研究人員發現，NVD（美國漏洞數據庫）和安全權威公布的電腦漏洞大有可能在暗網（Dark Web）上已被分享了好多天了。

網絡安全公司Recorded Future對漏洞信息在NVD公布以前是否被暗網及安全信息媒體披露做了一項研究，星期三發布了研究結果。所謂的暗網是指互聯網未被索引的部分，暗網只能通過Tor網絡訪問。

據Recorded Future介紹，漏洞信息的公開披露及以正式通知的形式發送給各機構和安全公司的平均延遲為七天，而且，該研究考查了曾公開發布的12500個共有漏洞和弱點暴露（CVE），其中超過75％的CVE在進入CVE數據庫之前已經在網上被披露。

披露者包括媒體、博客以及Dark Web、Pastebin粘貼網站以及地下犯罪論壇等。

Recorded Future稱該結果“表明官方漏洞公開渠道的可靠性成疑”。

Recorded Future 表示，“非官方和官方渠道之間CVE的這種差異加重了CISO和安全團隊的負擔，導致這些人在漏洞大開時仍不知情，因而無法就安全策略在掌握了信息后再做出策略性決策。”

Recorded Future的研究始于2016年初，研究還顯示，供應商公告和NVD的發布之間也存在時間差異。記錄中最快為一天，而最慢的是在172天后NVD才發布。

Recorded Future考查了1500個在NVD發布前已被透露的漏洞，在暗網上透露的漏洞的5%具有極高的安全問題。另外，在地下網絡上披露的漏洞的30%是用非英語發表的。

具體到Dirty Cow漏洞一例，Pastebin首先披露了Dirty Cow漏洞的概念驗證（POC），Dirty Cow漏洞15天后才在NVD發布。