A single archive of public exploit PoCs and vulnerability research writeups. At the time I post these, none have been reported. Feel free to report them yourself and take credit for the CVE if handed out lulz. Please do not abuse these. I do this so to allure people into the field, and I've always found this is the most efficient way.
Рынок exploit/threat intelligence — миллиарды и растёт двузначно; VulnCheck утроил ARR год к году. Но платят за структурированные курируемые фиды с SLA, а не за сырые PoC на GitHub — спрос на этот конкретный формат низкий.
ЗАХВАТ20
Рва нет: контент тривиально копируется (высокий forks-коэффициент), автор сам публикует открыто и призывает распространять. Ниша занята игроками с сотнями тысяч записей и промышленными пайплайнами. Возможный слабый ров — только личный бренд автора (не подтверждён).
ДОСТУП25
Лицензия отсутствует → all-rights-reserved, коммерческое использование третьими лицами запрещено. Bus-factor=1, репозиторий по признанию автора неполный. Dual-use PoC под нерепорченные баги юридически/этически токсичны. Вложить пришлось бы очень много.
«Заработать на объекте почти нельзя: топят отсутствие лицензии и рва при копируемом контенте в занятой нише; высокий спрос рынка к нему не применим.»
Рыночный анализ · Обзор
Личный архив демонстраций уязвимостей (PoC) в популярном софте, собранный одним исследователем как витрина для привлечения людей в security research.
Репозиторий собирает в одном месте десятки самостоятельных proof-of-concept по конкретным продуктам (curl, ffmpeg, QEMU, Redis, PostgreSQL, Ghidra, RustDesk, Docker и др.) с сохранёнными README и файлами. Автор декларирует цель — не решение боли, а популяризацию: заманить людей в область через готовые воспроизводимые примеры. По заявлению автора, фаззинг автоматизирован ИИ по строгому workflow, PoC написаны вручную, README сгенерированы ИИ и вычитаны — эти утверждения непроверяемы. На момент публикации, по словам автора, баги не были зарепорчены.
Какую боль решает
Дефицит доступных, свежих и воспроизводимых учебных PoC для начинающих исследователей в offensive security и фаззинге.
Сценарии использования
+Учебный материал для начинающих в offensive security и фаззинге
+Отправная точка для bug bounty: репортить незарепорченные баги ради CVE
+Тест-кейсы для защитников и мейнтейнеров затронутого софта (регрессии)
+Материал для контент-мейкера и Discord-комьюнити
Целевой пользователь
Начинающие и средние security-researchers, багхантеры, студенты ИБ.
Индексы ссылок, а не self-contained PoC с идентичными файлами.
Позиционирование
«Ещё-один-архив» / нишевый новичок. Ниша публичных архивов эксплойтов давно занята зрелыми, курируемыми и лучше проиндексированными игроками (Exploit-DB, Metasploit, Rapid7 DB). Уникальность exploitarium — только в свежести и авторстве конкретных PoC, а не в платформе; это фид одного автора, а не лидер категории.
Exploit & vulnerability intelligence: KEV, приватные PoC, машиночитаемые фиды по всем CVE.
Превысил $10M ARR глобально, первый квартал с $2M+, рост ARR утроился год к году; ~7000 организаций через год после запуска Community-тира; привлечено ~$20M (Series A $12M). Точность цифр — по данным пресс-релизов/новостей.
Покрывает более 38 754 эксплойтов и связывает ~46 000 исследователей; транзакции в криптовалюте.
Per-exploitcrypto (BTC/LTC/ETH)
Текущая монетизация проекта
Коммерческой монетизации нет. В README отсутствуют платный тир, облако и платная поддержка; homepage и релизов нет, лицензия отсутствует. Единственный канал вовлечения — приглашение в Discord и просьба шарить репозиторий «чтобы поддержать мотивацию». GitHub Sponsors в фактах не указан. Фактически это хобби/репутационный проект, а не бизнес.
Коммерческий потенциал
ПОТЕНЦИАЛ · НИЗКИЙ
На этой либе как на активе заработать практически нельзя: это не продукт, а хобби-архив одного автора без лицензии и рва в занятой нише. Монетизируема лишь экспертиза/бренд автора вокруг, но не сам репозиторий.
Спрос и рынок
Тема крупная и быстрорастущая: threat intelligence оценивается порядка $10–18 млрд в 2026 с CAGR ~13–18% (Mordor, Fortune Business Insights, The Business Research Company расходятся по методологиям). Эксплуатация уязвимостей как первопричина инцидентов утроилась за два года. Но спрос на данный формат (сырой личный архив без структуры/API/лицензии) — маргинальный.
