Github Trends®
findingsmedian surprise window 30 days
UNIT / TREND-MONITOR · REV 2.6
[ 30 days window ]
SOURCE: gharchive
FINDING #20 · UNIT ID 1277675818
bikini/exploitarium
A single archive of public exploit PoCs and vulnerability research writeups. At the time I post these, none have been reported. Feel free to report them yourself and take credit for the CVE if handed out lulz. Please do not abuse these. I do this so to allure people into the field, and I've always found this is the most efficient way.
[ PYTHON ]ЗАРАБОТОК D · 30/100[ GITHUB ↗ ]
SURPRISE SCORE
0.00

Score Breakdown

SURPRISE0.00391
ENGAGEMENT1.15
FRESHNESS1.45
SCORE = SURPRISE × ENGAGEMENT^0.7 × FRESHNESS × VISIBILITY × CONFIDENCE
SURPRISE = WINDOW STARS / DAYS / (AUDIENCE + FLOOR)
3% OF STARS IN ARCHIVE

Growth Telemetry

VELOCITY /D
4.23
ACCEL
+0.16
RETENTION
8.6%
PEAK 2026-06-27 · FORK-RETENTION 67.7% · 127 STARS / WINDOW

Author Audience

AUDIENCE
1,044
FOLLOWERS
633
OWNER ★
4,109

Engagement Signals

FORKS
1,112
ISSUE AUTH
0
PR AUTH
0
UNIQUE STARGAZERS 127 / 127 (DIVERSITY 1.00)

Потенциал заработка

D30/100
СПРОС75
Рынок exploit/threat intelligence — миллиарды и растёт двузначно; VulnCheck утроил ARR год к году. Но платят за структурированные курируемые фиды с SLA, а не за сырые PoC на GitHub — спрос на этот конкретный формат низкий.
ЗАХВАТ20
Рва нет: контент тривиально копируется (высокий forks-коэффициент), автор сам публикует открыто и призывает распространять. Ниша занята игроками с сотнями тысяч записей и промышленными пайплайнами. Возможный слабый ров — только личный бренд автора (не подтверждён).
ДОСТУП25
Лицензия отсутствует → all-rights-reserved, коммерческое использование третьими лицами запрещено. Bus-factor=1, репозиторий по признанию автора неполный. Dual-use PoC под нерепорченные баги юридически/этически токсичны. Вложить пришлось бы очень много.
«Заработать на объекте почти нельзя: топят отсутствие лицензии и рва при копируемом контенте в занятой нише; высокий спрос рынка к нему не применим.»

Рыночный анализ · Обзор

Личный архив демонстраций уязвимостей (PoC) в популярном софте, собранный одним исследователем как витрина для привлечения людей в security research.
Offensive security / vulnerability research / архив эксплойтов (образовательно-исследовательский контент)ЗРЕЛОСТЬ · ЭКСПЕРИМЕНТ
ЯЗЫК
Python
ЛИЦЕНЗИЯ
НЕТ · ALL RIGHTS RESERVED
РЕЕСТР
none
КОНТРИБЬЮТОРЫ
1
Что делает

Репозиторий собирает в одном месте десятки самостоятельных proof-of-concept по конкретным продуктам (curl, ffmpeg, QEMU, Redis, PostgreSQL, Ghidra, RustDesk, Docker и др.) с сохранёнными README и файлами. Автор декларирует цель — не решение боли, а популяризацию: заманить людей в область через готовые воспроизводимые примеры. По заявлению автора, фаззинг автоматизирован ИИ по строгому workflow, PoC написаны вручную, README сгенерированы ИИ и вычитаны — эти утверждения непроверяемы. На момент публикации, по словам автора, баги не были зарепорчены.

Какую боль решает

Дефицит доступных, свежих и воспроизводимых учебных PoC для начинающих исследователей в offensive security и фаззинге.

Сценарии использования
  • Учебный материал для начинающих в offensive security и фаззинге
  • Отправная точка для bug bounty: репортить незарепорченные баги ради CVE
  • Тест-кейсы для защитников и мейнтейнеров затронутого софта (регрессии)
  • Материал для контент-мейкера и Discord-комьюнити
Целевой пользователь

Начинающие и средние security-researchers, багхантеры, студенты ИБ.

