要回答您最初提出的问题：无论您是否在运行不受信任的代码，如果您想防范 Meltdown 或 Spectre，您仍然需要升级您的内核，即使您的云提供商已经修补了底层 hypervisor。

GCE 客户公告（链接自Google安全博客文章，详细说明了一点，但也链接到了完整的项目零记录）在“缓解状态”下说：

针对已知攻击进行了修补的基础设施。客户必须修补/更新访客环境。

如果您不信任 Google，AWS 有自己的安全公告，其中指出：

尽管 AWS 执行的更新可以保护底层基础设施，但为了完全免受这些问题的影响，客户还必须修补他们的实例操作系统。Amazon Linux 的更新已经可用，更新现有实例的说明以及与此公告相关的任何其他 AWS 相关指南将在下面进一步提供。

之所以有必要这样做是因为准虚拟化允许客户内核直接控制 CPU 中的 TLB，而无需来自虚拟机管理程序的调解（这是 paravirt 相对于完整 virt 的主要性能改进之一，以及直接 I/O） . 因此，如果客户操作系统内核未实施缓解措施，则在 VM 中运行的进程仍然可以从内核和同一客户中运行的其他进程获取数据。

您已编辑要添加的第二个问题的答案，即您是否面临来自邻居的风险，根据目前可用的信息，答案似乎是“否”。第三个看似隐含的问题，即您是否应该现在打补丁还是在常规补丁周期中打补丁，您提供的信息无法回答，因为它深深植根于您自己组织的风险概况和威胁模型中，而且我什至可以说你与那个“主要基于意见”接壤。