行業新聞與博客
“Exploitarium” 背後的研究人員解釋了未公開零日漏洞的發佈原因
一位匿名安全研究人員在未事先向維護者披露的情況下,發佈了 30 多個針對開源項目零日漏洞的概念驗證攻擊代碼。
這個名為“ Exploitarium ”的轉儲文件由一位名為“bikini”和“ashdfrkl”的個人在 GitHub 上公開分享,他們在 Discord 上也使用“ashdfrkl”這個用户名。
該代碼庫於 6 月 27 日首次發佈,最初包含約 15 個漏洞利用程序,之後研究人員在接下來的幾天裏對其進行了更新,添加了新的條目。
它影響多個開源項目,包括 Linux 內核、 Libssh2 、 FFmpeg 、 Gogs 、 Gitea 、 Ghidra 、 7-Zip 、 MyBB 、 PHP 、 OpenVPN 、 VLC 播放器等等。

在 GitHub 上的“Exploitarium”存儲庫中,研究人員聲稱他們使用 AI,特別是 OpenAI 模型和工具,實現了整個模糊測試過程的自動化。
模糊測試是發現漏洞最廣泛使用的方法之一,它是一種自動化軟件測試技術,通過向計算機程序輸入隨機、無效或意外的數據來檢測崩潰、內存泄漏和安全漏洞。
然而,此次漏洞利用程序泄露引發網絡安全界爭論的主要原因是明顯缺乏協調一致的漏洞披露(CVD)。
CVD 是行業標準做法,即首先私下通知開發人員安全漏洞,讓他們有時間在細節公開之前修復問題。
在 GitHub 上,該研究人員明確邀請其他人自行提交 CVE,並將這項工作定位為吸引人們進入該領域的努力。
該研究人員在 Discord 上與 Infosecurity交流時證實,他們並未通知該出版物的任何維護者。雖然他們過去曾進行過版權聲明審查(CVD),但這次他們決定不再這樣做。
“我認為這是人們學習並被這個領域吸引的最佳方式。如果有人必須閲讀一篇不符合當今安全標準的文章,那就沒那麼有趣和有啓發性了,”這位網名為“比基尼”的研究人員説道。
“這也提高了准入門檻,迫使人們重新安裝過時的軟件進行測試。”
一些與已披露的 CVE 相關的漏洞利用
一些漏洞已被公開披露,其中一些漏洞已被維護者修復。
其中之一 CVE-2026-55200 代表了一個嚴重的身份驗證前遠程代碼執行 (RCE) 漏洞,影響 libssh2,這是一個廣泛使用的客户端 C 庫,實現了 SSH2 協議,其 CVSS 嚴重性評分為 9.2 。
利用該漏洞,需要發送特製的 SSH 數據包,其中包含過大的 packet_length 值,以操縱堆內存,最終實現遠程代碼執行。
雖然 bikini 在 GitHub 上發佈了該漏洞利用程序,但 VulnCheck 通過正式渠道公開披露了該漏洞,並感謝另一位網絡安全研究員 Tristan Madani(又名 @TristanInSec)向他們報告了該漏洞。
目前該問題已得到解決,修復程序已集成到 libssh2 主線開發分支中,但維護人員仍在最終確定包含該補丁的正式版本。
聯邦信號公司網絡安全分析師兼檢測工程師伊桑·安德魯斯在接受Infosecurity採訪時表示,CVE-2026-55200 已經過“獨立驗證”。
他指出,這是從漏洞庫中發現的“最嚴重”的漏洞,並且正在被積極利用。
除了 CVE-2026-55200 之外,bikini 的“Exploitarium”GitHub 倉庫還提到,目前已有 12 個問題獲得了 CVE 標識符:
- CVE-2026-58049:FFmpeg 的 RASC 視頻解碼器中的內存損壞(堆寫入 / 讀取)漏洞
- CVE-2026-58050:32 位平台上 libssh2 庫存在堆緩衝區溢出漏洞,原因是整數溢出。
- CVE-2026-58051:在清理公鑰列表期間,libssh2 中存在釋放未初始化指針(釋放後使用)漏洞
- CVE-2026-58052:7-Zip 在解壓精心製作的 RAR5 壓縮文件時無法保留 Mark-of-the-Web (MotW) 警告
- CVE-2026-58053:Gitea 的 act_runner 中存在主機容器逃逸漏洞,原因是 Docker 容器選項未經清理。
- CVE-2026-58054:MyBB 中由於用户組分配不受限制而導致的權限提升漏洞
- CVE-2026-58055:nghttp2 的 nghttpx 代理中的 HTTP 請求走私和隊列投毒漏洞
- CVE-2026-58056:RustDesk 文件傳輸中的遠程輸入注入和未經授權的顯示訪問漏洞
