文章目录PoC in GitHub漏洞验证代码聚合平台PoC in GitHub漏洞验证代码聚合平台做安全研究的人都知道CVE 公布之后找到对应的 PoCProof of Concept代码是验证漏洞的第一步。但 PoC 散落在 GitHub 各处搜起来费时费力。nomi-sec 团队做了这件事把 GitHub 上公开的 PoC 代码收集起来按 CVE 编号整理成索引。这个项目叫 PoC in GitHub目前收获了 7,800 多个 Star。项目的核心是一个自动化脚本定期扫描 GitHub 上新出现的 PoC 仓库提取 CVE 编号然后按年份和编号归档到 README 文件中。收录范围项目覆盖了 2025 和 2026 年的 CVE涉及的软件类型很多WordPress 插件占比最高浏览器Chrome、Firefox网络设备Palo Alto PAN-OS数据库PostgreSQL、MariaDB开发工具curl、MLflow、Langflow操作系统组件Android、macOS每条记录包含 CVE 编号、漏洞简述、以及一个或多个 GitHub PoC 仓库链接。数据结构以 CVE-2026-0908 为例记录格式如下Use after free in ANGLE in Google Chrome prior to 144.0.7559.59 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page.下方列出对应的 PoC 仓库。有些热门漏洞会有多个 PoC 实现比如 CVE-2026-0257Palo Alto 认证绕过就有 10 个不同的 PoC 仓库。使用场景安全工程师可以用这个项目快速定位 PoC 代码省去在 GitHub 上逐个搜索的时间。渗透测试人员在拿到目标的 CVE 列表后可以批量查询对应的验证代码。安全研究人员也可以通过这个项目追踪漏洞利用的公开情况。项目本身不包含漏洞利用代码只是做索引。实际的 PoC 代码托管在各自的 GitHub 仓库中。局限性项目依赖 GitHub 的公开仓库如果 PoC 仓库被删除或设为私有索引链接就会失效。另外收录的 PoC 质量参差不齐有些可能只是简单的复现脚本有些则是完整的利用工具。对于需要验证特定 CVE 的安全从业者来说这个项目是一个实用的起点。有些则是完整的利用工具。对于需要验证特定 CVE 的安全从业者来说这个项目是一个实用的起点。