Akun Anonymous GitHub Lepas Puluhan 0-Day Exploit via AI Fuzzing

Sebuah akun anonymous di GitHub baru-baru ini membuat gelombang di komunitas cybersecurity dengan melepas puluhan proof-of-concept exploit untuk vulnerability yang sebelumnya tidak dilaporkan. Repository bernama Exploitarium berisi koleksi PoC dan vulnerability research writeups yang mencakup software populer seperti FFmpeg, libssh2, Docker, Firefox, 7zip, dan banyak lainnya. Setiap exploit di-release tanpa CVE yang ditetapkan, sehingga pengguna diminta untuk melaporkannya sendiri jika ingin mengklaim credit.

Yang membuat kasus ini semakin menarik adalah pengakuan dari pemilik repository bahwa proses fuzzing-nya diautomasi menggunakan AI model GPT-5.5-3-Codex-Spark dengan strict harness. Meskipun menggunakan AI untuk identifikasi bug, pemiliknya menegaskan bahwa semua PoC ditulis manual dan tidak ada yang di-vibe-coded. Ini menunjukkan bagaimana AI bisa menjadi force multiplier dalam security research ketika dikombinasikan dengan oversight manusia yang baik.

Isi Repository Exploitarium

Repository ini berisi lebih dari 20 entry vulnerability yang masing-masing dilengkapi dengan README detail dan file PoC. Beberapa yang paling signifikan meliputi:

• FFmpeg RASC/DLTA calc PoC: Vulnerability pada decoder FFmpeg yang bisa dieksploitasi untuk arbitrary code execution. FFmpeg adalah library multimedia yang digunakan oleh hampir semua aplikasi video dan streaming.

• libssh2 CVE-2026-55200: Multiple vulnerability pada library SSH populer yang digunakan oleh jutaan aplikasi. Kerentanan ini berpotensi mempengaruhi banyak sistem yang mengandalkan SSH untuk komunikasi aman.

• Docker cp destination escape: Container escape vulnerability pada command docker cp yang memungkinkan akses ke host filesystem. Ini sangat berbahaya untuk environment production yang menggunakan Docker.

• Firefox SmartWindow private URL exfil: Information disclosure pada mode private browsing Firefox yang bisa mengungkap URL yang seharusnya tersembunyi.

• Ghidra 12.1.2 RCE: Remote code execution pada tool reverse engineering populer milik NSA. Vulnerability ini bisa dieksploitasi ketika membuka file binary yang malicious.

• RustDesk session permission bypass: Vulnerability pada software remote desktop yang sedang populer, memungkinkan attacker untuk bypass permission checks.

• nmap IPv6 extlen wrap PoC: Buffer wrap vulnerability pada tool scanning jaringan yang paling populer di dunia.

Setiap entry berisi penjelasan teknis, langkah reproduksi, dan proof-of-concept code yang bisa langsung diuji. Kualitas PoC bervariasi, dengan beberapa yang sangat polished dan beberapa yang masih rough, sesuai dengan pengakuan pemilik repository bahwa repo ini masih incomplete saat pertama kali dipublish. Moving forward, pemiliknya berkomitmen untuk hanya sharing serious vulnerabilities dari software seperti Floci, libssh2, FFmpeg, dan c-ares.

Penggunaan AI dalam Fuzzing Workflow

Pemilik repository secara eksplisit menyatakan bahwa fuzzing workflow-nya diautomasi oleh AI dengan strict harness. Model yang digunakan adalah GPT-5.5-3-Codex-Spark. Namun dia juga menekankan beberapa poin penting:

• Tidak memerlukan state-of-the-art model untuk mengidentifikasi issue-issue ini.

• Human oversight dan good harness jauh lebih penting daripada kecanggihan model.

• Tidak ada PoC yang di-vibe-coded; semua ditulis manual kecuali untuk RustDesk yang menggunakan AI assistance karena keterbatasan familiarity dengan bahasa pemrogramannya.

• README file dibuat dengan bantuan AI untuk formatting Markdown yang baik.

Pernyataan ini mengklarifikasi narasi yang berkembang bahwa pemilik repository hanyalah random child yang membakar token. Faktanya, pemiliknya memiliki degree di bidang terkait dan telah mempublikasikan multiple papers tentang fuzzing methodology. Pengalaman bertahun-tahun dalam riset dan pengembangan tool fuzzing baru adalah fondasi dari keberhasilan ini, bukan sekadar akses ke model AI yang canggih.

Implikasi untuk Komunitas Security

Release massal 0-day seperti ini memiliki implikasi kompleks. Di satu sisi, transparansi membantu vendor untuk memperbaiki bug lebih cepat dan memberikan kesempatan kepada security researcher lain untuk belajar. Di sisi lain, melepas exploit tanpa koordinasi responsible disclosure bisa membuat pengguna rentan terhadap serangan sebelum patch tersedia.

Pemilik repository meminta agar exploit tidak disalahgunakan dan menyatakan bahwa tujuannya adalah untuk menarik orang ke dalam bidang security research. Dia juga membuka kolaborasi melalui Discord untuk diskusi lebih lanjut. Pendekatan ini menciptakan dilema etis yang familiar di komunitas security: keseimbangan antara edukasi dan responsible disclosure.

Pelajaran untuk Developer dan Security Engineer

Kasus Exploitarium memberikan beberapa pelajaran penting bagi praktisi security di Indonesia:

• AI adalah tool, bukan pengganti: AI bisa mempercepat fuzzing dan identifikasi bug, tetapi human expertise tetap diperlukan untuk memverifikasi dan membuat PoC yang reliable.

• Automation dengan harness yang baik: Kunci keberhasilan bukan pada model yang paling canggih, melainkan pada harness yang efisien dan oversight manusia yang ketat.

• Responsible disclosure tetap penting: Meskipun pendekatan full disclosure memiliki nilai edukatif, koordinasi dengan vendor tetap menjadi best practice untuk melindungi pengguna.

• Software populer tetap memiliki bug: Bahkan software yang sudah mature seperti FFmpeg, Docker, dan Firefox masih memiliki vulnerability yang belum ditemukan. Continuous security testing adalah keharusan.

Kesimpulan

Exploitarium adalah contoh menarik dari bagaimana AI bisa mempercepat security research ketika digunakan dengan benar. Dengan puluhan vulnerability yang diungkap dalam waktu singkat, repository ini menunjukkan potensi dan risiko dari automated vulnerability discovery. Bagi komunitas security di Indonesia, ini adalah reminder bahwa AI tidak hanya digunakan oleh defender tetapi juga oleh attacker, sehingga kemampuan untuk memahami dan memitigasi vulnerability menjadi semakin krusial.

Repository tersedia di github.com/bikini/exploitarium. Bagi yang ingin belajar fuzzing dan vulnerability research, ini adalah resource yang sangat berharga untuk dipelajari dengan bijak. Tetapi ingat: gunakan pengetahuan ini untuk memperkuat sistem, bukan untuk menyerang sistem orang lain.