thanh toán bù trừ các lỗ hổng, được chỉ định và đánh số nhiều hơn 450 Cơ quan đánh số CVE (CNA) từ 40 quốc gia. CNA bao gồm phần lớn những người chơi công nghệ lớn, bao gồm Amazon, Google, Apple và Meta, cùng với các nhóm như Apache Software Foundation, GitHub, Mozilla và các nhóm khác. Bằng cách đánh số CVEs—bắt đầu bằng “CVE” và năm, như CVE-2025-24201 gần đây đã ảnh hưởng đến các thiết bị iOS—và sử dụng các mô tả được tiêu chuẩn hóa về mức độ nghiêm trọng, sản phẩm và giải pháp bị ảnh hưởng, các chuyên gia bảo mật, nhà nghiên cứu, nhà báo và những người khác có thể hiểu rõ hơn và khắc phục các lỗ hổng.

“Nếu nguồn tài trợ của MITER biến mất, nó sẽ gây ra hiệu ứng xếp tầng ngay lập tức, tác động đến việc quản lý lỗ hổng trên quy mô toàn cầu,” Brian Martin, CSO của dự án Security Errata và cựu thành viên hội đồng quản trị CVE, viết trên LinkedIn vào thứ ba. Martin mô tả một thế giới không có dữ liệu CVE chung là tạo ra cơ sở dữ liệu về lỗ hổng bảo mật quốc gia và doanh nghiệp xung đột và không đầy đủ, cùng với nhiều lỗ hổng hơn tại các tổ chức dựa vào CVE để nhận thức.