- CVE-2026-58057:Flowise 在 Windows 系統上存在區分大小寫繞過漏洞,可導致任意代碼執行
- CVE-2026-58058:Nmap 中的整數下溢漏洞會導致 IPv6 掃描期間出現越界讀取和崩潰
- CVE-2026-58592:Ladybird Web Browser WebAssembly 加載器中的釋放後使用漏洞導致代碼執行
- CVE-2026-58593:NodeBB ActivityPub 中間件中的身份驗證繞過和偽造後攻擊漏洞
隨着“Exploitarium”存儲庫的新條目不斷湧入,Federal Signal 的 Andrews 告訴Infosecurity,他已經構建了 44 個 Kusto 查詢語言 (KQL) 檢測規則,並將它們發佈在 Detections.ai 網站和 GitHub 上。
KQL 檢測規則是安全和監控工具(例如 Microsoft Sentinel 、 Azure Defender 或 Azure 數據資源管理器)中的查詢。它們用於識別、調查和響應組織數字環境中的安全威脅、合規性違規和可疑活動。
安德魯斯還強調,這位匿名研究人員提出的一些問題“已被社區視為影響甚微的噪音而予以駁回”。
繞過協調漏洞披露
當被問及比基尼組織採用的“準備就緒即發佈”的方式時,安德魯斯表示:“這表明其意圖與協調一致的進攻工具包發佈有着本質區別,但同時也是一個冒險的決定,尤其是在沒有供應商協調的情況下。”
VulnCheck 的漏洞研究員 Patrick Garrity 在接受Infosecurity採訪時表示,他的公司“強烈鼓勵採取協調一致的方法”。
他解釋説:“我們提供協調一致的漏洞披露服務,作為一項免費服務;當我們在實際應用中發現尚未被標記的漏洞時,我們會發布 CVE 編號。我們這樣做是作為 CVE 項目的參與者,旨在回饋公共利益,並幫助確保 CVE 編號的及時發佈。”
在 GitHub 代碼庫中,bikini 添加了一條警告,提醒人們不要惡意使用他們的漏洞利用程序:“在任何情況下,都不要惡意使用此代碼庫中的任何材料。這是出於善意、公開披露的漏洞研究,旨在吸引更多人探索網絡安全領域。網絡犯罪令人不齒。”
當被問及他們是否認為這足以阻止惡意行為者時,他們回答説:“當然不夠。免責聲明或許會有幫助,但歸根結底,他們有自由意志做出自己的選擇。”
然而,bikini 認為,公開漏洞利用程序“只會加快修補過程,更快地解決這些問題,從而限制那些可能已經瞭解這些漏洞的攻擊者”。
他們補充説:“我逐漸明白,在 99% 的情況下,公開透明對每個人都有好處。”
VulnCheck 的 Garrity 表示,他相信“我們將繼續看到更多此類下跌”。
這位化名研究人員的做法讓人想起 Nightmare Eclipse,這位零日漏洞獵人一直在發佈 2026 年 5 月發佈的微軟漏洞利用程序。
研究人員聲稱使用非前沿人工智能模型進行模糊測試
在名為“Exploitarium”的 GitHub 代碼庫中,bikini 聲稱他們使用 OpenAI 模型對項目代碼進行了模糊測試,發現了一些異常情況,隨後通過人工審核確認了這些異常。具體來説,他們最初將這項工作歸功於 GPT-5.5-3-Codex-Spark,之後又將其修改為 GPT-5.3 。
他們寫道:“我保證,你不需要最先進的模型來幫助你發現這些問題!”
“雖然能夠負擔得起更好的模型會有幫助,但我的數據表明,即使配備了良好的人工監督和可靠的安全措施,它的作用也微乎其微。實際上,所有實際的 PoC(概念驗證漏洞利用)代碼都不是 Vibe 編寫的;它們都是我手工輸入的。”
在接受Infosecurity採訪時,bikini 表示他們“在 AI 安全措施方面沒有遇到任何問題”,但真正的挑戰是“找到人們感興趣的漏洞”。
他們宣佈計劃在未來發布更多關於其工作流程的信息。
他們補充説:“我認為首先建立你自己的工作流程非常重要,找到最適合你的工作流程,然後實施嚴格的 AI 自動化流程方案。”
信息安全部門已聯繫 libssh2 和 Ghidra 的維護者,但截至發稿時尚未收到任何回覆。
最近新聞
2026年07月06日
2026年07月06日
2026年07月02日
2026年07月02日
2026年06月25日
2026年05月26日
2026年05月26日
2026年05月26日
需要幫助嗎?聯繫我們的支持團隊 在線客服