在网络安全领域，软件漏洞如同潜伏的"数字病原体"，其威胁等级评估直接关系到修复优先级决策。然而随着漏洞数量呈指数级增长（2016-2023年新增漏洞增长近300%），传统依赖专家手动评估Common Vulnerability Scoring System（CVSS）的方法已难以为继。更棘手的是，当前漏洞描述存在两大痛点：约40%的漏洞报告偏离标准模板，且关键特征信息缺失，这导致现有基于深度学习的自动化评分系统面临"数据质量困境"和"算力黑洞"的双重挑战。

为破解这一困局，来自意大利卡拉布里亚大学的Seyedeh Leili Mirtaheri团队在《Knowledge-Based Systems》发表创新研究。研究者另辟蹊径，不再走"堆数据量"或"增加模型复杂度"的老路，而是构建了"生成增强+轻量预测"的双阶段架构。该研究首先运用GPT3.5-Turbo等大语言模型（LLM）将原始漏洞描述重构为标准MITRE CVE模板格式（如"[问题类型]在[受影响组件]中导致[影响]当[攻击向量]"），随后采用参数量仅12.873M的BERTsmall模型进行预测，在保持高精度的同时实现计算效率飞跃。

关键技术包括：1）基于NVD数据库137,546条漏洞记录构建增强数据集；2）设计特定prompt引导LLM生成模板化描述；3）对BERT系列模型（TinyBERT到标准BERT）进行分层性能测试；4）采用CVSS V3.1公式计算基分验证预测效果。实验设置严格遵循80/20训练测试比，在8×NVIDIA RTX 2080 Ti平台完成20轮epoch训练。

主要研究结果

质量评估

在GPT3.5-Turbo增强数据集上，BERTsmall对Attack Vector（AV）预测准确率达94.9%（F1-score 0.858），较原始数据提升4.5个百分点。Scope（S）指标表现最优异，Cohen's Kappa值达0.901，显示近乎完美的评估一致性。

模型效率

BERTsmall单epoch训练仅需0.28分钟，推理耗时3.5秒，FLOPs仅1.389G，相较标准BERT模型实现8.7倍加速。在40%字符噪声干扰下仍保持85.1%的AV预测准确率，展现强鲁棒性。

跨模型比较

BERTsmall在MSE（0.299）和MAE（0.166）上显著优于DistilBERT（0.832/0.487），且超越当前最佳多源集成方法（原MSE 1.52）。GPT3.5-Turbo生成的数据使所有模型性能提升，其中TinyBERT在S指标达97.9%准确率。

讨论与展望

该研究突破性地证明：通过生成式AI实现数据标准化，可比增加数据源更有效地提升预测性能。BERTsmall在Accuracy与FLOPs的帕累托前沿表现，为边缘计算场景提供实用方案。局限性在于对非英语描述和新型攻击载体的适应性，未来将通过自适应模板和对抗训练加以优化。这项工作在网络安全领域具有双重革新意义：方法论上开创了LLM+轻量模型的协同范式，实践中为CVE自动化评估提供了可部署的轻量级解决方案。