La comunità della cybersecurity è in allarme dopo il rilascio di un repository GitHub denominato "exploitarium", gestito da un utente anonimo noto come "bikini". A differenza delle procedure di responsible disclosure, l'autore ha pubblicato codice funzionante per vulnerabilità zero-day che colpiscono 15 diversi prodotti software e progetti open source, senza notificare preventivamente i vendor o i manutentori.
Secondo quanto riportato da The Register, almeno due di queste falle sono già oggetto di attacchi attivi. Tra le più critiche spicca la CVE-2026-55200, una vulnerabilità di Remote Code Execution (RCE) pre-autenticazione che colpisce libssh2, una libreria C ampiamente utilizzata per l'implementazione del protocollo SSH2. L'exploit permette a un attaccante remoto di inviare pacchetti SSH manipolati con valori di packet_length eccessivi, corrompendo la memoria heap e ottenendo l'esecuzione di codice arbitrario.
Un archivio di vulnerabilità non filtrate
Il repository si presenta come una raccolta di Proof-of-Concept (PoC) e ricerche offensive. Sebbene l'autore descriva il progetto come un'iniziativa di "open-disclosure in buona fede", invitando altri a segnalare i bug per ottenere il credito del CVE, l'impatto è devastante. Alcune fonti indicano che il dump potrebbe contenere oltre 130 exploit, di cui due con punteggi CVSS estremamente elevati (9.2), rendendoli immediatamente utilizzabili per attacchi su larga scala.
Il ruolo dell'AI nella ricerca di bug
L'episodio solleva interrogativi strutturali sulla sicurezza nel 2026. Secondo l'analisi di Onionmail, la quantità di vulnerabilità esposte evidenzia il problema della ricerca assistita da AI, che permette a singoli ricercatori di individuare falle in tempi rapidissimi. Questo trend si inserisce in un contesto di crescente instabilità, dove anche i colossi tech stanno cercando di reagire coordinando difese più robuste per l'open source, come visto recentemente con il lancio di Akrites.
Prospettive e rischi globali
Il rilascio di exploit funzionanti senza patch disponibili trasforma istantaneamente la superficie d'attacco per migliaia di aziende. Mentre i manutentori di libssh2 hanno già integrato un fix nel ramo di sviluppo principale, la velocità con cui questi tool vengono adottati dai gruppi criminali rende fondamentale un aggiornamento immediato di tutte le dipendenze software critiche.