Malvuln已经对恶意软件中发现的数百个漏洞进行了编目，尽管该项目尚未被证明对任何人都有用，但它的开发者并不会因此气馁。

　　Malvuln是安全研究员John Page（又名hyp3rlinx）的一个有趣项目，它对恶意软件中发现的漏洞进行了分类，并提供了如何利用这些漏洞的信息。Malvuln.com 于2021年 1 月 2 日推出，为恶意软件中的安全漏洞提供利用代码，其方式与 VulDB 和 WhiteSource 等类似站点为正常应用程序和开源组件所做的相同。

　　自从2021年1月初启动该项目以来，John Page已经在大约105个恶意软件家族中发现了260多个漏洞，包括木马、蠕虫、后门、dropppers和勒索软件。平均每个恶意软件存在2.5个漏洞。

　　这些漏洞包括与内存损坏、不安全的权限、硬编码凭据、身份验证绕过、目录遍历和信息泄露有关的问题。一些缺陷可以被DoS攻击所利用（即导致恶意软件崩溃），而另一些则允许未经身份验证的“攻击者”远程执行任意命令——在已经感染的系统上执行操作系统命令或由恶意软件提供的命令。

　　当被问及的漏洞中是否有突出的漏洞时，这位研究人员指出了未经验证的远程命令执行漏洞，他称其为“轻松取胜”。

　　2021年年初启动这个项目时，John Page告诉《安全周刊》，在某一点上，Malvuln的信息可能对某些人有用——例如，如果漏洞是远程的，案例事件响应小组可以在不接触失陷机器的情况下禁用恶意软件。然而，到目前为止，Malvuln似乎对网络安全社区的任何人都没有用处。另一方面，研究人员说，他进行这个项目是为了自己，为了好玩。

　　当Malvuln被公布时，一些业内人士表示担心这些信息会对不良行为者有用，比如直接对恶意软件开发者的价值，他们可能修正恶意软件的问题，从而并可能阻碍对恶意活动进行的研究。

　　“有些人可能不把这个项目当回事，或者认为这是在浪费时间，但我不在乎，也不期待任何东西。如果有什么结果，好吧，如果没有，我不在乎，”John Page在周末通过电子邮件告诉《安全周刊》。

　　到目前为止，所有的漏洞都是John Page自己发现的。在过去，他曾暗示他可以接受第三方捐款，但现在他说他不想“与任何人交易”。

　　这位研究人员说，他没有在这个项目上投入很多时间。“我没想去追踪，但投入的时间非常少——在业余时间做，基本上是为了好玩。”

　　传统的漏洞存储库会在应用程序用户的系统易受攻击时发出警报，并提供有关修补或缓解它们的说明——尽管网络骗子也能从中受益，存在着围绕是否公开披露的争议性辩论。Malvuln项目颠覆了这种态势。到底是助纣为虐，还是除暴安良？

　　2019 年，安全研究员 Ankit Anubhav 展示了这种资源可能在野外产生的影响，记录了 Mirai 恶意软件中的一个“微不足道的错误”是如何被“脚本小子和竞争对手的威胁参与者”用来“使彼此的 C2 崩溃”的。一位威胁行为者告诉他，“如果编写一个脚本来检查 C2 何时启动并使其持续崩溃，它将使所有基于 Mirai 的僵尸网络几乎毫无用处”。

　　同样在Malvuln项目启动时，就是安全专家预言了将来可能的应用场景：

　　德意志银行的恶意软件专家 Kyle Cucci 在 Twitter 上回应 Malvuln.com 的发布时表示，他“可以看到它在 IR 场景中（非常巧妙地）使用”和“威胁行为者互相踢对方感染主人。”这造成了恶意软件之间的PK，互相利用漏洞来清除或遏制对方。

　　独立安全研究人员‘Eduardo B’在推特上写道：“想象一下一个具有rootkit功能的持久性恶意软件，你可以简单地对其进行漏洞利用以使其崩溃和/或禁用……或者可靠地追溯到它的真正来源。”