行业新闻与博客
“Exploitarium” 背后的研究人员解释了未公开零日漏洞的发布原因
一位匿名安全研究人员在未事先向维护者披露的情况下,发布了 30 多个针对开源项目零日漏洞的概念验证攻击代码。
这个名为“ Exploitarium ”的转储文件由一位名为“bikini”和“ashdfrkl”的个人在 GitHub 上公开分享,他们在 Discord 上也使用“ashdfrkl”这个用户名。
该代码库于 6 月 27 日首次发布,最初包含约 15 个漏洞利用程序,之后研究人员在接下来的几天里对其进行了更新,添加了新的条目。
它影响多个开源项目,包括 Linux 内核、 Libssh2 、 FFmpeg 、 Gogs 、 Gitea 、 Ghidra 、 7-Zip 、 MyBB 、 PHP 、 OpenVPN 、 VLC 播放器等等。

在 GitHub 上的“Exploitarium”存储库中,研究人员声称他们使用 AI,特别是 OpenAI 模型和工具,实现了整个模糊测试过程的自动化。
模糊测试是发现漏洞最广泛使用的方法之一,它是一种自动化软件测试技术,通过向计算机程序输入随机、无效或意外的数据来检测崩溃、内存泄漏和安全漏洞。
然而,此次漏洞利用程序泄露引发网络安全界争论的主要原因是明显缺乏协调一致的漏洞披露(CVD)。
CVD 是行业标准做法,即首先私下通知开发人员安全漏洞,让他们有时间在细节公开之前修复问题。
在 GitHub 上,该研究人员明确邀请其他人自行提交 CVE,并将这项工作定位为吸引人们进入该领域的努力。
该研究人员在 Discord 上与 Infosecurity交流时证实,他们并未通知该出版物的任何维护者。虽然他们过去曾进行过版权声明审查(CVD),但这次他们决定不再这样做。
“我认为这是人们学习并被这个领域吸引的最佳方式。如果有人必须阅读一篇不符合当今安全标准的文章,那就没那么有趣和有启发性了,”这位网名为“比基尼”的研究人员说道。
“这也提高了准入门槛,迫使人们重新安装过时的软件进行测试。”
一些与已披露的 CVE 相关的漏洞利用
一些漏洞已被公开披露,其中一些漏洞已被维护者修复。
其中之一 CVE-2026-55200 代表了一个严重的身份验证前远程代码执行 (RCE) 漏洞,影响 libssh2,这是一个广泛使用的客户端 C 库,实现了 SSH2 协议,其 CVSS 严重性评分为 9.2 。
利用该漏洞,需要发送特制的 SSH 数据包,其中包含过大的 packet_length 值,以操纵堆内存,最终实现远程代码执行。
虽然 bikini 在 GitHub 上发布了该漏洞利用程序,但 VulnCheck 通过正式渠道公开披露了该漏洞,并感谢另一位网络安全研究员 Tristan Madani(又名 @TristanInSec)向他们报告了该漏洞。
目前该问题已得到解决,修复程序已集成到 libssh2 主线开发分支中,但维护人员仍在最终确定包含该补丁的正式版本。
联邦信号公司网络安全分析师兼检测工程师伊桑·安德鲁斯在接受Infosecurity采访时表示,CVE-2026-55200 已经过“独立验证”。
他指出,这是从漏洞库中发现的“最严重”的漏洞,并且正在被积极利用。
除了 CVE-2026-55200 之外,bikini 的“Exploitarium”GitHub 仓库还提到,目前已有 12 个问题获得了 CVE 标识符:
- CVE-2026-58049:FFmpeg 的 RASC 视频解码器中的内存损坏(堆写入 / 读取)漏洞
- CVE-2026-58050:32 位平台上 libssh2 库存在堆缓冲区溢出漏洞,原因是整数溢出。
- CVE-2026-58051:在清理公钥列表期间,libssh2 中存在释放未初始化指针(释放后使用)漏洞
- CVE-2026-58052:7-Zip 在解压精心制作的 RAR5 压缩文件时无法保留 Mark-of-the-Web (MotW) 警告
- CVE-2026-58053:Gitea 的 act_runner 中存在主机容器逃逸漏洞,原因是 Docker 容器选项未经清理。
- CVE-2026-58054:MyBB 中由于用户组分配不受限制而导致的权限提升漏洞
- CVE-2026-58055:nghttp2 的 nghttpx 代理中的 HTTP 请求走私和队列投毒漏洞
- CVE-2026-58056:RustDesk 文件传输中的远程输入注入和未经授权的显示访问漏洞
