文章总结： Pwn2OwnBerlin2026黑客大赛中，DEVCORE团队凭借OrangeTsai再次攻破MicrosoftExchange的3漏洞链获得最高奖金，同时AI工具成为新攻击目标。赛事首次出现报名满额导致研究员公开86个未参赛漏洞，反映漏洞研究产能已超出传统赛事承载能力，预示漏洞披露机制面临转型压力。 综合评分： 85 文章分类： 漏洞分析,红队,AI安全,安全大事件,实战经验

Orange 又把 Exchange 打穿了

原创

tonghuaroot tonghuaroot

RedTeam

2026年5月17日 22:42 日本

在小说阅读器读本章

去阅读

写在前面

5 月 16 日，Pwn2Own Berlin 2026 在 OffensiveCon 周边落幕。

三天，47 个 0day，129 万美元奖金。冠军是来自台湾的 DEVCORE，50.5 分、50.5 万美元，第几次拿 Master of Pwn 我已经数不清了。

但今年这届，最值得拿出来说的，其实不是这些数字。

赛场内有一台戏，是一位老将又一次把微软的核心产品打穿了。赛场外还有另一台戏：19 年来第一次，ZDI 把研究员关在了门外，被拒的人转身把手里的 0day 公开发了出来。

两台戏一起看，比看任何单个 RCE 都更能说明 2026 年的攻防长什么样。

老将又来了

5 月 15 日，Day 2，DEVCORE Research Team 的 Orange Tsai 走上演示台。

目标是 Microsoft Exchange。

三个漏洞链起来，远程拿到 SYSTEM 权限。ZDI 给了 20 万美元和 20 个 Master of Pwn 积分，是这一届单次得分最高的项目之一。

熟悉这位研究员名字的人会立刻反应过来：又是他，又是 Exchange。

2021 年那一组让微软焦头烂额了大半年、被 CISA 紧急通告、被各国政府用作集体披露教学案例的攻击链 ProxyLogon，主笔就是 Orange Tsai。后面那一串带 Proxy 前缀的漏洞链（ProxyShell、ProxyOracle），也基本是 DEVCORE 一家在追。某种意义上，过去这五年里关于 Exchange 攻击面的公开知识，相当一部分是这家公司一点一点掀开来的。

所以当 Orange Tsai 这一次在 Pwn2Own 的现场重新打穿 Exchange，这件事的戏剧性不仅在于赢了 20 万美元，而在于他选择把这件事公开做、计时做、当着所有人做。

ZDI 在 Day 2 的官方汇总里没有写得很煽情，只用了一句话：

Orange Tsai of DEVCORE Research Team chained 3 bugs to achieve Remote Code Execution as SYSTEM on Microsoft Exchange.

但任何熟悉 Exchange 这五年攻防的人看到这一行字，应该都会停顿一下。

不只是 Exchange

Orange Tsai 这一届其实做了两件事。

Day 1 他还演示了一次 Microsoft Edge 的沙箱逃逸。四个逻辑漏洞链起来。17.5 万美元，17.5 个积分，是 Day 1 单次得分最高的项目，也是整届最高奖金之一。

ZDI 的描述只有这么短：

Orange Tsai chained four logic bugs for a sandbox escape on Microsoft Edge.

四个逻辑漏洞。没有内存破坏，没有信息泄露原语，没有 ROP。纯逻辑。

这一点是值得单独提一下的。Edge 这几年加固的方向，主要是堆隔离、JIT 沙盒、CET、Arbitrary Code Guard 这些，针对的是经典的内存破坏路径。但 Orange Tsai 选的是另一条路：把四个看起来都不算严重的逻辑问题串起来，整个利用链里完全绕开了那些被加固过的内存原语。

这是一种很典型的 Orange Tsai 风格。不去硬碰硬地写 exploit，而是用研究员的视角找到几个被各自团队认为没那么严重的设计或实现问题，把它们组合成一个真正能跨过信任边界的链子。ProxyLogon 当年用的也是这套思路。

Day 3 DEVCORE 的另一位选手 splitline 又把 Microsoft SharePoint 拿下来，两个漏洞链，10 万美元。

Day 1 还有 Angelboy 和 TwinkleStar03 在 Windows 11 上做了一个权限提升。

整届三天下来，DEVCORE 锁定 50.5 分、50.5 万美元，第二名 STARLabs SG 25 分、24.25 万，分差几乎是一倍。

这是一场比较彻底的统治。

但今年不只是老将的舞台

赛场上其实在演两台戏。

第一台戏是大家熟悉的那种 Pwn2Own：Edge、Windows 11、Exchange、SharePoint、Firefox、VMware ESXi、Red Hat Enterprise Linux。所有这些目标都被打了，而且很多被打了不止一次。Day 3 STARLabs SG 的 Nguyen Hoang Thach 用一个内存破坏漏洞做了 VMware ESXi 的跨租户代码执行，20 万美元、20 个积分，和 Orange Tsai 的 Exchange 平起平坐。

但还有第二台戏。这一届 ZDI 第一次把 AI 工具链作为头等舱品类摆进来，不是边角的额外悬赏，而是正式开赛目标。

被打穿的 AI 产品名单挺长：

• OpenAI Codex（多个团队，CWE-150 触发、外部控制滥用）
• Anthropic Claude Code（两个独立队伍，都打中了，但都和已知漏洞撞了）
• Cursor（Viettel Cyber Security 的 Le Duc Anh Vu）
• LM Studio（STARLabs SG 五个漏洞的链子，SSRF + 代码注入）
• LiteLLM（k3vg3n 的 SSRF + 代码注入）
• NVIDIA Megatron Bridge（多次被打）
• NVIDIA Container Toolkit（IBM X-Force 的 chompie 单 bug 拿下，5 万美元）
• Chroma（向量数据库）

