" 为什么手机隔三差五就会弹出系统更新提示？" 这是不少用户对于手机厂商催命似地提示自己升级系统时，发出的疑问。为了不让频繁的系统更新打扰到用户，谷歌方面可能要出手了。近日有消息源透露，谷歌正计划为 Android 系统引入 " 基于风险的安全更新系统 "（RBUS）。

RBUS 的核心目的是改变 Android 的安全更新机制，月度更新限定为仅包含高风险漏洞，其余的中低风险漏洞则会推迟到季度更新来解决，这也就意味着 Android 的安全策略将迎来十年内最大的一次转向。

早在 2015 年的拉斯维加斯世界黑帽大会上，谷歌方面就宣布将每月发布 Android 系统安全更新 Android Security Bulletin，以降低 Android 设备被攻击的风险。比如在本月初，谷歌就推出了 AOSP 系统 13-16 版本的安全更新，累计修复 84 个漏洞，其中包括两项已被黑客积极利用的零日漏洞 CVE-2025-38352 和 CVE-2025-48543。

事实上，在谷歌的 Android 开发者网站就能发现，该公司持之以恒地更新安全补丁也是过去十年 Android 在支持侧载的情况下，安全性还能与日俱增的关键。

尽管谷歌的 Android 月度安全更新策略确定让用户的设备变得更加可靠，但随之而来的负面影响同样也不容忽视。在当下这个智能手机已经成为了人类 " 新器官 " 的环境下，许多人恨不得都保持 24 小时开机，此时频繁推送系统更新带来的手机强制关机显然就会让一些用户不满。

从某种意义上来说，其实是 Android 用户被保护得太好，以至于忘记了网络中实际上是危机四伏，安全才是奢侈品。只不过消费者是上帝，谷歌确实也没办法苛求用户能理解他们的苦心。所以谷歌引入 RBUS、改变安全更新策略，通过减少月度安全更新的内容，就会让每一次系统更新对于用户的打扰变得更轻微。

当然，安抚用户可能只是谷歌推出 RBUS 的次要任务，他们真正的目的是降低 OEM 合作伙伴的压力，促使 Android 手机厂商提升对于系统安全更新的重视。早在 2018 年，谷歌方面就发现了许多终端厂商对于安全更新的漠视，有相当多手机厂商并未及时向用户推送安全更新，因此成为了 Android 生态恶意软件泛滥的关键。

为此，当时谷歌宣布从 2019 年 1 月 31 日开始，强制 Android 设备制造商为用户推送安全更新，所有用户的设备都要确保不受过去 90 天内发现的安全漏洞的影响。可上有政策下有对策，即便谷歌手里掌握着 GMS 认证这个杀器，但面对终端厂商的 " 非暴力不合作 "，他们也无可奈何。

事实上，系统更新一直以来都是 Android 生态中的一个痛点，相比封闭的苹果 iOS，Android 生态中不仅有谷歌，还有提供芯片的高通、联发科等芯片厂商，以及一众 Android 设备厂商。如果将 Android 作为一个整体，过多的 SKU 就导致了系统更新的适配难如登天，因此面对如此庞大的工作量，有相当多的 Android 设备厂商选择摆烂，只为旗舰产品及时推送更新。

终端厂商的阳奉阴违逼迫谷歌就只能通过技术手段来解决问题，比如 Android 8 新增的 Project Treble 就将硬件驱动与系统分离，使得终端厂商可以为设备单独推送系统更新，而无需重新进行驱动的适配。而在 Android 10 上引入的 Project Mainline 则是将系统功能模块化，让上游的供应商能够更细化地提供具体的功能更新。

但问题是 Project Treble 和 Project Mainline 只是解决了 Android 系统碎片化的问题，让终端厂商愿意为老设备推送新的大版本系统更新，面对安全补丁这种频繁推送的更新则是有力未逮。关于这一点，高通副总裁 Chris Patrick 此前就曾坦言，" 对于 OEM 厂商来说，向每一位终端用户推送安全更新、Android 版本更新是一件非常复杂的事情，而且成本也非常昂贵。"

有鉴于此，谷歌就只能推出 RBUS 这个妥协性质浓厚的权宜之计。据悉，RBUS 的核心是谷歌的 Android 系统的月度更新，只针对正在被黑客主动利用或属于已知攻击链的漏洞。换而言之，只有已经被网络安全机构证实、且被黑客利用的漏洞，谷歌才会视其为迫在眉睫的威胁，而已经被发现、却没有公开披露的漏洞，权当它不存在。

没错，RBUS 在某种程度上其实是 " 掩耳盗铃 "，但它能带来的好处也摆在了台面上，那就是终端厂商每月需要处理的安全补丁数量会断崖式下降，厂商的测试与发布压力会立竿见影地减小。

可问题是这一切的代价是什么呢？对此就有网络安全专家指出，RBUS 极有可能会成为 Android 安全形势劣化的导火索。

在 RBUS 这个模式下，谷歌会提前一个季度向终端厂商披露需要堵住的中低风险漏洞，可这一行为就不可避免地会带来漏洞细节外泄的风险。如今 Android 系统的漏洞在暗网可是明码标价的，即使是在公开网络，也有大批第三方公司在收集 Android 漏洞。

只要有利可图，就难保会有人铤而走险，毕竟收买谷歌安全团队的代价和收买中小型终端厂商的工作人员可不一样。

【本文图片来自网络】