行業新聞與部落格

“Exploitarium” 背後的研究人員解釋了未公開零日漏洞的釋出原因

一位匿名安全研究人員在未事先向維護者披露的情況下,釋出了 30 多個針對開源專案零日漏洞的概念驗證攻擊程式碼。

這個名為“ Exploitarium ”的轉儲檔案由一位名為“bikini”和“ashdfrkl”的個人在 GitHub 上公開分享,他們在 Discord 上也使用“ashdfrkl”這個使用者名稱。

該程式碼庫於 6 月 27 日首次釋出,最初包含約 15 個漏洞利用程式,之後研究人員在接下來的幾天裡對其進行了更新,添加了新的條目。

它影響多個開源專案,包括 Linux 核心、 Libssh2 、 FFmpeg 、 Gogs 、 Gitea 、 Ghidra 、 7-Zip 、 MyBB 、 PHP 、 OpenVPN 、 VLC 播放器等等。

GitHub 上的 “Exploitarium” 程式碼庫。來源:《資訊安全雜誌》
GitHub 上的“Exploitarium”程式碼庫。來源:《資訊安全雜誌》

在 GitHub 上的“Exploitarium”儲存庫中,研究人員聲稱他們使用 AI,特別是 OpenAI 模型和工具,實現了整個模糊測試過程的自動化。

模糊測試是發現漏洞最廣泛使用的方法之一,它是一種自動化軟體測試技術,透過向計算機程式輸入隨機、無效或意外的資料來檢測崩潰、記憶體洩漏和安全漏洞。

然而,此次漏洞利用程式洩露引發網路安全界爭論的主要原因是明顯缺乏協調一致的漏洞披露(CVD)。

CVD 是行業標準做法,即首先私下通知開發人員安全漏洞,讓他們有時間在細節公開之前修復問題。

在 GitHub 上,該研究人員明確邀請其他人自行提交 CVE,並將這項工作定位為吸引人們進入該領域的努力。

該研究人員在 Discord 上與 Infosecurity交流時證實,他們並未通知該出版物的任何維護者。雖然他們過去曾進行過版權宣告審查(CVD),但這次他們決定不再這樣做。

“我認為這是人們學習並被這個領域吸引的最佳方式。如果有人必須閱讀一篇不符合當今安全標準的文章,那就沒那麼有趣和有啟發性了,”這位網名為“比基尼”的研究人員說道。

“這也提高了准入門檻,迫使人們重新安裝過時的軟體進行測試。”

一些與已披露的 CVE 相關的漏洞利用

一些漏洞已被公開披露,其中一些漏洞已被維護者修復。

其中之一 CVE-2026-55200 代表了一個嚴重的身份驗證前遠端程式碼執行 (RCE) 漏洞,影響 libssh2,這是一個廣泛使用的客戶端 C 庫,實現了 SSH2 協議,其 CVSS 嚴重性評分為 9.2 。

利用該漏洞,需要傳送特製的 SSH 資料包,其中包含過大的 packet_length 值,以操縱堆記憶體,最終實現遠端程式碼執行。

雖然 bikini 在 GitHub 上釋出了該漏洞利用程式,但 VulnCheck 透過正式渠道公開披露了該漏洞,並感謝另一位網路安全研究員 Tristan Madani(又名 @TristanInSec)向他們報告了該漏洞。

目前該問題已得到解決,修復程式已整合到 libssh2 主線開發分支中,但維護人員仍在最終確定包含該補丁的正式版本。

聯邦訊號公司網路安全分析師兼檢測工程師伊桑·安德魯斯在接受Infosecurity採訪時表示,CVE-2026-55200 已經過“獨立驗證”。

他指出,這是從漏洞庫中發現的“最嚴重”的漏洞,並且正在被積極利用。

除了 CVE-2026-55200 之外,bikini 的“Exploitarium”GitHub 倉庫還提到,目前已有 12 個問題獲得了 CVE 識別符號:

  • CVE-2026-58049:FFmpeg 的 RASC 影片解碼器中的記憶體損壞(堆寫入 / 讀取)漏洞
  • CVE-2026-58050:32 位平臺上 libssh2 庫存在堆緩衝區溢位漏洞,原因是整數溢位。
  • CVE-2026-58051:在清理公鑰列表期間,libssh2 中存在釋放未初始化指標(釋放後使用)漏洞
  • CVE-2026-58052:7-Zip 在解壓精心製作的 RAR5 壓縮檔案時無法保留 Mark-of-the-Web (MotW) 警告
  • CVE-2026-58053:Gitea 的 act_runner 中存在主機容器逃逸漏洞,原因是 Docker 容器選項未經清理。
  • CVE-2026-58054:MyBB 中由於使用者組分配不受限制而導致的許可權提升漏洞
  • CVE-2026-58055:nghttp2 的 nghttpx 代理中的 HTTP 請求走私和佇列投毒漏洞
  • CVE-2026-58056:RustDesk 檔案傳輸中的遠端輸入注入和未經授權的顯示訪問漏洞
  • CVE-2026-58057:Flowise 在 Windows 系統上存在區分大小寫繞過漏洞,可導致任意程式碼執行
  • CVE-2026-58058:Nmap 中的整數下溢漏洞會導致 IPv6 掃描期間出現越界讀取和崩潰
  • CVE-2026-58592:Ladybird Web Browser WebAssembly 載入器中的釋放後使用漏洞導致程式碼執行
  • CVE-2026-58593:NodeBB ActivityPub 中介軟體中的身份驗證繞過和偽造後攻擊漏洞

