Анонимный исследователь под ником Bikini создал на GitHub репозиторий под названием Exploitarium, где публикует PoC-эксплоиты и описания уязвимостей нулевого дня в популярных проектах. При этом исследователь не уведомляет разработчиков о проблемах до их раскрытия. Сейчас Exploitarium содержит 31 каталог с PoC и описаниями уязвимостей, а двенадцати находкам из репозитория уже присвоены идентификаторы CVE.
Bikini пишет, что для обнаружения багов он применял фаззинг с помощью GPT-5.3 и использовал строго заданный автоматизированный воркфлоу. По словам исследователя, сами эксплоиты он писал вручную, хотя при работе с RustDesk использовал помощь ИИ. Также ИИ сгенерировал все README-файлы, после чего автор проверил их содержание.
Исследователь подчеркивает, что дорогие и передовые ИИ-модели дают лишь небольшое преимущество, если у специалиста есть хорошо настроенная тестовая инфраструктура для фаззинга, выстроенный процесс и возможность проверять результаты вручную.
Среди перечисленных в репозитории уязвимых проектов уже фигурируют 7-Zip, AnyDesk, curl, Docker, Firefox, FFmpeg, Ghidra, Gitea, Gogs, ImageMagick, libssh2, MyBB, Nmap, OpenVPN, PHP, QEMU, RustDesk и VLC. Останавливаться на этом Bikini не планирует: он обещает продолжать публикации и в дальнейшем выкладывать примерно по одному новому PoC в день.
Перед раскрытием проблем и публикацией эксплоитов исследователь не связывался с производителями и мейнтейнерами. В описании репозитория исследователь прямо предлагает всем желающим самостоятельно сообщать о проблемах разработчикам и забирать себе все почести, включая упоминание в CVE.
Однако, как отмечают СМИ, не все содержимое Exploitarium можно считать 0-day-уязвимостями или собственными находками Bikini. Например, критическую уязвимость CVE-2026-55200 в libssh2 ранее обнаружил ИБ-исследователь Тристан Мадани (Tristan Madani). Патч для этой проблемы приняли еще 12 июня, данные CVE опубликовали 17 июня, а PoC-эксплоит появился в Exploitarium только 23 июня.
Упомянутый баг затрагивает libssh2 1.11.1 и более ранние версии и получил 9,2 балла по шкале CVSS. Суть проблемы заключается в том, что вредоносный SSH-сервер может передать клиенту чрезмерно большое значение packet_length, что вызывает целочисленное переполнение и приводит к out-of-bounds записи в хипе. В худшем случае это открывает путь для выполнения произвольного кода в подключившемся клиенте. При этом стабильного релиза libssh2 с исправлением этой уязвимости пока нет.
При этом опубликованный Bikini PoC не является универсальным эксплоитом для удаленного выполнения кода. Сам автор описывает его как проверенный локально триггер и контролируемый RCE-харнесс. Для реальной эксплуатации код придется адаптировать с учетом целевого бинарника, аллокатора, защитных механизмов и способа интеграции libssh2.
Еще одна серьезная уязвимость из списка Exploitarium получила идентификатор CVE-2026-58053 (9,4 балла по шкале CVSS) и затрагивает Gitea act_runner с Docker-бэкендом. Пользователь, способный запускать CI/CD-воркфлоу, может передать контейнеру опасные параметры, обойти настройку privileged: false, осуществить побег из контейнера и получить root-доступ к хосту.
Аналитик компании Federal Signal Итан Эндрюс (Ethan Andrews) утверждает, что злоумышленники уже эксплуатируют уязвимости в libssh2 и Gitea в реальных атаках. Для защиты эксперт предлагает использовать набор KQL-правил, охватывающих весь репозиторий Exploitarium. Однако других свидетельств об атаках пока не поступало.
В отличие от исследователя Nightmare Eclipse, который фактически ведет войну с Microsoft и раскрывает 0-day-уязвимости на фоне конфликта с компанией, Bikini не пытается причинить вред конкретной организации. По его словам, он публикует находки ради того, чтобы привлечь в ИБ новых людей:
«Пожалуйста, не используйте эти материалы во вред. Я делаю это, чтобы привлечь людей в эту область, и всегда считал такой способ наиболее эффективным», — пишет исследователь.