写到 Codex、Cursor、Claude Code 这几个名字被列在 Pwn2Own 的官方榜单上，多少有一种 AI 这边的产品终于也长到值得这样对待的感觉。三年前没人会去 Pwn2Own 演示对 Cursor 的攻击，因为没有 Cursor。两年前也不会，因为还不够成熟到值得在赛场上花一整个时段。

今年，AI 工具的奖金虽然单项不如传统的虚拟化和 OS 类目高（多数是 2 万到 4 万美元区间），但数量上已经是这届最密集的品类之一。这是个明显的信号：漏洞研究市场已经在认真定价 AI infra 的攻击面了。

然后是场外的故事

但真正让 Pwn2Own Berlin 2026 在历史上留下记号的事情，发生在赛场外。

5 月 7 日，比赛开始前一周，ZDI 宣布关闭 Pwn2Own Berlin 2026 的注册通道。

不是常规的截止时间到了。是满了。

Pwn2Own 是一个所有参赛队伍要在固定时间窗口内、按抽签顺序、在 ZDI 的硬件上现场演示完整利用链的赛事。它的容量受限于场地、设备、计时和评审人手。19 年来，这套机制运转得一直比较平稳，报名人数和场地承载能力大致匹配。

今年第一次，承载不住了。

被拒掉的研究员里，至少有几个名字让人有点说不出话：

• xchglabs，准备了86 个漏洞
• ggwhyp，有 Firefox on Windows 的 RCE
• FuzzingLabs，准备打 Oracle Autonomous AI Database
• Ryotkak，花了三周尝试报名都没排上

86 个漏洞。一家研究团队，为了一届 Pwn2Own 准备的弹药量，已经超过了 ZDI 整届的承接能力（这届最终公布的 0day 数是 47）。

复仇式披露

被拒的研究员们没有把 0day 捂着。

按 hackread 的报道，发生的是这样一件事：

Since they can’t compete for the $1,000,000 prize pool, they are sending their findings straight to the companies and posting the details online.

xchglabs 把准备拿去打 NVIDIA、Docker、Linux KVM、PyTorch 的研究公开了。ggwhyp 把 Firefox 在 Windows 平台上的 RCE 直接发了出来。FuzzingLabs 把 Oracle Autonomous AI Database 的漏洞直接抛给了厂商。

这件事被称作 revenge disclosure，字面意思就是复仇式披露。

这个词带着戏谑，但我倾向于不要把它读成情绪化的反应。这群人手里都是已经被打磨成可演示状态的成熟利用链。如果 Pwn2Own 不要，他们的选项不多：要么放进抽屉里慢慢磨损（漏洞会被独立发现、会被补丁修掉、会过期），要么走非比赛渠道披露（直接联系厂商，或者公开发布换业内信誉）。

他们选了后者，而且选得相当公开。

这件事的关键不在于研究员生气了。关键在于：Pwn2Own 这个被全行业默认承担 0day 集中流转水库角色的赛事，第一次出现了明显的溢出。

这意味着什么

过去十几年，Pwn2Own 在漏洞研究生态里其实扮演的不只是一个比赛的角色。它是一个市场出清的机制，把高质量的 0day 集中在一个时间窗口、一个程序化的披露通道里，让厂商按既定流程拿到漏洞、按既定流程打补丁。它的存在让漏洞披露这件事可控、可统计、可被产业接受。

这套机制能跑下去的前提是：研究员手里的 0day 供给 ≤ 赛事的承接能力。

2026 年这个前提塌了。

被拒的 86 加若干漏洞，最后没有进入 Pwn2Own 的统计盘子，也没有进入 ZDI 的协调披露流程。它们走了别的路。这条别的路对厂商来说不会比 Pwn2Own 更友好：少了缓冲期、少了协调、披露的节奏不在自己手里。

而对 ZDI 来说，这意味着它再也不能把自己是行业 0day 主集市这一点作为默认假设来运营。下一届要么扩容（更长的窗口、更多场地、更多裁判），要么接受漏洞研究的产能在它体外释放，它只能拿到其中一部分。

Pwn2Own Berlin 2026 用一种很安静的方式把这件事说出来了。129 万美元被支付了，47 个 0day 被披露了，DEVCORE 拿了冠军，Orange Tsai 又一次让 Exchange 团队加班。这些都是合规的、被记录的、可以写进年度报告的事情。

而场外那 80 多个没进场的洞，是 2026 年这届 Pwn2Own 真正的注脚。

最后

抄一下三天的总账：

| 名次 | 队伍 | 积分 | 奖金 | | — | — | — | — | | 1 | DEVCORE Research Team | 50.5 | $505,000 | | 2 | STARLabs SG | 25 | $242,500 | | 3 | Out Of Bounds | 12.75 | $95,750 |

47 个 0day，1,298,250 美元，三天。

但 Pwn2Own Berlin 2026 这一届真正被记住的样子，可能不是这张表，而是 5 月 7 日那条报名已满的公告，和接下来几天里那些被拒的研究员各自把 0day 甩到推特上的截图。

漏洞研究这件事的产能，已经长到 Pwn2Own 这个集市的容量装不下了。

这是一件好事，还是一件糟糕的事，是另一个问题。

但它确实是一件正在发生的事。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：RedTeam tonghuaroot tonghuaroot《Orange 又把 Exchange 打穿了》