【0-day工业化：AI正在批量制造漏洞危机吗？】

最近 GitHub 上一个名为 Exploitarium 的项目让安全圈炸了锅。作者一口气丢出几十个针对 FFmpeg、Docker、Nmap 等主流工具的漏洞 PoC，且大部分是未公开的 0-day。评论区两极分化：有人嘲讽这是 AI 生成的“幻觉垃圾”，有人却在 FFmpeg 和 c-ares 的代码里发现了实打实的远程代码执行风险。

这件事最深刻的逻辑不在于 AI 变得多聪明，而在于“漏洞挖掘”正在进入工业化时代。作者承认利用了 GPT-5.5 架构的模型配合自研的 Fuzzing（模糊测试）框架。这揭示了一个现实：只要专家搭好“脚手架”，AI 就能像流水线工人一样，没日没夜地在开源代码里翻找人类因疲劳或疏忽留下的漏洞。

这种不对称性才是最危险的。当寻找漏洞的成本降到几枚 Token 的价格，传统的“负责任披露”机制——即先私下通知厂商、等修复后再公开——可能在海量的漏洞报告面前彻底崩盘。

未来的安全防线将不再取决于程序员写代码时有多小心，而取决于你的 CI/CD 流程里是否跑着一个比黑客更强的 AI 审计员。代码审计正在从“手艺活”变成算力与算法的军备竞赛。

github.com/bikini/exploitarium