“今天又有新发布了,这是迄今为止规模最大的一次。”一个名为“ashdfrkl”的匿名GitHub用户周三更新了自己的代码仓库,用轻描淡写的口吻抛出了一系列新的零日漏洞利用代码。该仓库在过去一段时间里持续接收着来自这个神秘账号的“投递”,而账号主人表示,他希望用这种方式拉人入伙,或者至少找些能一起讨论的人。

如果你想跟我合作或讨论点什么,在Discord上找我就是了。他在仓库说明里留下了自己的Discord用户名,顺便补了一句:你们多分享这个仓库,我就有动力继续往外放我的发现。

这个仓库本身更像是一个打包整理后的档案集,而不是某一次单独的漏洞发布。里面集中收纳了账号主人此前积累的公开概念验证代码和漏洞研究记录。翻看目录结构就能发现,大部分文件夹原本是一个个独立的代码仓库,现在原样搬了进来,连带着最初的说明文件和所有被追踪的文件一起保留。新增的研究条目则以自成一体的文件夹形式直接塞进这个大仓库中。

用户还特意说明了一段有意思的细节:仓库里的内容经过了校验。2026年6月23日,他在GitHub上重新拉取了所有那些独立仓库的最新版本,然后做了一次完整的比对,才把旧仓库删掉。比对的方式不是简单地比较文件系统差异,而是用了Git的树数据,逐项检查了每个独立仓库的HEAD树和这个整合仓库里的对应文件夹。检查覆盖了12个仓库、96个被追踪的条目,结果是没有一处不匹配。

那套检查流程细致到什么程度呢?每个条目都要求满足四个条件:相对路径必须相同,Git对象类型一致,树模式(包括可执行位)也要对得上,连Git中标识文件内容的blob ID都不能有差。因为在Git的机制下,blob ID相同意味着被追踪的文件内容在字节级别上完全一致。96个条目,零差错,等于说这些漏洞利用代码的原版内容被完整无损地保存了下来。

仓库里具体都有些什么?直接翻阅目录就能看到一些条目名称,比如c-ares-tcp-uaf-calc-poc、ffmpeg-rasc-dlta-calc-poc、firefox-smartwindow-private-url-exfil-poc、floci-apigateway-vtl-rce-poc,还有libssh2-cve-2026-55200-poc、libssh2-publickey-list-calc-poc、nghttp2-nghttpx-upgrade-queue-poison-poc、nmap-ipv6-extlen-wrap-poc、php857-streambucket-soap-rce-rpoc、rustdesk-session-permission-pocs,以及systeminformer-phsvc-trusted-host-lpe-poc。从命名来看,涉及的软件覆盖面相当广,既有Firefox浏览器相关的隐私数据泄露问题,也有FFmpeg这类广泛使用的多媒体处理库,还有PHP、Nmap这些开发者熟悉的工具。

账号主人把这些统统叫做“PoC”——概念验证代码。仓库本身不包含原始仓库的星标、议题、拉取请求、发布版本和独立的Git历史,那些元数据还留在已经被删掉的旧仓库记录里。换句话说,他刻意只保留了漏洞研究的核心内容和代码本身。

在仓库说明的最后,发布者写了一段语气强烈的声明:绝对不要用这里的任何东西去做恶意攻击。他强调,这是出于善意的公开漏洞研究,目的是让更多人关注网络安全这个领域,对这个方向产生兴趣。结尾那句甚至带点个人态度——“网络犯罪太掉价了”。