
一个匿名的 GitHub 账户正在大规模发布针对 15 个以上目标的未报告漏洞的利用 PoC。该用户“bikini”的仓库“exploitarium”包含 OpenVPN Connect、VLC、Docker 等多个 PoC。项目概述这里汇集了公开的漏洞利用概念验证PoC和漏洞研究报告。截至我发布时尚未有任何漏洞被报告。欢迎您自行报告如果漏洞被分配到CVE编号您可以把功劳放到自己身上笑。请勿滥用此类资源。我创建这个资源的目的是为了吸引人们进入这个领域而且我一直认为这是最有效的方式。图片很多人很好奇他是如何做到的大概看了一下作者使用了 GPT-5.5-3-Codex-Spark 进行所有模糊测试因为有了高效的框架几乎不需要任何“思考”。以下内容摘自此项目readme.md文件由谷歌机翻这个仓库发布时并不完整。因此有些发现比较糟糕例如 ghidra有些则比较好。今后我们只会分享一些严重的漏洞例如 Floci、libssh2、FFmpeg、c-ares。关于人工智能的应用我的模糊测试工作流程是通过一套严格的框架实现的由人工智能自动完成。我使用 GPT-5.5-3-Codex-Spark 进行所有模糊测试因为有了高效的框架几乎不需要任何“思考”。与越来越多认为我只是个随便烧代币的小孩的说法相反我确实拥有相关专业的学位并且发表过多篇关于模糊测试方法的论文。我花了数年时间研究和开发新的模糊测试工具和方法。我保证你不需要最先进的模型来帮助你识别这些问题虽然能够负担得起更好的模型会有帮助但我的数据表明在良好的人工监督和完善的框架的配合下它的作用微乎其微。所有实际的概念验证代码都不是用 vibe 编写的事实上它们都是我手工输入的。不过我确实在 RustDesk 中使用了人工智能辅助因为我对这门语言不太熟悉。然而README 文件显然完全是由人工智能生成的因为人工智能可以生成非常漂亮的 Markdown 文件。我核对过它们以确保其准确无误。作者同时表示每天会更新一个新的 PoC且只发严重的。已经公布的漏洞POC如下他的readme最后一句话是Cybercrime is cringe. 网络犯罪真的挺low的不过截止发文作者及项目主页已经显示404。项目地址https://github.com/bikini/exploitarium