一个匿名的 GitHub 账户正在大规模发布针对 15 个以上目标的未报告漏洞的利用 PoC。该用户"bikini"的仓库"exploitarium"包含 OpenVPN Connect、VLC、Docker 等多个 PoC。
项目概述:这里汇集了公开的漏洞利用概念验证(PoC)和漏洞研究报告。截至我发布时,尚未有任何漏洞被报告。欢迎您自行报告,如果漏洞被分配到CVE编号,您可以把功劳放到自己身上(笑)。请勿滥用此类资源。我创建这个资源的目的是为了吸引人们进入这个领域,而且我一直认为这是最有效的方式。
图片
很多人很好奇他是如何做到的,大概看了一下,作者使用了 GPT-5.5-3-Codex-Spark 进行所有模糊测试,因为有了高效的框架,几乎不需要任何"思考"。
以下内容摘自此项目readme.md文件,由谷歌机翻:
这个仓库发布时并不完整。因此,有些发现比较糟糕(例如 ghidra),有些则比较好。今后,我们只会分享一些严重的漏洞(例如 Floci、libssh2、FFmpeg、c-ares)。
关于人工智能的应用,我的模糊测试工作流程是通过一套严格的框架实现的,由人工智能自动完成。我使用 GPT-5.5-3-Codex-Spark 进行所有模糊测试,因为有了高效的框架,几乎不需要任何"思考"。与越来越多认为我只是个随便烧代币的小孩的说法相反,我确实拥有相关专业的学位,并且发表过多篇关于模糊测试方法的论文。我花了数年时间研究和开发新的模糊测试工具和方法。我保证,你不需要最先进的模型来帮助你识别这些问题!虽然能够负担得起更好的模型会有帮助,但我的数据表明,在良好的人工监督和完善的框架的配合下,它的作用微乎其微。所有实际的概念验证代码都不是用 vibe 编写的;事实上,它们都是我手工输入的。不过,我确实在 RustDesk 中使用了人工智能辅助,因为我对这门语言不太熟悉。然而,README 文件显然完全是由人工智能生成的,因为人工智能可以生成非常漂亮的 Markdown 文件。我核对过它们,以确保其准确无误。
作者同时表示每天会更新一个新的 PoC,且只发严重的。
已经公布的漏洞POC如下:
他的readme最后一句话是Cybercrime is cringe. (网络犯罪真的挺low的)
不过截止发文,作者及项目主页已经显示404。项目地址:https://github.com/bikini/exploitarium