隨著“Exploitarium”儲存庫的新條目不斷湧入,Federal Signal 的 Andrews 告訴Infosecurity,他已經構建了 44 個 Kusto 查詢語言 (KQL) 檢測規則,並將它們釋出在 Detections.ai 網站和 GitHub 上。

KQL 檢測規則是安全和監控工具(例如 Microsoft Sentinel 、 Azure Defender 或 Azure 資料資源管理器)中的查詢。它們用於識別、調查和響應組織數字環境中的安全威脅、合規性違規和可疑活動。

安德魯斯還強調,這位匿名研究人員提出的一些問題“已被社群視為影響甚微的噪音而予以駁回”。

繞過協調漏洞披露

當被問及比基尼組織採用的“準備就緒即釋出”的方式時,安德魯斯表示:“這表明其意圖與協調一致的進攻工具包釋出有著本質區別,但同時也是一個冒險的決定,尤其是在沒有供應商協調的情況下。”

VulnCheck 的漏洞研究員 Patrick Garrity 在接受Infosecurity採訪時表示,他的公司“強烈鼓勵採取協調一致的方法”。

他解釋說:“我們提供協調一致的漏洞披露服務,作為一項免費服務;當我們在實際應用中發現尚未被標記的漏洞時,我們會發布 CVE 編號。我們這樣做是作為 CVE 專案的參與者,旨在回饋公共利益,並幫助確保 CVE 編號的及時釋出。”

在 GitHub 程式碼庫中,bikini 添加了一條警告,提醒人們不要惡意使用他們的漏洞利用程式:“在任何情況下,都不要惡意使用此程式碼庫中的任何材料。這是出於善意、公開披露的漏洞研究,旨在吸引更多人探索網路安全領域。網路犯罪令人不齒。”

當被問及他們是否認為這足以阻止惡意行為者時,他們回答說:“當然不夠。免責宣告或許會有幫助,但歸根結底,他們有自由意志做出自己的選擇。”

然而,bikini 認為,公開漏洞利用程式“只會加快修補過程,更快地解決這些問題,從而限制那些可能已經瞭解這些漏洞的攻擊者”。

他們補充說:“我逐漸明白,在 99% 的情況下,公開透明對每個人都有好處。”

VulnCheck 的 Garrity 表示,他相信“我們將繼續看到更多此類下跌”。

這位化名研究人員的做法讓人想起 Nightmare Eclipse,這位零日漏洞獵人一直在釋出 2026 年 5 月釋出的微軟漏洞利用程式。

研究人員聲稱使用非前沿人工智慧模型進行模糊測試

在名為“Exploitarium”的 GitHub 程式碼庫中,bikini 聲稱他們使用 OpenAI 模型對專案程式碼進行了模糊測試,發現了一些異常情況,隨後透過人工稽核確認了這些異常。具體來說,他們最初將這項工作歸功於 GPT-5.5-3-Codex-Spark,之後又將其修改為 GPT-5.3 。

他們寫道:“我保證,你不需要最先進的模型來幫助你發現這些問題!”

“雖然能夠負擔得起更好的模型會有幫助,但我的資料表明,即使配備了良好的人工監督和可靠的安全措施,它的作用也微乎其微。實際上,所有實際的 PoC(概念驗證漏洞利用)程式碼都不是 Vibe 編寫的;它們都是我手工輸入的。”

在接受Infosecurity採訪時,bikini 表示他們“在 AI 安全措施方面沒有遇到任何問題”,但真正的挑戰是“找到人們感興趣的漏洞”。

他們宣佈計劃在未來發布更多關於其工作流程的資訊。

他們補充說:“我認為首先建立你自己的工作流程非常重要,找到最適合你的工作流程,然後實施嚴格的 AI 自動化流程方案。”

資訊安全部門已聯絡 libssh2 和 Ghidra 的維護者,但截至發稿時尚未收到任何回覆。

需要幫助嗎?聯絡我們的支援團隊 線上客服