Open-source аналоги

Exploit-DB (OffSec)СИЛЬНЕЕ
Публичный курируемый сервис OffSec, обновляется ежедневно, превысил 45 710 записей — против личного фида одного автора.
rapid7/metasploit-frameworkСИЛЬНЕЕ
Самый используемый фреймворк для пентеста: разработка, тест и исполнение эксплойтов с модулями payload/пост-эксплуатации — это инструмент, а не архив.
Устоявшаяся курируемая коллекция payload'ов и техник с огромным комьюнити, а не PoC под конкретные CVE.
Курируемый репозиторий из более чем 340 000 уязвимостей и проверенных эксплойтов с коммерческой поддержкой.
Шаблоны детекта уязвимостей, а не эксплойт-PoC.
Индексы ссылок, а не self-contained PoC с идентичными файлами.
Позиционирование

«Ещё-один-архив» / нишевый новичок. Ниша публичных архивов эксплойтов давно занята зрелыми, курируемыми и лучше проиндексированными игроками (Exploit-DB, Metasploit, Rapid7 DB). Уникальность exploitarium — только в свежести и авторстве конкретных PoC, а не в платформе; это фид одного автора, а не лидер категории.

Коммерческие аналоги

VulnCheckB2BFREEMIUM
Exploit & vulnerability intelligence: KEV, приватные PoC, машиночитаемые фиды по всем CVE.
Превысил $10M ARR глобально, первый квартал с $2M+, рост ARR утроился год к году; ~7000 организаций через год после запуска Community-тира; привлечено ~$20M (Series A $12M). Точность цифр — по данным пресс-релизов/новостей.
Community$0
Enterprise/Govcustom
VulnersB2BFREEMIUM
Агрегатор vuln/exploit-данных с API, White Label, SDK, MCP.
Основан в 2015, bootstrapped и прибыльный. Конкретные цены планов не подтверждены.
Trial$0
Commercialcustom
VulDBB2BПО ПОТРЕБЛЕНИЮ
База уязвимостей и эксплойтов с оценкой цены эксплойта и API.
Позиционирует себя как база №1, документирующая уязвимости с 1970 года. Числовые цены не подтверждены.
Free$0
Commercial/Enterprisecredit-based / custom
OpenCVEB2BOPEN-CORE
Vulnerability intelligence: self-host + managed cloud.
Source-available; managed SaaS с планами Starter/Pro/Enterprise; коммерческий on-prem/ресейл требует коммерческой лицензии.
Startercustom
Procustom
Enterprisecustom
Recorded FutureB2BТОЛЬКО ENTERPRISE
Threat intelligence платформа.
В сентябре 2024 Mastercard приобрёл Recorded Future за $2,65 млрд.
Enterprisecustom
0day.todayB2B / B2CПО ПОТРЕБЛЕНИЮ
Серый маркетплейс купли/продажи эксплойтов.
Покрывает более 38 754 эксплойтов и связывает ~46 000 исследователей; транзакции в криптовалюте.
Per-exploitcrypto (BTC/LTC/ETH)
Текущая монетизация проекта

Коммерческой монетизации нет. В README отсутствуют платный тир, облако и платная поддержка; homepage и релизов нет, лицензия отсутствует. Единственный канал вовлечения — приглашение в Discord и просьба шарить репозиторий «чтобы поддержать мотивацию». GitHub Sponsors в фактах не указан. Фактически это хобби/репутационный проект, а не бизнес.

Коммерческий потенциал

ПОТЕНЦИАЛ · НИЗКИЙ

На этой либе как на активе заработать практически нельзя: это не продукт, а хобби-архив одного автора без лицензии и рва в занятой нише. Монетизируема лишь экспертиза/бренд автора вокруг, но не сам репозиторий.

Спрос и рынок

Тема крупная и быстрорастущая: threat intelligence оценивается порядка $10–18 млрд в 2026 с CAGR ~13–18% (Mordor, Fortune Business Insights, The Business Research Company расходятся по методологиям). Эксплуатация уязвимостей как первопричина инцидентов утроилась за два года. Но спрос на данный формат (сырой личный архив без структуры/API/лицензии) — маргинальный.

Ров / защищённость

У контента рва нет — отдельные PoC тривиально копируются, автор сам их публикует и призывает распространять. Единственный возможный слабый ров — личный бренд и заявленная экспертиза автора (степень, публикации по фаззингу), но эти утверждения не подтверждены.

