Visão geral
O Banco de Dados Nacional de Vulnerabilidades da China (NVDB, do inglês National Vulnerability Database) é uma plataforma nacional de cibersegurança operada pelo Ministério da Indústria e Tecnologia da Informação (MIIT) da República Popular da China. Faz parte da Plataforma de Compartilhamento de Inteligência de Ameaças Cibernéticas e Vulnerabilidades, atuando como repositório centralizado para coleta, compartilhamento e gestão de informações sobre vulnerabilidades de segurança em produtos de rede e software. Diferentemente de bases como a CNNVD ou CNVD, o NVDB foca no compartilhamento interno de dados entre órgãos governamentais e parceiros autorizados, sem publicação pública direta de vulnerabilidades. O sistema foi fortalecido pelas Regulamentações sobre a Gestão de Vulnerabilidades de Produtos de Rede (RMSV) de 2021, que impõem reporte obrigatório de falhas de segurança ao MIIT em até 48 horas.
O NVDB é relevante no contexto da estratégia chinesa de cibersegurança, contribuindo para a proteção de infraestruturas críticas e para o compartilhamento de inteligência entre entidades estatais.
Histórico e regulamentação
O NVDB surgiu no âmbito das reformas regulatórias chinesas em cibersegurança iniciadas por volta de 2017 e consolidadas em 2021. As RMSV, publicadas em julho de 2021 e em vigor a partir de setembro do mesmo ano, determinam que vulnerabilidades descobertas por empresas ou pesquisadores sejam reportadas ao MIIT em 48 horas, com restrições à divulgação pública antes da disponibilização de patches. O NVDB integra a Plataforma de Compartilhamento de Inteligência de Ameaças Cibernéticas do MIIT e compartilha dados com o Centro Nacional de Resposta a Emergências de Redes de Computadores da China (CNCERT/CC, responsável pela CNVD) e o Ministério da Segurança Pública.
Estrutura e operação
O NVDB é gerenciado pela Diretoria de Gestão de Cibersegurança do MIIT. O acesso é restrito a cidadãos chineses com número de telefone chinês, em horários limitados (geralmente 8h às 20h, horário de Pequim). Usuários podem reportar links maliciosos, endereços IP, hashes de arquivos e incidentes, incluindo vulnerabilidades de software. O sistema não publica vulnerabilidades publicamente, mas encaminha informações para bases parceiras como a CNVD. Inclui bases de dados downstream especializadas, como para sistemas de controle industrial (ICS).
Comparação com outros bancos de dados
- CNNVD (China National Vulnerability Database of Information Security): Operada pelo Centro de Avaliação de Segurança de Tecnologia da Informação da China (CNITSEC), vinculada ao Ministério da Segurança do Estado; foca em catalogação pública e é associada a atividades de inteligência.
- CNVD (Chinese National Vulnerability Database): Gerenciada pelo CNCERT/CC; mais orientada à resposta a incidentes e compartilhamento comunitário.
- NVD (National Vulnerability Database) dos EUA: Repositório público mantido pelo NIST, com ênfase em padronização SCAP e CVSS.
O NVDB complementa esses sistemas ao centralizar o reporte obrigatório e facilitar o fluxo de dados entre órgãos chineses.
Alertas e atividades recentes
O NVDB emite alertas sobre vulnerabilidades de alto risco, como a falha de escrita fora dos limites no framework ImageIO dos sistemas iOS, iPadOS e macOS da Apple (setembro de 2025), já explorada em ataques. Também alertou sobre riscos em ferramentas de IA, como backdoors em versões do Claude Code da Anthropic e configurações inseguras no OpenClaw (2026). Esses comunicados visam orientar organizações chinesas a realizar avaliações de risco e atualizações.
Controvérsias e implicações
Analistas ocidentais, como no relatório do Atlantic Council (2023), apontam que o sistema de reporte obrigatório pode direcionar vulnerabilidades para uso ofensivo por agências de inteligência chinesas, ao mesmo tempo em que restringe a divulgação pública e a participação em competições internacionais. O NVDB reflete a política chinesa de tratar vulnerabilidades como recursos estratégicos, priorizando o controle estatal sobre a divulgação.
