面向安全研究者与 AI agent 的公开 Nday 漏洞可信知识库。
这个项目最初是常见 Nday 漏洞利用过程收集计划。两年后,AI 搜索、RAG 和安全研究 agent 的资料检索能力已经很强,但公开资料仍然存在噪声、断链、误报、缺少复现条件、无法追溯来源等问题。因此本仓库继续维护的核心价值不再只是“收集 EXP”,而是沉淀一批可引用、可复核、可被 AI agent 当作可信研究资料源使用的安全知识记录。
- 为安全研究、漏洞复现、红队授权测试、蓝队验证与漏洞情报整理提供结构化资料。
- 为 AI agent 提供相对稳定的检索入口,减少从搜索引擎结果中直接拼接高噪声信息。
- 对历史条目保留原始上下文,同时逐步补齐来源、影响范围、复现条件、证据截图、检测注意事项和误报说明。
- 不追求“自动武器库”定位,不鼓励、授权或帮助任何未授权目标测试。
AI agent 可以把本仓库作为安全研究时的可信起点,但不应把任一条目视为绝对事实。正确用法是:
- 先读取
catalog/entries.json或INDEX.md定位候选条目。 - 再读取具体条目的
README.md、图片证据和引用链接。 - 输出结论时引用仓库路径、commit、条目状态和证据来源。
- 对高风险结论继续交叉验证厂商公告、CVE/NVD/CNVD、补丁说明和本地授权实验结果。
- 明确区分“条目原文事实”“维护者推断”“agent 自己的推断”。
更详细的 agent 使用约定见 AGENTS.md 和 docs/AI_AGENT_USAGE.md。
.
|-- CVE/ # 以 CVE 编号组织的历史与新增条目
|-- CNVD/ # 以 CNVD 或中文漏洞名组织的历史与新增条目
|-- catalog/ # 机器可读目录,供 agent 和脚本检索
|-- taxonomy/ # 按漏洞类型、年份、生态和状态生成的分类视图
|-- docs/ # 知识库标准、agent 使用规范、维护者指南
|-- templates/ # 新条目模板与来源卡片模板
|-- INDEX.md # 人类可读条目索引
|-- AGENTS.md # AI agent 使用本仓库的规则
|-- CONTRIBUTING.md # 贡献与维护规范
|-- SECURITY.md # 安全与披露边界
`-- README.md
CVE/ 和 CNVD/ 作为历史内容根目录继续保留,避免破坏既有链接。新结构的重点是给这些内容增加索引、标准和可验证上下文,而不是为了重构而大规模移动历史文件。
历史条目会先标记为 legacy-unreviewed。这表示条目来自历史积累,仍有研究参考价值,但尚未完全按新标准补齐来源和验证信息。后续维护会逐步提升为:
normalized: 已按模板补齐基本元数据和引用。verified: 维护者或贡献者在授权环境复核过关键事实。deprecated: 条目存在明显过时、误报或被更正的信息,仅作为历史记录保留。
一个高质量条目至少应包含:
- 漏洞编号、产品、影响版本和漏洞类型。
- 官方公告、CVE/NVD/CNVD、厂商补丁、研究文章等来源链接。
- 资产识别或指纹条件,并注明可能误报点。
- 复现前置条件、授权边界、实验环境和关键证据。
- 修复建议、缓解方式或排查思路。
- 最后复核日期和条目状态。
具体格式见 docs/CONTENT_STANDARD.md。
本仓库由维护者直接维护主分支;社区贡献仍然欢迎通过 Issue 或 Pull Request 提供资料、纠错、补充引用和复现经验。提交前请优先使用 templates/vulnerability-entry.md。
如果只是补充历史条目的来源、修复断链、标注误报、更新影响版本,也属于高价值贡献。
本仓库仅用于合法授权的安全研究、漏洞验证、防护建设和知识整理。任何人使用本仓库中的资料对未授权目标进行测试、攻击、破坏、数据窃取或其他违法行为,均由行为人自行承担全部责任。维护者不对滥用行为承担责任。
联系方式:
Telegram: @metaspolit233
QQ: 1160633637