ИИтог

Аноним-исследователь массово раскрывает недокументированные 0-day уязвимости

безопасностьРедакция ИИтогHacker News🔥80Рейтинг ИИтог · значимость 72 · 729 баллов · 49/ч · 287 коммент.
Аноним-исследователь массово раскрывает недокументированные 0-day уязвимости

Неизвестный пользователь на GitHub (ник @ashdfrkl в Discord) опубликовал репозиторий exploitarium, консолидированный архив PoC и исследований уязвимостей, собравших 12 бывших standalone-репозиториев в один проект. Основное содержимое включает уязвимости в критичных проектах: Floci (API gateway RCE через VTL), libssh2 (два PoC, CVE-2026-55200 и операции с публичными ключами), FFmpeg (RASC-related уязвимость), c-ares (TCP UAF), nghttp2, nmap, PHP 8.5.7, RustDesk, SystemInformer и другие.

Исследователь подробно объяснил свою методологию: фаззинг был полностью автоматизирован с помощью AI (GPT-5.5-3-Codex-Spark) в рамках строгого harness'а, однако сами PoC написаны вручную. Он заявляет о наличии диплома в области безопасности и опубликованных работ по методологии фаззинга, утверждая, что передовые LLM-модели, это только маргинальное улучшение при условии хорошего надзора и качественного harness'а. Заголовки README сгенерированы AI и отрецензированы автором.

Репозиторий проверен на целостность: все 96 tracked файлов из 12 бывших репозиториев идентичны по Git blob ID, что подтверждает сохранение оригинального содержимого. Автор подчеркивает, что это, добросовестное open-disclosure исследование для популяризации области cybersecurity, с явным запретом на малиционное использование.

Ключевые факты

  • Консолидированный архив PoC для критических уязвимостей в libssh2, FFmpeg, c-ares, Floci, nghttp2, nmap, PHP и других популярных проектах
  • AI использована для автоматизации фаззинга (GPT-5.5-3-Codex-Spark), но сами PoC написаны вручную; README сгенерированы AI с последующей рецензией
  • Исследователь утверждает о наличии формального образования в cybersecurity и опубликованных работ по методологии фаззинга
  • Целостность проверена: все 96 файлов из 12 репозиториев идентичны по Git blob ID (проверка выполнена 23 июня 2026)
  • Open-disclosure подход с явным запретом на малиционное использование; автор мотивирован развитием community в области безопасности

Почему это важно

Публичное раскрытие скоординированных 0-day уязвимостей в критичных компонентах (cryptography, streaming, DNS, network utilities) ставит перед разработчиками и юзерами срочную задачу патчинга. Это также демонстрирует, как AI-ассистенты могут ускорять процесс security research через автоматизацию фаззинга, что одновременно повышает скорость обнаружения уязвимостей и усиливает дискуссию о контроле над disclosure-циклом в cybersecurity.

Кому это важно

Разработчикам, владельцам infra и security-командам, использующим libssh2, FFmpeg, c-ares, nghttp2, nmap, PHP, RustDesk, SystemInformer и другие уязвимые проекты; исследователям cybersecurity, изучающим современные методы фаззинга и роль AI в vulnerability research; авторам этих projects (требуют срочного patch-release).

Как это применить

Срочно проверить зависимости проекта на наличие уязвимых версий указанных библиотек и tools (особенно Floci, libssh2, FFmpeg, c-ares). Провести patch-assessment и обновление до версий с исправлениями. Рассмотреть использование AI-ассистентов для собственного fuzzing-процесса, но с подготовкой строгого harness'а, который будет ограничивать спектр поиска и контролировать затраты. Для security-исследователей: данный репозиторий служит примером эффективной координации между открытым раскрытием и методологической строгостью.

Можно ли доверять

Репозиторий прошел проверку целостности: все файлы идентичны оригинальным по Git blob ID (проверка 23 июня 2026 на 96 файлах из 12 repos). Исследователь демонстрирует методическую дисциплину (различие между AI-автоматизированными и ручными этапами, рецензия README) и ссылается на собственные публикации по fuzzing. Однако личность автора неизвестна; мотивация представлена как добросовестное disclosure ради развития community. Наличие PoC подтверждает реальность уязвимостей, но окончательная верификация требует проверки от разработчиков affected projects.

Риски и подводные камни

Публичные PoC значительно снижают барьер входа для exploit-разработчиков с дурными намерениями; никакой координация с vendors не упоминается, что может означать zero-day без предварительного notice. Возможна драматизация некоторых findings (автор отмечает, что ранние findings в репозитории «kinda ass»). AI-ассистенты при плохо продуманном harness могут генерировать false positives или пропускать реальные уязвимости. Неизвестность автора лишает возможности проверить его заявления о дипломе и публикациях; это может быть как защитой (от targeting), так и причиной сомневаться в компетентности.

«Я потратил годы на исследование и разработку новых инструментов и идей для фаззинга. Вам НЕ нужна SOTA-модель, чтобы помочь выявить эти проблемы, я вам обещаю! Хотя возможность позволить себе лучшую модель полезна, мои данные показывают, что выигрыш маргинален при условии хорошего человеческого надзора и качественного harness'а.»

— Анонимный исследователь (@ashdfrkl, Discord)