GitHub 神秘账号批量抛售 0-day 漏洞，整个安全圈炸了！

2026-6-30 08:45 45 0

摘要: 一个匿名的 GitHub 账号 bikini 在 5 天前突然建立了一个名为 exploitarium 的仓库，一口气丢出了数十个此前从未公开的 0-day 漏洞 PoC（概念验证代码），涉及 Ghidra、Docker、Firefox、nmap、ffmpeg、AnyDesk 等多个知名开源项目，在 Hacker Ne...

关键词：Ghidra, GitHub, Hacker, PoC, Docker, Nmap, Git, bikini, Exp, News

一个匿名的 GitHub 账号 "bikini" 在 5 天前突然建立了一个名为 "exploitarium" 的仓库，一口气丢出了数十个此前从未公开的 0-day 漏洞 PoC（概念验证代码），涉及 Ghidra、Docker、Firefox、nmap、ffmpeg、AnyDesk 等多个知名开源项目，在 Hacker News 上狂揽 650+ 点赞和 250+ 讨论。

发生了什么？一个"漏洞超市"突然开张

6 月 28 日（北京时间），Hacker News 的头条被一条爆炸性新闻霸占：一个名为 bikini 的匿名 GitHub 账号创建了仓库 exploitarium，用一句话说明了自己的意图：

"A single archive of public exploit PoCs and vulnerability research writeups. At the time I post these, none have been reported. Feel free to report them yourself and take credit for the CVE if handed out lulz."

翻译过来就是："这些都是还没报过的漏洞，你们拿去报 CVE 领赏吧，我不在乎。"

截止发稿时，该仓库已获得 1400+ Stars、290 Forks，并持续有新的 PoC 提交（最后一条提交仅 4 小时前）。

都有哪些"货"？

这波"漏洞大甩卖"覆盖的软件覆盖面非常广，来看看都有哪些中招：

目标软件	PoC 类型	潜在危害
Ghidra 12.1.2	RCE/ACE	NSA 开源逆向工具的远程代码执行
Docker`cp` 命令	目录逃逸	容器逃逸到宿主机
nmap	解析器漏洞	网络扫描工具反被植入 shell
Firefox SmartWindow	URL 泄露	浏览器隐私数据外泄
ffmpeg RASC DLTA	内存计算	多媒体处理中的内存破坏
c-ares	TCP UAF	cURL 等底层依赖的 DNS 解析库 Use-After-Free
AnyDesk	打印机 COM 提权	远程桌面软件的权限提升
7zip RAR5	MOTW 链	压缩包解压时的标记链攻击
Floci (AWS) API Gateway	VTL RCE + IAM 绕过	云服务权限提升
Flowise MCP	环境变量绕过	AI 工作流平台的安全绕过

此外还有多个未被详细分类的 PoC 散落在仓库中。

社区炸锅了：是真漏洞还是恶作剧？

这件事件在 Hacker News 上引发了两极分化的讨论。

一方认为这些漏洞质量不怎么样：

Retr0id 在分析了 Ghidra 的 PoC 后直言不讳：

"我看了 Ghidra 那些 PoC，并没有被打动。第一个需要你能够覆盖 Swift 工具目录下的二进制文件——是的，如果你能覆盖 Ghidra 执行的二进制文件，当然可以实现代码执行。这并不意外。"

他还评价第三个 Ghidra PoC "根本不是漏洞"——只是证明了本地 7zip 解析代码可以被调用，但如果没有 7zip 解析器本身的 bug，这就毫无意义。

另一方认为 nmap 的漏洞可能非常严重：

用户 athrowaway3z 则持不同看法：

"粗略一看，nmap 那个（漏洞）潜在危害可能很高。它涉及解析器代码，这意味着构造攻击载荷绕过防御的可能性相当大。如果能反向 shell 任何一个运行 nmap 扫描的人，那就太讽刺了。"

他还大胆猜测：

"这是情报机构梦寐以求的那种 bug：发送一些 IPv6 数据包，就能篡改观察者（如果他用 nmap 的话）看到的跟踪结果，或者直接获得任何使用 nmap 的研究人员的 PC 权限。"

也有网友质疑动机：

匿名账号 + "你们自己报 CVE" 的态度让不少人感到困惑。有人认为这是正规的安全研究员在匿名发漏洞（为了避免个人被针对），也有人猜测这可能是某个黑客组织在批量释放囤积的武器库。

核心疑点分析

这件事有几个让人疑惑的地方：

1. 为什么选现在全部公开？
通常情况下，负责任的漏洞披露会先通知厂商，给 90 天修复窗口。但这个账号的做法是"一个都没报过就直接公开 PoC"——这在安全社区是非常激进的"全披露"（Full Disclosure）行为。

2. 账号身份成谜
"bikini" 没有任何历史 commit，这个仓库是它唯一的项目。GitHub 上也没有任何联系方式。有人猜测这是某个安全研究团队的集体账号，也有人怀疑是恶意攻击者放出的"诱饵"。

3. 还在持续更新
仓库并非一次性发布——过去 5 天内持续有新的 PoC 加入，最新的一次提交就在几分钟前（"Add portable RASC DLTA calc PoC helper"）。这意味着可能还有更多未公开的漏洞将要被释放。

4. 安全社区的两难
一方面，公开 PoC 可以迫使厂商加速修复；另一方面，这些 PoC 也会被攻击者利用来攻击尚未打补丁的系统。对于 Docker、nmap、Firefox 这类广泛使用的软件来说，影响面尤其大。

网友辣评精选

"这就像有人打开了潘多拉魔盒。问题是，我们不知道里面装的到底是宝藏还是灾难。"
—— HN 用户

"如果 nmap 那个是真的，那我今晚就要回去把所有 nmap 扫描脚本都加上沙箱了。"
—— HN 用户

"Ghidra 是 NSA 的工具，如果 NSA 自己的逆向工具里有 RCE……那画面太美我不敢看。"
—— HN 用户

"这哥们要么是安全界的罗宾汉，要么就是 chaos 的代言人。"
—— HN 用户

参考链接：

• Hacker News 讨论帖：https://news.ycombinator.com/item?id=48698617（650 pts, 252 comments）
• GitHub 仓库：https://github.com/bikini/exploitarium

本文出处： https://mp.weixin.qq.com/s/ChDHO5um0Rp4sUgeRHVPUg

声明：文章版权归原作者所有部分文章转自互联网如有侵权请联系 [邮箱地址] 删除

路过

雷人

握手

鲜花

鸡蛋

收藏分享邀请