- CVE-2026-58057:Flowise 在 Windows 系统上存在区分大小写绕过漏洞,可导致任意代码执行
- CVE-2026-58058:Nmap 中的整数下溢漏洞会导致 IPv6 扫描期间出现越界读取和崩溃
- CVE-2026-58592:Ladybird Web Browser WebAssembly 加载器中的释放后使用漏洞导致代码执行
- CVE-2026-58593:NodeBB ActivityPub 中间件中的身份验证绕过和伪造后攻击漏洞
随着“Exploitarium”存储库的新条目不断涌入,Federal Signal 的 Andrews 告诉Infosecurity,他已经构建了 44 个 Kusto 查询语言 (KQL) 检测规则,并将它们发布在 Detections.ai 网站和 GitHub 上。
KQL 检测规则是安全和监控工具(例如 Microsoft Sentinel 、 Azure Defender 或 Azure 数据资源管理器)中的查询。它们用于识别、调查和响应组织数字环境中的安全威胁、合规性违规和可疑活动。
安德鲁斯还强调,这位匿名研究人员提出的一些问题“已被社区视为影响甚微的噪音而予以驳回”。
绕过协调漏洞披露
当被问及比基尼组织采用的“准备就绪即发布”的方式时,安德鲁斯表示:“这表明其意图与协调一致的进攻工具包发布有着本质区别,但同时也是一个冒险的决定,尤其是在没有供应商协调的情况下。”
VulnCheck 的漏洞研究员 Patrick Garrity 在接受Infosecurity采访时表示,他的公司“强烈鼓励采取协调一致的方法”。
他解释说:“我们提供协调一致的漏洞披露服务,作为一项免费服务;当我们在实际应用中发现尚未被标记的漏洞时,我们会发布 CVE 编号。我们这样做是作为 CVE 项目的参与者,旨在回馈公共利益,并帮助确保 CVE 编号的及时发布。”
在 GitHub 代码库中,bikini 添加了一条警告,提醒人们不要恶意使用他们的漏洞利用程序:“在任何情况下,都不要恶意使用此代码库中的任何材料。这是出于善意、公开披露的漏洞研究,旨在吸引更多人探索网络安全领域。网络犯罪令人不齿。”
当被问及他们是否认为这足以阻止恶意行为者时,他们回答说:“当然不够。免责声明或许会有帮助,但归根结底,他们有自由意志做出自己的选择。”
然而,bikini 认为,公开漏洞利用程序“只会加快修补过程,更快地解决这些问题,从而限制那些可能已经了解这些漏洞的攻击者”。
他们补充说:“我逐渐明白,在 99% 的情况下,公开透明对每个人都有好处。”
VulnCheck 的 Garrity 表示,他相信“我们将继续看到更多此类下跌”。
这位化名研究人员的做法让人想起 Nightmare Eclipse,这位零日漏洞猎人一直在发布 2026 年 5 月发布的微软漏洞利用程序。
研究人员声称使用非前沿人工智能模型进行模糊测试
在名为“Exploitarium”的 GitHub 代码库中,bikini 声称他们使用 OpenAI 模型对项目代码进行了模糊测试,发现了一些异常情况,随后通过人工审核确认了这些异常。具体来说,他们最初将这项工作归功于 GPT-5.5-3-Codex-Spark,之后又将其修改为 GPT-5.3 。
他们写道:“我保证,你不需要最先进的模型来帮助你发现这些问题!”
“虽然能够负担得起更好的模型会有帮助,但我的数据表明,即使配备了良好的人工监督和可靠的安全措施,它的作用也微乎其微。实际上,所有实际的 PoC(概念验证漏洞利用)代码都不是 Vibe 编写的;它们都是我手工输入的。”
在接受Infosecurity采访时,bikini 表示他们“在 AI 安全措施方面没有遇到任何问题”,但真正的挑战是“找到人们感兴趣的漏洞”。
他们宣布计划在未来发布更多关于其工作流程的信息。
他们补充说:“我认为首先建立你自己的工作流程非常重要,找到最适合你的工作流程,然后实施严格的 AI 自动化流程方案。”
信息安全部门已联系 libssh2 和 Ghidra 的维护者,但截至发稿时尚未收到任何回复。
最近新闻
2026年07月06日
2026年07月06日
2026年07月02日
2026年07月02日
2026年06月25日
2026年05月26日
2026年05月26日
2026年05月26日
需要帮助吗?联系我们的支持团队 在线客服