谷歌调整安卓安全更新策略：月更不再全量、季更集中修复漏洞

科技媒体 Android Authority 于近日发布博文，报道称是谷歌正计划为安卓系统引入“基于风险的安全更新系统”（RBUS），优先在每月更新中修复处于被主动利用或已知攻击链中的高风险漏洞，其余漏洞集中在每季度发布。

报道称，在过去 10 年间，谷歌每月都会发布安卓安全公告，列出当月修复的各类漏洞，并提前约 30 天向 OEM 提供私有版本，以便测试与整合。

然而安卓系统庞大复杂，漏洞发现与修补周期不一，再加上 OEM 定制与运营商审批等环节，许多设备难以获得及时更新，尤其是中低端机型往往只能每隔 2~3 个月才能更新一次。

谷歌为提升整体防护效率，计划推出“基于风险的安全更新系统”（RBUS）。该策略将每月更新限定为仅包含高风险漏洞，例如正被主动利用或属于已知攻击链的漏洞，其余修复推迟到季度更新中发布。

高风险定义并不仅依赖漏洞的“严重”或“高”评级，更注重漏洞的实际威胁程度，这样可显著减少 OEM 每月需处理的补丁数量，降低测试与发布压力。

RBUS 实施后，每月安全公告可能出现“零修复”的情况，例如在 2025 年 7 月的公告中，是打破了这一长达十年的趋势：在迄今为止发布的 120 份公告中，这是有史以来第一次没有列出任何漏洞。

而季度公告则会明显膨胀，如 9 月便集中披露了 119 个漏洞。谷歌鼓励 OEM 至少保持季度更新，以*大化用户安全，同时允许部分厂商在符合合规要求或自身策略下继续每月更新。

谷歌表示，Android 与 Pixel 设备持续优先修补高风险漏洞，并在系统底层引入 Rust 等内存安全语言及硬件级防护机制。

不过，隐私安全项目 GrapheneOS 指出，季度更新提前数月向 OEM 披露，可能增加漏洞细节外泄的机会，给予攻击者更长的利用窗口。此外，谷歌也不再为每月更新开放源代码，这让大多数定制 ROM 难以保持月更节奏。

对于用户而言，如果设备原本就按月接收更新，体验不会改变；而对于更新频率较低的设备，新策略有望提高补丁发布的一致性与覆盖面。但这也意味着安全防护更多依赖季度集中更新，行业需平衡效率与潜在风险。