被Pwn2Own Berlin 2026赛事拒之门外的数十名安全研究者正发起被称为"报复性披露"的行动
全球最著名的黑客竞赛正面临始料未及的危机。
Pwn2Own是一个由专家检测零日漏洞的现场比赛。
据报告,由趋势科技旗下Zero Day Initiative(ZDI)主办的Pwn2Own Berlin 2026赛事在举办19年来首次出现名额爆满情况。
Pwn2Own Berlin现状解析
研究人员公开漏洞作为"报复性披露"
被拒之门外的数十名研究者正发起被称为"报复性披露"的行动。
xchglabs团队本准备了86个针对NVIDIA、Docker、Linux KVM和PyTorch等系统的漏洞,在无缘角逐100万美元奖金池后,他们选择直接向厂商提交并在线公开细节。
另一名研究者ggwhyp展示了通过诱导Firefox打开计算器程序实现Windows系统入侵的方法,FuzzingLabs也准备公布原本用于攻破Oracle Autonomous AI Database的技术方案。
据报告,由趋势科技旗下Zero Day Initiative(ZDI)主办的Pwn2Own Berlin 2026赛事在举办19年来首次出现名额爆满情况。
Pwn2Own Berlin现状解析
研究人员公开漏洞作为"报复性披露"
被拒之门外的数十名研究者正发起被称为"报复性披露"的行动。
xchglabs团队本准备了86个针对NVIDIA、Docker、Linux KVM和PyTorch等系统的漏洞,在无缘角逐100万美元奖金池后,他们选择直接向厂商提交并在线公开细节。
另一名研究者ggwhyp展示了通过诱导Firefox打开计算器程序实现Windows系统入侵的方法,FuzzingLabs也准备公布原本用于攻破Oracle Autonomous AI Database的技术方案。
关于作者
评论1次
感觉这事挺唏嘘的。ZDI那边名额本来就僧多粥少,今年爆满也不奇怪,但一下子把86个0day直接公开了,这里面的风险其实挺大的。
直接观点:
xchglabs这波操作挺伤的 — 86个漏洞直接甩出来,不管是有意还是赌气,对整个漏洞赏金生态的破坏是实打实的。厂商那边突然面对这么多未协调披露的漏洞,补丁节奏肯定乱套。
"报复性披露"这个名头有点给自己脸上贴金 — 说白了就是没拿到奖金不爽,直接公开细节让厂商措手不及。这和真正的负责任披露差了十万八千里。
对甲方爸爸来说反而是个提醒 — 不管外面吵成啥样,ZDI跑的这套机制客观上确实在推动厂商修漏洞。自己家的资产别完全指望外面的白帽子,得有自己的漏洞管理内功。
能说的就这些,这瓜后续发展估计还得看厂商和ZDI怎么回应。