美国国家标准与技术研究院（NIST）计划使用IBM Watson来评估公开披露的安全漏洞的严重程度，并给出严重程度的分数。

CVSS分数

公开的信息安全漏洞通常被指定一个CVE编号作为ID以方便研究者进行追踪，以及一个通用漏洞评分系统（CVSS）分数，方便企业根据漏洞的严重程度确定响应和资源的优先顺序。

CVSS分数范围为0到10，通过衡量以下因素进行计算：

利用漏洞进行攻击的复杂程度；

攻击是否需要交互；

攻击对目标系统的机密性，完整性和可用性以及数据的影响程度。

目前CVSS评分仍由NIST的分析师人工给出，这个过程非常耗时。根据美国国家标准与技术研究院计算机安全部门负责人马修·舒尔（Matthew Scholl）的说法，对于简单漏洞，分析师需要5到10分钟来计算分数，而对于新的、不常见的和复杂的漏洞则需要更长的时间。随着披露的漏洞数量逐年增加（尤其是物联网的出现），NIST分析师的负担也越来越重。

使用IBM Watson计算CVSS分数

为了解放分析师的时间并让他们专注于更重要的事情，NIST正在测试像Watson这样的人工智能系统是否可以接管这项工作。

到目前为止，结果令人振奋。

Scholl告诉NextGov，Watson接受测试任务已有一段时间了，在这段时间内，Watson对该研究院分析师的历史报告、数据和CVSS分数进行仔细研究，并给出了自己的评分。测试显示，Watson在常见漏洞方面表现非常出色，但对新型和/或复杂漏洞仍难以给出恰当评分。

幸运的是，Watson还为每个CVSS评分提供一个置信百分比。如果某个评分的置信百分比低于预设的阈值（>90%）,Watson会指派一位分析师人工看一看，并给出一个合适的分数。

如果该计划能与NIST其他系统安全融合并完成工作任务，那么NIST计划在2019年10月之前启用Watson对大多数公开披露的漏洞进行风险评分。

NIST也正在考虑将该技术应用于NIST其他领域中。

原文链接：https://www.helpnetsecurity.com/2018/11/05/ai-assigns-cvss-scores/