你說得對，CVE 並不具有規範性。它們只是識別出聲稱的漏洞，並不能神奇地決定某個東西是否真的存在漏洞。 這正是我要說的。 當同一個人： - 重新解釋一項長期存在的策略， - 將其範圍擴大到超出其原始定義， - 將某種行為歸類為漏洞， - 分配一個 CVE， - 併發布緩解措施 ……這並不能將策略分歧轉化為客觀的安全缺陷。這僅僅意味著某個實現選擇將其視為漏洞。而 knots 已經修復了這個問題，所以你可以開始運行它了。 關於數據載體大小似乎發生變化的問題：歷史區別至關重要。它適用於特定的中繼策略 OP_RETURN，之後是 PUSH。追溯性地擴展解釋，然後說“你看，它適用範圍更廣了”，這是循環論證。 你不能重新定義範圍，然後聲稱重新定義證明了最初的意圖。 如果一位開發者擴大了某個標誌的含義，並將超出該含義範圍的一切都稱為漏洞，這並不意味著漏洞就是漏洞。這只是他們實現上的選擇。 在分佈式系統中，每個實現都可以自行決定如何緩解漏洞。 將某些東西稱為漏洞並不意味著一種策略偏好就等同於普遍存在的安全缺陷。 共識規則是規範性的。✅ 策略規則是局部性的。✅ CVE 標籤是描述性的。✅ 模糊這些界限在這裡是一個問題。