Ров / защищённость
У контента рва нет — отдельные PoC тривиально копируются, автор сам их публикует и призывает распространять. Единственный возможный слабый ров — личный бренд и заявленная экспертиза автора (степень, публикации по фаззингу), но эти утверждения не подтверждены.
Модели монетизации
+Спонсорство/донаты (GitHub Sponsors, Patreon, платный уровень Discord-комьюнити)
+Платное обучение/курсы и консалтинг по фаззингу (монетизация экспертизы автора)
+Bug bounty / responsible disclosure самим автором вместо раздачи находок читателям
+Отдельный структурированный продукт (курируемый фид/API) поверх методологии — по сути новый проект, конкурент VulnCheck/Vulners
Что нужно, чтобы сделать продукт
+Лицензия и легальная модель раскрытия уязвимостей
+Структура и таксономия данных, машиночитаемый формат/API
+Покрытие (тысячи записей вместо десятков), курирование и верификация
+SLA и промышленный пайплайн обновления
+Команда для снижения bus-factor
+Подтверждение экспертизы/бренда автора
⚖ ЛИЦЕНЗИЯ · МОЖНО ЛИ КОММЕРЦИАЛИЗИРОВАТЬ
Лицензия ОТСУТСТВУЕТ → all-rights-reserved. Любое коммерческое использование, форк-в-продукт или перепубликация третьими лицами по умолчанию запрещены. High-severity блокер и одна из главных причин итоговой оценки LOW.
Риски и подводные камни
ВЫСОКИЙЛИЦЕНЗИЯ
Лицензия отсутствует (SPDX: None) → режим all-rights-reserved: любое коммерческое использование, форк-в-продукт или перепубликация третьими лицами по умолчанию запрещены. Главный блокер монетизации сторонними лицами.
ВЫСОКИЙЮР. СЕРАЯ ЗОНА
Публикация PoC под заявленно нерепорченные уязвимости в популярном софте — репутационно и юридически токсично (dual-use); злоупотребление возможно несмотря на дисклеймер.
ВЫСОКИЙЗАВИСИМОСТЬ ОТ АВТОРА
Один контрибьютор, репозиторий по признанию автора неполный, зависимость от мотивации автора («шарьте, чтобы я продолжал»). Bus-factor=1.
ВЫСОКИЙКОНКУРЕНЦИЯ
Ниша занята зрелыми игроками с масштабом и капиталом; суммарное финансирование одного VulnCheck — около $20 млн, покрытие — все CVE из ~500 каналов.
СРЕДНИЙПРОЧЕЕ
Достоверность/провенанс: заявления об авторстве, степени, публикациях и ИИ-фаззинге непроверяемы; часть находок дублировалась (автор сам признаёт, что objdump-находку кто-то сделал раньше).
СРЕДНИЙКОММОДИТИЗАЦИЯ
Стабильность контента: по мере репортинга и патчинга PoC быстро теряют актуальность.
+Звёзды всех OSS-аналогов не запрашивались точно в этой сессии — приведены как оценочные/неизвестные (null).
+Утверждения автора в README (степень, публикации по фаззингу, ручное написание PoC, использование «GPT-5.3» для фаззинга) непроверяемы и взяты как неподтверждённые.
+Цифры VulnCheck (ARR $10M, $2M+ квартал, утроение, ~7000 организаций, ~$20M финансирования) — из пресс-релизов/новостей, подтверждены не всеми источниками независимо.
+Конкретные цены/тиры Vulners, VulDB, OpenCVE не подтверждены числами из ≥2 источников — модель монетизации указана, точные суммы нет.
+Оценки размера рынка threat intelligence сильно расходятся между аналитическими домами (Mordor, Fortune Business Insights, The Business Research Company) из-за разных методологий.
+Отсутствие GitHub Sponsors у автора — вывод по отсутствию упоминания в фактах, а не прямая проверка страницы спонсорства.
+Масштаб/цифры 0day.today (38 754 эксплойта, ~46 000 исследователей) взяты из одного вторичного источника.
+Общая уверенность low: объект — не либа, а хобби-архив; коммерческая часть привязана к смежному рынку intelligence, а не к самому репозиторию.
bikini/exploitarium собрал 127 звёзд за окно, тогда как у автора всего 633 подписчиков — эффективная аудитория ≈ 1,044. Это даёт surprise-индекс 0.00391 (звёзды относительно охвата автора, а не в абсолюте). Удержание форков 67.7% и 0 внешних контрибьюторов отделяют реальный инструмент от разовой вспышки. Акселерация положительная — рост ещё не выдохся.
Related Findings
RANKS ABOVE 0% OF 1 FINDINGS
NO RELATED FINDINGS
METRICS IN CONTEXT
MEDIAN ACROSS ALL 1 FINDINGS · Δ vs MEDIAN · PERCENTILE = SHARE RANKED BELOW