【安全资讯】Pwn2Own柏林2026黑客大赛落幕：47个零日漏洞被利用，奖金总额超129万美元

概要：

在2026年5月14日至16日于柏林OffensiveCon大会上举行的Pwn2Own黑客大赛中，安全研究人员成功利用47个零日漏洞，累计获得1,298,250美元奖金。此次竞赛聚焦企业技术与人工智能领域，参赛者针对包括网页浏览器、企业应用、本地权限提升、服务器、本地推理、云原生/容器环境、虚拟化及大语言模型在内的多个类别，对完全修补的产品发起攻击。

主要内容：

大赛首日，研究人员利用24个零日漏洞获得523,000美元；次日，通过15个零日漏洞再获385,750美元；第三日，凭借8个零日漏洞赢得389,500美元。DEVCORE团队以50.5分和505,000美元奖金夺冠，其成员Orange Tsai通过串联三个漏洞在Microsoft Exchange上实现SYSTEM权限的远程代码执行，获得最高单项奖200,000美元。此外，Orange Tsai还因利用四个逻辑漏洞突破Microsoft Edge沙箱获得175,000美元。IBM X-Force的Valentina Palmiotti因攻破Red Hat Linux工作站和NVIDIA容器工具包零日漏洞获得70,000美元。

大赛还涉及Windows 11、Red Hat Enterprise Linux的本地权限提升漏洞，以及多个AI编码代理的零日漏洞。最后一天，参赛者再次攻破Windows 11和Red Hat Enterprise Linux，并利用内存损坏漏洞入侵VMware ESXi。所有漏洞将在90天内由TrendMicro的零日计划（ZDI）公开披露前由厂商修复。此次大赛凸显了企业级软件和AI系统面临的严峻安全挑战，零日漏洞的频繁发现对全球科技行业构成持续威胁。