Модели монетизации
  • Спонсорство/донаты (GitHub Sponsors, Patreon, платный уровень Discord-комьюнити)
  • Платное обучение/курсы и консалтинг по фаззингу (монетизация экспертизы автора)
  • Bug bounty / responsible disclosure самим автором вместо раздачи находок читателям
  • Отдельный структурированный продукт (курируемый фид/API) поверх методологии — по сути новый проект, конкурент VulnCheck/Vulners
Что нужно, чтобы сделать продукт
  • Лицензия и легальная модель раскрытия уязвимостей
  • Структура и таксономия данных, машиночитаемый формат/API
  • Покрытие (тысячи записей вместо десятков), курирование и верификация
  • SLA и промышленный пайплайн обновления
  • Команда для снижения bus-factor
  • Подтверждение экспертизы/бренда автора
⚖ ЛИЦЕНЗИЯ · МОЖНО ЛИ КОММЕРЦИАЛИЗИРОВАТЬ
Лицензия ОТСУТСТВУЕТ → all-rights-reserved. Любое коммерческое использование, форк-в-продукт или перепубликация третьими лицами по умолчанию запрещены. High-severity блокер и одна из главных причин итоговой оценки LOW.
Риски и подводные камни
ВЫСОКИЙЛИЦЕНЗИЯ
Лицензия отсутствует (SPDX: None) → режим all-rights-reserved: любое коммерческое использование, форк-в-продукт или перепубликация третьими лицами по умолчанию запрещены. Главный блокер монетизации сторонними лицами.
ВЫСОКИЙЮР. СЕРАЯ ЗОНА
Публикация PoC под заявленно нерепорченные уязвимости в популярном софте — репутационно и юридически токсично (dual-use); злоупотребление возможно несмотря на дисклеймер.
ВЫСОКИЙЗАВИСИМОСТЬ ОТ АВТОРА
Один контрибьютор, репозиторий по признанию автора неполный, зависимость от мотивации автора («шарьте, чтобы я продолжал»). Bus-factor=1.
ВЫСОКИЙКОНКУРЕНЦИЯ
Ниша занята зрелыми игроками с масштабом и капиталом; суммарное финансирование одного VulnCheck — около $20 млн, покрытие — все CVE из ~500 каналов.
СРЕДНИЙПРОЧЕЕ
Достоверность/провенанс: заявления об авторстве, степени, публикациях и ИИ-фаззинге непроверяемы; часть находок дублировалась (автор сам признаёт, что objdump-находку кто-то сделал раньше).
СРЕДНИЙКОММОДИТИЗАЦИЯ
Стабильность контента: по мере репортинга и патчинга PoC быстро теряют актуальность.

Достоверность разбора

УВЕРЕННОСТЬ · НИЗКАЯclaude-opus-4-8 · 2026-07-05 · ОКНО 7D
Оговорки / что не проверено
  • Звёзды всех OSS-аналогов не запрашивались точно в этой сессии — приведены как оценочные/неизвестные (null).
  • Утверждения автора в README (степень, публикации по фаззингу, ручное написание PoC, использование «GPT-5.3» для фаззинга) непроверяемы и взяты как неподтверждённые.
  • Цифры VulnCheck (ARR $10M, $2M+ квартал, утроение, ~7000 организаций, ~$20M финансирования) — из пресс-релизов/новостей, подтверждены не всеми источниками независимо.
  • Конкретные цены/тиры Vulners, VulDB, OpenCVE не подтверждены числами из ≥2 источников — модель монетизации указана, точные суммы нет.
  • Оценки размера рынка threat intelligence сильно расходятся между аналитическими домами (Mordor, Fortune Business Insights, The Business Research Company) из-за разных методологий.
  • Отсутствие GitHub Sponsors у автора — вывод по отсутствию упоминания в фактах, а не прямая проверка страницы спонсорства.
  • Масштаб/цифры 0day.today (38 754 эксплойта, ~46 000 исследователей) взяты из одного вторичного источника.
  • Общая уверенность low: объект — не либа, а хобби-архив; коммерческая часть привязана к смежному рынку intelligence, а не к самому репозиторию.
ИСТОЧНИКИ (16)

Why This Is A Finding

bikini/exploitarium собрал 127 звёзд за окно, тогда как у автора всего 633 подписчиков — эффективная аудитория ≈ 1,044. Это даёт surprise-индекс 0.00391 (звёзды относительно охвата автора, а не в абсолюте). Удержание форков 67.7% и 0 внешних контрибьюторов отделяют реальный инструмент от разовой вспышки. Акселерация положительная — рост ещё не выдохся.

Related Findings

RANKS ABOVE 0% OF 1 FINDINGS
NO RELATED FINDINGS

METRICS IN CONTEXT

MEDIAN ACROSS ALL 1 FINDINGS · Δ vs MEDIAN · PERCENTILE = SHARE RANKED BELOW
METRICVALUEMEDIANΔ MEDPERCENTILE
SCORE0.010.010.00ABOVE 0%
VELOCITY4.234.230.00ABOVE 0%
RETENTION8.6%8.6%0.0 PPABOVE 0%
FORKS1,1121,1120ABOVE 0%
SURPRISE0.000.000.00ABOVE 0%