Windows 11 又双叒被攻破了。
5 月 15 日,Pwn2Own Berlin 2026 进入第二个比赛日。来自全球的安全研究员继续收割零日漏洞,单日拿下 15 个漏洞,累计奖金 385750 美元。加上首日战果,本届赛事前两日已发放 908750 美元。
最吸睛的一单来自 DEVCORE Research Team 的 Cheng-Da Tsai。他串联 3 个漏洞攻破微软 Exchange,拿到远程代码执行并直接提升到 SYSTEM 权限——这意味着攻击者可以完全控制服务器。这项漏洞攻击链为他赢得 20 万美元,也是第 2 天金额最高的单项奖励。
Windows 11 依然是本届活动的重点攻击目标。首日被攻破 3 次后,第 2 天再次失守:Siyeon Wi 利用整数溢出漏洞成功突破系统,获得 7500 美元奖金。微软桌面系统的防御体系在顶尖白帽面前显得颇为脆弱。
企业级 Linux 同样未能幸免。Team DDOS 的 Ben Koo 在 Red Hat Enterprise Linux for Workstations 上完成本地提权,拿到 root 权限,奖金 10000 美元。0xDACA 和 Noam Trobishi 则利用释放后使用漏洞攻破 NVIDIA Container Toolkit——容器组件正成为企业环境的关键攻击面。
AI 赛道成为本届新看点。Viettel Cyber Security 的 Le Duc Anh Vu 攻破 Cursor AI coding agent,获得 30000 美元;Summoning Team 的 Sina Kheirkhah 演示了 OpenAI Codex 的零日漏洞,奖金 20000 美元;Compass Security 也成功利用 Cursor,获得 15000 美元。编码助手的高权限特性,让它们成为黑客眼中的高价值目标。
两日战罢,Pwn2Own Berlin 2026 已累计发放 908750 美元奖金。Windows 11 四度失守、Exchange 遭完整控制、AI 工具接连被破——这场全球顶级黑客大赛,正在系统性地拆解主流技术栈的安全假设。
热门跟贴