匿名GitHub账户批量抛售未披露的零日漏洞
一个匿名GitHub账户正在批量发布多个此前未公开的零日漏洞(0-day)利用代码。这些漏洞涉及多个主流软件和平台,且未向相关厂商提前披露,引发了安全社区对不负责任披露行为的广泛担忧。安全专家警告称,此类大规模、无预警的漏洞公开可能加剧网络攻击风险。
背景速读
- GitHub 上出现了一个名为 "bikini/exploitarium" 的匿名账号,一次性发布了大量零日漏洞(0-day)的利用代码。这些漏洞此前并未公开,属于"未披露"状态。
- 零日漏洞指软件厂商尚未知晓、因而也没有补丁的安全漏洞。这类漏洞的利用代码一旦公开,会立即对全球用户构成现实威胁。
- 该仓库批量"倾倒"(mass-dropping)利用代码的行为极不寻常——安全研究界通常遵循"负责任的披露"流程:先通知厂商,等待修复,再公开细节。跳过这一步骤的做法被视为"全披露"(full disclosure),往往带有对抗或破坏目的。
- 目前尚不清楚发布者的真实身份以及动机(可能是独立研究者、黑帽子团体、或国家背景行为者)。GitHub 可能会在收到投诉后下架该仓库。
- 此事引发了社区对漏洞披露伦理的激烈讨论,也提醒企业立即排查自身是否受影响的紧迫性。