科技媒體Android Authority近日披露，谷歌正為安卓系統(tǒng)開發(fā)一項名為“基于風險的安全更新系統(tǒng)”（RBUS）的新策略，旨在通過差異化更新機制提升設(shè)備安全防護效率。該計劃將高風險漏洞與常規(guī)漏洞修復(fù)分離，每月僅推送被證實處于活躍攻擊狀態(tài)的漏洞補丁，其余問題則集中至季度更新中處理。

過去十年間，安卓系統(tǒng)沿用每月定期發(fā)布安全公告的機制，同步列出當月修復(fù)的全部漏洞。谷歌會提前30天向設(shè)備制造商（OEM）提供補丁的私有版本，供其測試適配。但由于系統(tǒng)復(fù)雜度高、定制化需求強，疊加運營商審核流程，中低端機型實際更新周期普遍延長至2-3個月，導(dǎo)致大量設(shè)備長期暴露在已知漏洞風險中。

新策略的核心在于風險優(yōu)先級排序。RBUS不再單純依據(jù)漏洞嚴重等級（如“高危”“中危”），而是重點評估其是否已被黑客利用或構(gòu)成已知攻擊鏈的一部分。這種調(diào)整可使OEM每月需處理的補丁數(shù)量減少30%-50%，顯著降低測試與發(fā)布成本。谷歌安全團隊舉例稱，2025年7月的月度公告首次出現(xiàn)“零修復(fù)”情況，而9月季度更新則一次性披露了119個漏洞。

對于設(shè)備制造商，谷歌建議至少維持季度更新頻率，但允許部分廠商根據(jù)合規(guī)要求或自身策略保持每月更新。Android與Pixel設(shè)備將繼續(xù)優(yōu)先修復(fù)高風險漏洞，并在系統(tǒng)底層采用Rust等內(nèi)存安全編程語言，結(jié)合硬件級防護技術(shù)構(gòu)建多層防御體系。

爭議隨之而來。隱私安全項目GrapheneOS指出，季度更新補丁提前數(shù)月向OEM披露可能增加信息泄露風險，攻擊者可能利用更長的準備周期發(fā)動攻擊。谷歌停止為月度更新提供開源代碼，導(dǎo)致依賴社區(qū)維護的定制ROM（如LineageOS）難以保持原有更新節(jié)奏，部分機型可能被迫轉(zhuǎn)向季度更新。

用戶端影響呈現(xiàn)分化態(tài)勢。對于已實現(xiàn)月度更新的高端設(shè)備，使用體驗基本不受影響；但對于依賴廠商推送的中低端機型，新策略雖能提升補丁發(fā)布的規(guī)律性，卻也意味著安全防護更依賴季度集中更新。行業(yè)分析認為，這一調(diào)整需在效率提升與潛在風險間尋求平衡，尤其是如何縮短漏洞從發(fā)現(xiàn)到修復(fù)的窗口期。