匿名 GitHub 账号大规模泄露未公开 0-day 漏洞

背景

在网络安全领域，漏洞研究者的行为模式通常分为两类：一是通过正规渠道向厂商报告并等待补丁发布（负责任披露）；二是将漏洞细节、利用代码（PoC）直接公开，以迫使厂商重视或警示公众（公开披露）。近期，一个匿名的 GitHub 账号进行了一次规模空前的“漏洞大甩卖”，一次性公开了多个未公开（undisclosed）的 0-day 漏洞及其概念验证代码（PoC）。

该账号在 Hacker News 上发布了相关动态，标题为“Anonymous GitHub account mass-dropping undisclosed 0-days”（匿名 GitHub 账号大规模泄露未公开 0-day 漏洞）。发布者自称是漏洞研究人员，并通过 Discord 账号 @ashdfrkl 寻求合作或讨论。这一举动在安全社区引发了广泛关注，因为这不仅涉及多个知名软件栈的深层漏洞，更因其“大规模、一次性”的公开方式而显得尤为罕见。

核心内容

该 GitHub 仓库是一个经过整合的归档库，收录了发布者此前分散在各个独立仓库中的 Proof-of-Concept（PoC）和漏洞研究文章。发布者明确表示，此举旨在激励自己继续分享发现，并鼓励更多人探索网络安全领域。

1. 数据完整性验证机制

为了确保归档的严谨性，发布者在 2026 年 6 月 23 日（注：原文日期，可能为未来时间戳或笔误，但需忠实呈现）对旧有的独立仓库进行了彻底清理前的验证。验证过程并非简单的文件对比，而是基于 Git 底层数据结构的深度比对：

• 比对对象：将每个旧独立仓库的 HEAD 树与当前归档中的对应文件夹进行比对。
• 比对维度：
  • 相对路径一致；
  • Git 对象类型一致；
  • 树模式（tree mode）一致，包括可执行位（executable bits）；
  • Git Blob ID 一致（这意味着文件字节内容完全相同）。
• 验证结果：覆盖了 12 个仓库和 96 个受跟踪条目，零 mismatches（不匹配）。

2. 保留元数据与历史

该仓库主要保留 PoC 的代码内容。对于仓库级别的元数据（如 Star 数、Issues、Pull Requests、Releases）以及独立的 Git 提交历史，发布者将其保留在原始的独立仓库中，未合并至此归档库。

3. 直接收录的漏洞 PoC 列表

以下漏洞 PoC 直接作为文件夹收录，并由该仓库的提交历史进行追踪：

• c-ares-tcp-uaf-calc-poc: 涉及 c-ares 库的 TCP 释放后使用（Use-After-Free）漏洞，可能影响 DNS 解析服务。
• ffmpeg-rasc-dlta-calc-poc: 涉及 ffmpeg 多媒体处理框架的漏洞，具体为 RASC 相关的 Delta 计算问题，可能导致崩溃或代码执行。
• firefox-smartwindow-private-url-exfil-poc: 针对 Firefox 浏览器的漏洞，利用 SmartWindow 机制实现私有 URL 信息泄露（Exfiltration）。
• floci-apigateway-vtl-rce-poc: 涉及 floci API 网关的 VTL（Velocity Template Language）远程代码执行（RCE）漏洞。
• libssh2-cve-2026-55200-poc: 针对 libssh2 库的漏洞，CVE 编号为 CVE-2026-55200。这是一个非常引人注目的细节，因为当前年份远早于 2026 年，这可能是一个预测性的 CVE 分配、测试编号，或者是发布者对未来的某种标记（但在技术解读中，我们应视为其声称的漏洞标识）。
• libssh2-publickey-list-calc-poc: 涉及 libssh2 公钥列表计算的漏洞。
• nghttp2-nghttpx-upgrade-queue-poison-poc: 针对 nghttp2 及其代理 nghttpx 的漏洞，通过升级队列投毒（Queue Poisoning）实现攻击。
• nmap-ipv6-extlen-wrap-poc: 针对 nmap 扫描工具的漏洞，涉及 IPv6 扩展长度（ExtLen）的回绕（Wrap）问题，可能导致缓冲区溢出或逻辑错误。
• php857-streambucket-soap-rce-rpoc: 针对 PHP 8.5.7 版本的漏洞，通过 StreamBucket 和 SOAP 处理实现远程代码执行（RCE）。
• rustdesk-session-permission-pocs: 针对远程桌面软件 RustDesk 的会话权限漏洞 PoC。
• systeminformer-phsvc-trusted-host-lpe-poc: 针对系统监控工具 System Informer（原 Process Hacker）的漏洞，涉及 phsvc 服务中的受信任主机本地提权（LPE）。

4. 发布者的立场

发布者强调，严禁任何人恶意使用仓库中的任何材料。声明指出，这是出于善意（good-faith）的公开披露，目的是提高公众对该网络安全领域的兴趣。最后，发布者用一句网络俚语“Cybercrime is cringe”（网络犯罪很丢人/很糟糕）来划清界限，表明其研究动机是学术性和警示性的，而非犯罪。

关键要点

• 大规模零日泄露：一次性公开了涉及多个知名开源项目（如 FFmpeg, Nmap, libssh2, PHP, RustDesk）的未公开 0-day 漏洞，数量之多、覆盖面之广在近期较为罕见。
• 技术验证严谨：发布者使用了 Git 底层 Blob ID 比对来证明归档文件的完整性，确保了 PoC 代码未被篡改，增加了研究的可信度。
• 高危漏洞类型集中：泄露的漏洞涵盖了远程代码执行（RCE）、本地提权（LPE）、信息泄露（Exfiltration）和释放后使用（UAF）等高危类型，直接影响服务器安全、浏览器安全和远程桌面连接。
• 异常的时间戳：libssh2 漏洞的 CVE 编号为 CVE-2026-55200，这一未来年份的编号在技术解读中极为异常，可能暗示该漏洞的严重性极高，或者发布者使用了非标准的编号方式，需警惕其真实性和来源。
• 开源生态风险：c-ares, libssh2, nghttp2 等均为底层基础设施库，其漏洞可能波及大量依赖它们的上层应用，影响范围远超单一软件。
• 道德边界声明：发布者明确区分了“负责任的研究”与“网络犯罪”，试图在公开披露（Open Disclosure）与恶意利用之间建立道德防火墙，但客观上为攻击者提供了现成的攻击工具。

意义与影响

1. 对软件厂商的压力

这种“大规模甩卖”式的公开披露，对受影响厂商（如 Mozilla, FFmpeg 团队, PHP 社区, RustDesk 团队等）构成了巨大压力。由于漏洞在未打补丁前就已公开，厂商必须加速修复流程，否则将面临更严重的声誉损失和安全事件。特别是 CVE-2026-55200 这样的标识，若被广泛传播，可能引发对漏洞编号管理规范的讨论。

2. 安全研究范式的争议

此次事件再次引发了关于“公开披露”与“负责任披露”的争论。支持者认为，公开 PoC 能迫使厂商快速响应，并让社区共同研究防御方案；反对者则认为，将未修补的 0-day 公之于众，等同于向攻击者发放武器，尤其当涉及 RustDesk 等远程访问工具时，可能直接导致大规模入侵事件。

3. 攻击面扩大

尽管发布者声称“网络犯罪很丢人”，但技术本身是中立的。一旦这些 PoC 被恶意行为者获取并修改，针对 nmap 扫描器的利用、Firefox 的信息泄露以及 PHP 的 RCE 漏洞将被迅速