匿名着把漏洞军火库扔上GitHub,安全圈集体破防还是嘲讽

admin 2026-07-11 04:53:17 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 匿名作者bikini在GitHub公开Exploitarium仓库,包含数十个未报告的0day漏洞PoC,利用AI辅助fuzzing(如GPT-5.5Cyber)发现,将漏洞发现边际成本降至极低。此举引发安全圈震动,支持者认为可降低研究门槛,反对者担忧加剧攻击风险。文章指出这是AI时代安全研究范式转变的标志,建议防守方立即盘点基础设施、打补丁升级以应对漏洞发现速度远超修复速度的剪刀差。 综合评分: 84 文章分类: 漏洞分析,AI安全,安全工具,红队,漏洞预警


cover_image

匿名着把漏洞军火库扔上 GitHub,安全圈集体破防还是嘲讽

宝十八 宝十八

网络安全老宋

2026年7月9日 12:00 山东

在小说阅读器读本章

去阅读

导语: 你好,我是网络安全老宋。安全攻防干货准时送达!

几十0day PoC全公开,价格归零,CVE 黑市崩盘——安全圈集体破防。

0x00

昨天发生了什么?

Stars 以每天 200+ 的速度涨,最高冲到 1.1k。作者署名叫 bikini,是个素未谋面的匿名大神,一口气公开了几十个漏洞的完整 PoC 代码。关键是:这些漏洞在他发布的时候,一个都没向厂商报告过。README 里原话说:「我发布这些的目的是吸引人们进入网络安全研究领域。」

01

这是什么操作

6月28日前后,安全圈突然炸锅,有人在推特上丢了一个 GitHub 链接,点进去就是一个叫「Exploitarium」的仓库,翻译成中文就是「漏洞军火库」。

仓库不大,就一个文件夹堆着几十个子项目,每个子项目都是实打实的 PoC 代码,能复现、能调试、能跑。漏洞涉及的范围之广,让人倒吸一口凉气:

随便挑一个出来,都是能拿服务器权限的东西。更离谱的是,作者用的是 AI 辅助 fuzzing。

⚡「10 个 Fable 加 10 个 GPT-5.5 Cyber 轮询出来的 0day」

也就是说,一堆 AI 模型在那儿日夜不停地跑模糊测试,找到漏洞了就写 PoC,写完了就提交到仓库。你想想,过去找一条 0day,可能要一个资深研究员花上大半年工资,现在什么概念?边际成本从「半年工资」降到了一台机器跑 GPT 的电费。Ledger 的 CTO 直接在推上说了一句:「价格是归零了。」

02

安全圈的连锁反应

这玩意儿一发,安全圈的反应跟雪崩一样。

03

这件事为什么这么重要

说句实话,这不只是又一个漏洞仓库。这是 AI 时代安全研究范式转变的第一个标志性事件。

过去,找漏洞靠的是人。一个厉害的研究员,几年甚至几十年积累的经验,对着代码一行行看、一遍遍试。现在,AI 模糊测试工具能以人类不可能达到的速度,遍历海量输入组合。GPT-5.5 Cyber 这种模型,能理解代码语义,知道往哪个方向 fuzz 更有效率。这意味着什么?意味着 0day 的发现速度会以指数级提升,而发现成本会以指数级下降。

这不是危言耸听。过去一个CVE值几十万美金,现在AI帮你跑出来了,你扔 GitHub 上,免费给大家玩。

04

你怎么应对

先别慌,三步走:

https://github.com/bikini/exploitarium

05

// 老宋说

// 老宋的观察

技术本质

  • 这事的本质不是「有人公开了几个漏洞」,而是「AI 已经把漏洞发现的边际成本打穿了」
  • 0day 不再是稀缺资源,不再是顶尖研究员的专利
  • 一堆 GPT 模型跑一跑,漏洞就出来了

行业观察

  • 防守方的压力会呈指数级增长
  • AI 发现速度 > 修复速度,剪刀差会越来越大
  • 安全研究这门手艺,以后不光是大佬们的游戏了

对你的建议

  • 现在就去盘点你的基础设施
  • 该打的补丁打上,该升的软件升上去
  • 别等人家拿你的 PoC 打脸了才想起来运维

06

CTA

如果觉得有用,点个在看,转发给你身边的朋友。


往期精彩

运维的内网DNS进阶:Split Horizon 配置指南

渗透测试从业者的全能工具箱:76,700+ Star、185+工具一键到位(HackingTool 从零到实战)

甲方运维应急响应的日志分析利器:Klogg 大文件秒开,朴实可靠


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:网络安全老宋 宝十八 宝十八《匿名着把漏洞军火库扔上 GitHub,安全圈集体破防还是嘲讽》

评论:0   参与:  0