自Anthropic發布Claude Mythos Preview開始,AI徹底改變原本仰賴人工挖掘漏洞的資安產業生態,連帶原本鼓勵研究人員找出資安漏洞的資安競賽,也出現前所未見的現象。
根據資安新聞網站HackRead報導,在5月14日至16日於資安大型會議OffensiveCon舉辦的漏洞挖掘競賽Pwn2Own Berlin 2026,傳出因主辦單位Zero Day Initiative(ZDI)無法再處理更多參賽隊伍報名,提早於5月7日停止受理,這種現象在Pwn2Own舉行19年以來首度出現。由於許多研究人員未能參與,他們選擇報復性公開漏洞資訊(revenge disclosure),將手上的漏洞資訊直接提供給軟體開發者,並將細節在網路上公開。
之所以無法受理更多參賽隊伍報名,原因主要是比賽的舉行必須有固定的時間表,由於參賽隊伍必須即時展示及利用漏洞,ZDI團隊也要檢查隊伍提供的資料,並提供所需的硬體,然後觀察整個攻擊流程。因此,在3天的賽程裡,ZDI僅能安排有限次數的漏洞利用嘗試。最早警告此事的是Ikotas Labs代表董事辻知希(Satoki Tsuji),他在社群網站X指出,由於研究人員透過AI發現大量零時差漏洞,導致想要參賽的隊伍暴增,遠超出ZDI規畫,許多握有零時差漏洞的研究人員被拒絕,因此這些無法參賽的團隊,開始公開手上的漏洞。
5月12日資安電子報媒體International Cyber Digest彙整了研究團隊因無法參賽即將直接通報及公開的漏洞,其中的Xchg Labs手上握有最多零時差漏洞(86個),涵蓋PyTorch、NVIDIA、Linux KVM、Oracle、Docker、Ollama、Chroma、LiteLLM等領域,該團隊已直接向廠商通報,並在修補程式發布後公布細節;另一名研究員ggwhyp,則握有可攻擊Windows版Firefox的完整漏洞濫用鏈;資安研究員RyotaK傳出花費3週時間嘗試報名,但得到ZDI回復:參賽隊伍已達上限,他們無法再增加比賽的時間。International Cyber Digest指出,根據資安社群的統計,這次想要報名參加Pwn2Own Berlin 2026的研究人員,超過150組。
