// HEISE ONLINE — CYBERSECURITY
Exploitarium: Anonymer Sicherheitsforscher veröffentlicht zwei Dutzend Zero-Days
Von PHP bis RustDesk: Der Unbekannte hat mit KI-Unterstützung Sicherheitslücken in allerlei quelloffener Software entdeckt und publik gemacht – als Geschenk.
Aufkleber auf Macbook: Dropping 0-days faster than Newton's apple
This article is also available in
English.
It was translated with technical assistance and editorially reviewed before publication.
Ein Unbekannter mit dem sommerlichen Pseudonym „Bikini“ hat auf der Codesharing-Plattform Github Proof-of-Concept-Code für knapp zwei Dutzend Sicherheitslücken veröffentlicht – nach eigener Aussage allesamt bislang ungefixte Zero-Days. Darunter befinden sich Exploits für PHP, OpenVPN, VLC und andere Projekte. Die Schwere der Sicherheitslücken variiert von Informationslecks bis zu Codeeinschleusung. Wer will, kann die Lücken an den Hersteller melden, um Ruhm einzuheimsen.
Im Github-Repository „Exploitarium“ finden sich alle Lücken mit einer kurzen README, die wie Teile der eigentlichen Lückenfindung KI-generiert ist. Im Einzelnen sind folgende Projekte betroffen:
Wie der unbekannte Sicherheitsforscher selber schreibt, sind manche seiner Funde „ein bißchen schrottig“, manche seien aber besser. Er nutzte KI für Handreichungen bei der Lückensuche, betont jedoch, dass fast alle PoCs handkodiert seien. Bis auf eine Lücke – CVE-2026-55200 – gibt es weder CVE-Kennungen noch CVSS-Punkte oder andere Zusatzinformationen. Potenziell Betroffene müssen diese aus den jeweiligen Readmes und dem PoC-Code extrahieren oder auf Bearbeitung durch die Hersteller warten. Auf die Hintergründe von CVE, CVSS und anderen Metadaten für Sicherheitslücken geht der Podcast „Passwort“ in seiner aktuellen Folge ausführlich ein.
Mit Ihrer Zustimmung wird hier ein externer Podcast (Podigee GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden.
Damit können personenbezogene Daten an Drittplattformen (Podigee GmbH) übermittelt werden.
Mehr dazu in unserer
Datenschutzerklärung.
Die Motivation hinter dem Exploitarium sei Nachwuchswerbung, schreibt der Anonymous. Er schenkt die Funde der Öffentlichkeit und betont, dass ein jeder sie an die betroffenen Hersteller melden dürfe, um einen CVE dafür „einzuheimsen“. Der Sicherheitsforscher habe sich zu diesem Vorgehen entschlossen, um „Leute in das Feld [der Exploitsuche, d.R.] zu locken“, er empfinde es als „effizientesten Weg“ der Nachwuchswerbung.
KI-generierte Sicherheitslücken überschwemmen in den vergangenen Monaten in einer Art „Vulnokalypse“ die Bug-Bounty-Programme vieler Hersteller und führen zu spürbaren Abnutzungserscheinungen. Das cURL-Projekt hat daher den „Summer of Bliss“ ausgerufen und bearbeitet im Juli keine Fehlermeldungen.