全球顶尖黑客的年度大考又开卷了。2026年柏林Pwn2Own开赛首日,24个零日漏洞被现场演示,主办方当场开出52.3万美元支票——折合人民币355.7万元。
这笔钱花得值。每一笔奖金背后都是一套完整的攻击链,从浏览器沙箱逃逸到AI编码智能体沦陷,攻击面覆盖了普通人日常接触的核心软件。
Edge浏览器成了首日最昂贵的猎物。Orange Tsai串联4个逻辑漏洞完成沙箱逃逸,单这一项就卷走17.5万美元,占首日总奖金的三分之一。Windows 11则遭遇三连击:Angelboy与TwinkleStar03、Marcin Wiązowski、以及GMO Cybersecurity的Kentaro Kawane分别演示了全新的本地提权零日。
企业级和AI产品线的战况同样激烈。Valentina Palmiotti先拿下Red Hat Linux for Workstations的root权限,又挖出NVIDIA Container Toolkit零日,两笔进账合计7万美元。LiteLLM被k3vg3n用3个漏洞打瘫,NVIDIA Megatron Bridge则倒在Satoki Tsuji和haehae手下。
OpenAI Codex首次被纳入攻击范围就未能幸免。Compass Security和Doyensec的maitai双双攻破这一编码智能体,各获4万美元。haehae还额外提交了Chroma零日,STARLabs SG则拿下LM Studio,分别入账2万和4万美元。
Pwn2Own Berlin 2026由趋势科技旗下零日漏洞计划(Zero Day Initiative)主办,于5月14日在德国柏林OffensiveCon安全会议开幕。赛事规则简单粗暴:现场实机攻防,漏洞此前未公开,奖金当场兑现。这种"现金换漏洞"的模式运行多年,已成为软件厂商修复安全缺陷的重要压力测试场。
热门跟贴