并非所有安全研究者都愿意遵循负责任的漏洞披露原则。一名匿名研究者一次性公开了横跨15款软件产品和开源项目的零日漏洞利用代码，在公开前未向任何厂商或维护者发出预警——且至少已有两个漏洞正被攻击者实际利用。

第一个是CVE-2026-55200，libssh2中存在的一个预认证远程代码执行漏洞。libssh2是广泛使用的客户端C库，用于实现SSH2协议。攻击者可发送包含超大packet_length值的特制SSH报文来破坏堆内存，进而实现远程代码执行。修复补丁已合入libssh2主线开发分支，维护者正在准备发布包含该补丁的正式版本。

第二个是CVE-2026-20896，影响自托管Gitea Docker部署的关键认证绕过漏洞。未认证攻击者可冒充任意用户完全接管Git服务器。该漏洞已在Gitea 1.26.3中修复。

这名自称"bikini"的研究者将这些利用代码和漏洞分析文发布在名为exploitarium的GitHub仓库中，该仓库现已被移除。这不禁让人联想到近几个月持续公开微软漏洞利用代码的Nightmare Eclipse。不过与之不同的是，bikini似乎并未对某一家厂商怀有特别的敌意，其公布的漏洞横跨多个产品和项目，包括libssh2、Splunk、RustDesk、7-Zip、VLC、AnyDesk、OpenVPN、c-ares、Gitea和Floci。

"请自己去报告这些漏洞，如果拿到了CVE编号就把功劳归自己吧，"这位匿名研究者在仓库中写道，"请不要滥用它们。我这样做是为了吸引人们进入这个领域。"

AI驱动的漏洞末日

其他研究者认为，bikini使用了先进的AI模型——具体而言是GPT-5.5 Codex——来自动化模糊测试和漏洞发现，这再次印证了AI引发的"漏洞末日"正在逼近。针对bikini的数据公开，Federal Signal分析师Ethan Andrews构建了44条KQL检测规则，覆盖了整个exploitarium仓库的漏洞利用代码。

Andrews写道："技术上最有意义的两项发现——libssh2预认证堆写入和Gitea默认Docker认证绕过——已被独立验证为高风险漏洞，且已观察到在野利用。"他也指出，exploitarium中的部分披露"被社区视作低影响的AI模糊测试噪声而予以忽略"。

尽管仓库已被GitHub移除，互联网上没有什么会真正消失。可以合理推测，攻击者现在也在使用AI扫描易受攻击的实例。在很多情况下，bikini的概念验证代码意味着他们甚至不需要花时间去开发漏洞利用工具。