文章总结： 顺丰SRC于2026年5月1日至15日举办白帽赏金挑战赛，提供专项漏洞奖励翻倍机制（RCE漏洞3倍、安全情报2倍、数据安全1.5倍、AI大模型漏洞3倍），包含高价值漏洞奖励、新人盲盒及排名前10直通三亚线下颁奖活动。活动要求通过指定平台提交标注【白帽赏金赛】的漏洞，并附有详细AI大模型漏洞分级标准。 综合评分： 85 文章分类： SRC活动,AI安全,数据安全,漏洞分析,安全运营

赏金猎人集结令！来顺丰SRC解锁2026年白帽赏金挑战赛！

顺丰安全应急响应中心

2026年5月1日 11:18 广东

在小说阅读器读本章

去阅读

顺丰SRC

活动规则

【活动时间】

2026.5.1-5.15（16天）

【活动奖励】

1、活动专项翻倍

2、高价值漏洞奖励：提交任意有效的一般/核心系统/高危的严重漏洞，可额外领取顺丰保时捷联名车模（每个ID限一份）

3、新人奖励：活动时间内首次在顺丰SRC注册并提交有效漏洞的白帽可额外获得一个顺丰SAMSAM盲盒（每个ID限一份）

4、排名奖励：直通 2026.6白帽赏金挑战赛线下颁奖活动，解锁直飞三亚的豪华机酒门票，与行业Top白帽面基

1）顺丰SRC 积分排名第 1 名

2）白帽赏金挑战赛积分总榜排名前10名

【活动专项翻倍规则】

1、RCE专项｜3倍奖励

所有RCE类漏洞。—规则见《SFSRC安全漏洞评分标准V6.2》

2、安全情报专项｜2倍奖励

高危/严重安全情报（入侵/数据泄露情报类）—规则见《SFSRC安全情报评分标准V3.0》

3、数据安全专项｜1.5倍奖励

高危及以上敏感数据泄露类漏洞—规则见《SFSRC安全漏洞评分标准V6.2》

4、AI大模型专项｜3倍奖励

● 收录规则：

【严重】

1）批量核心数据提取：通过模型逆向工程、Agent的不当调用、提示词注入等手段，批量（100w+）获取含敏感数据的训练语料、个人敏感数据或商业机密。

2）模型服务完全接管：利用漏洞或通过控制高权限Agent实现对模型服务的接管，实现远程代码执行（RCE）、任意命令注入、沙箱绕过、函数调用滥用，直接导致模型服务或底层基础设施完全失控。

3）供应链严重漏洞：利用模型集成的第三方Agent/插件/工具漏洞（如插件投毒、权重/镜像文件/依赖库篡改），实现全量命令注入、核心数据窃取或服务权限接管。

4）模型核心窃取：非授权获取、复制云端大模型权重、核心参数与结构，或构建功能等效的影子模型。

5）Agent权限完全失控：Agent因权限过高或身份管理缺陷，可自主执行任意高危操作（如删除数据、内网横向移动等）

6）训练数据投毒：在训练/微调阶段注入恶意数据植入后门，导致模型在特定触发条件下执行恶意行为

【高危】

1）敏感数据获取：通过模型逆向工程、提示词注入等手段，批量（10w+）获取训练数据中的涉密信息、个人敏感数据或商业机密。

2）插件/工具漏洞：利用模型集成的第三方插件漏洞，实现非授权数据窃取或受限命令执行。

工作流/MCP安全边界突破：如MCP服务器身份伪造/工具冒充、工作流节点间的权限逃逸、通过MCP协议实现代码执行或数据窃取。

3）安全机制绕过：成功实施越狱并执行可验证的高危操作，如Agent的多轮对话诱导逐步突破安全边界调用敏感函数、发起内网请求、读取任意文件。

4）Agent功能越权：利用模型特有漏洞致越权访问、修改其他用户的非公开对话记录、智能体配置或个人文件。

【中危】

1）服务资源耗尽：通过构造特定请求或利用Agent的自主调用能力，稳定触发模型服务大规模资源耗尽，导致全量用户服务中断或严重降级。

2）模型元信息泄露：非授权获取模型的架构、超参数、损失函数等非公开但非核心的信息。如通过Agent对模型API的异常调用反向推断。

3）Agent行为可控但不影响数据/系统：可稳定诱导Agent执行特定操作（如调用某工具），但操作本身不涉及敏感数据访问或系统破坏。

4）成员推断/属性推断：可推断某记录是否在训练集中，或推断训练数据中的敏感统计属性。

5）记忆操纵：向向量库/聊天记录/提示词上下文植入伪造记忆片段，诱导Agent后续执行恶意决策；利用RAG检索偏差实施攻击。

6）级联扩散与人工监管失效：单智能体错误在多智能体系统中引发连锁反应；缺乏审计或日志被篡改导致恶意行为无法追溯。

【低危】

1）公开信息泄露：获取模型已在论文或文档中公开的架构、训练集来源等信息。

2）苛刻触发条件：需要连环诱导、多次交互且依赖极不易达成的环境状态才能生效的问题（综合）。

【忽略】

1）纯内容合规问题（仅生成违规表述，无实质数据/系统危害）

2）预期功能行为（沙箱内基础命令、用户自研智能体问题、正常MCP调用）

3）模型幻觉现象（输出不实但无安全指向的文本模拟）

4）传统漏洞类型（SQL注入/XSS等按原规则处理）

5）无法稳定复现漏洞

【⚠️注】

1、漏洞提交地址：https://sfsrc.sf-express.com，提交漏洞时漏洞名称需注明【白帽赏金赛】+漏洞标题

2、完整规则见：

《SFSRC安全漏洞评分标准V6.2》https://sfsrc.sf-express.com/notice/SFSA24-61/1777516820842

《SFSRC安全情报评分标准V3.0》https://sfsrc.sf-express.com/notice/SFSA25-62/1777516849643

3、本次翻倍活动不包含隐私合规漏洞

顺丰安全应急响应中心

Theloner团队

活动信息

第四届白帽赏金赛

举办时间：2026.5.1-5.31

线下颁奖地点：三亚

举办单位：Theloner团队

聚焦核心资产·深挖潜在风险

——END——

【文末福利】

抽奖参与方式：

1、转发推文到朋友圈并集赞15个

2、转发推文到200+人微信群并保留2分钟以上

3、1和2保留至开奖日

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：顺丰安全应急响应中心 《赏金猎人集结令！来顺丰SRC解锁2026年白帽赏金挑战赛！》