文章总结： Pwn2OwnBerlin2026因AI辅助安全研究大幅提升漏洞挖掘效率，导致提交量远超主办方ZDI处理能力而首次拒单。AI工具使研究员效率提升3倍，通过fuzzing辅助、漏洞识别和利用思路生成等实现产能革命。这预示零日漏洞稀缺性动摇、攻防能力不对称加剧，建议防御方缩短补丁时间窗口应对攻击成本降低趋势。 综合评分： 87 文章分类： 漏洞分析,AI安全,红队,安全工具,威胁情报

离谱，Pwn2Own 因高质量漏洞提交过多而“拒单”

原创

i3eg1nner&林00 i3eg1nner&林00

SecureNexusLab

2026年5月13日 09:10 北京

在小说阅读器读本章

去阅读

2026年，Pwn2Own Berlin 在开赛前出现了一件以前从未有过的事：「主办方 ZDI（Zero Day Initiative）因收到的有效参赛提交数量远超其组织能力，不得不拒绝了大量高质量的漏洞研究提交。」 这在 Pwn2Own 将近二十年的历史上，是头一回。

2007年，这个比赛诞生于 CanSecWest 大会上，起初只是两台 MacBook Pro 放在会场，靠 Wi-Fi 连着，谁能 pwn 就能拿走。彼时奖金 $10,000，参赛者寥寥。

二十年后，比赛每年举办三次，每场奖金超过百万美元。2025年的 Berlin 站，ZDI 收购了 28 个独立零日漏洞，发出 $1,078,750 的奖励。2026年 Automotive 站，「76 个零日漏洞，$1,047,000 奖励」，一次性刷新了所有历史纪录。

然后，就连比赛本身，也被提交量淹没了。这不是一个”运营跟不上”的小问题。这是一个信号，说明整个漏洞挖掘领域发生了结构性的产能革命。

理解这件事，你需要先理解”漏洞挖掘的成本曲线”

在传统认知里，高级漏洞（尤其是能在 Pwn2Own 上展示的那种——需要可靠利用、沙箱逃逸、完整 exploit chain）是极度稀缺的资源。原因很简单：

「它需要的不只是聪明，它需要时间的密集投入。」

一个典型的 Pwn2Own 参赛团队，在某个目标上花费三到六个月是正常的。需要深度逆向目标二进制、理解内存布局、找到可触发的原语、绕过现代缓解机制、稳定 exploit 到可以在现场三分钟内演示的程度。

这个过程，本质上是「人类专家的线性时间投入」。两个人就是两个人，再聪明也一天只有 24 小时。这就是为什么参赛者数量长期维持在几十个团队的量级，而不是几百个。

AI 改变了什么

现在说说为什么今年会溢出。

过去两年，安全研究领域已经悄悄发生了一件事，很多人感受到了，但没有人真的量化它：「AI 作为安全研究员的”扩展器”，正在让专家的时间复用倍率大幅提升。」

注意，我没有说”AI 自动挖漏洞”。这种说法目前仍然是高估的。

我说的是一种更具体的模式：「AI + 专家 = 一个人干三个人的活。」

具体体现在哪？

「1. Fuzzing 辅助与 crash 分析加速」

传统 fuzzing 产生的 crash 数量庞大，但其中大多数是重复的，或者不可利用的。过去，分类这些 crash、判断是否有利用价值，是纯人力工作，且枯燥、费时。现在，LLM 辅助的 crash triage 工具可以把这个过程压缩到原来的 1/5 甚至 1/10。

「2. 漏洞类型识别与利用思路生成」

当一个研究员盯着一段反汇编代码时，识别漏洞模式（UAF、type confusion、OOB write）本来需要大量经验积累。LLM 辅助的二进制分析工具（不提商业产品名，这是趋势）可以给研究员提供”候选漏洞路径”，大幅减少在错误路径上浪费的时间。

「3. Exploit 原语构建的文档化与复用」

一个成熟的 exploit chain 背后，往往是对某类原语（比如 heap spray、TOCTOU、type confused object manipulation）的深度理解。过去这些知识高度个人化，藏在研究员的脑子里。现在，这类知识更容易被 LLM 检索、整合、迁移到新目标上。

一个数字游戏

让我们做一个粗略的估算来直观感受这个变化。

假设传统上，一个优秀的研究团队（3人）针对一个高价值目标需要平均 「120 人·天」 才能产出一个可靠的 exploit。

假设 AI 工具让这个数字降低到 「40 人·天」（保守估计）。

这意味着同样的团队，在同样的时间预算内，可以覆盖的目标数量变成了原来的 「3倍」。

现在全球有多少支顶级安全团队？在 AI 工具普及之前，大概有能力完成 Pwn2Own 级别 exploit 的团队，全球不超过 50-80 支。每支团队每年能提交 1-3 个有竞争力的 entry。

数学很简单：「总提交量 ≈ 80 支团队 × 3 倍产能 × 多个目标 = 原来的 3-5 倍。」

ZDI 的组织资源是线性的：评审人员、比赛时间槽（每天就那么多小时）、现场技术支持。「生产端 3 倍增长，而接收端几乎没变，溢出是必然的。」

更深的含义：漏洞市场的”供给侧改革”

这件事对整个安全生态的含义，远不止于 Pwn2Own 这个比赛本身。

「1. 零日漏洞的稀缺性正在被动摇」

长期以来，高级零日漏洞之所以昂贵，是因为稀缺。一个浏览器 RCE + 沙箱逃逸，可以在黑市卖到数百万美元，是因为能做到这件事的人极少。

当 AI 辅助让这个门槛系统性降低，即使只是对已经入圈的顶级研究员，「整体供给量的上升会对灰市价格产生压力」。这对防御方来说是好事，对漏洞中间商来说是坏事，对软件厂商来说是……需要更快打补丁。

「2. 防御端还没跟上」

这里有一个不对称性需要警惕：AI 赋能了攻击研究端，但防御端的 AI 赋能速度并不相同。打补丁的流程、厂商的响应机制、基础设施的更新周期——这些都是「人力密集型、组织协调型」的工作，AI 在这里的加速效果远不如在研究端明显。

换句话说，「攻击侧的产能在快速上升，防御侧的吸收能力没有同步扩张」。这个缺口，是潜在的系统性风险。

「3. Pwn2Own 模式本身面临重构」

Pwn2Own 的价值主张是：让顶级研究员在可控环境下展示漏洞，厂商第一时间获得通报，用户因此受保护。这个机制依赖于一个假设：「有价值的漏洞研究是稀缺的，愿意走负责任披露渠道的研究员需要用奖金激励。」

当产能大幅提升，提交远超承接能力，ZDI 必须做出选择：扩大规模？提高门槛？还是改变运营模式？这不是简单的工程问题，而是整个 responsible disclosure 生态的定位问题。

未来判断

人们见过太多技术浪潮，每一次都有两种反应：一种说”这只是工具，核心还是人”；另一种说”这会取代一切”。「两种都是懒惰的思维。」

真实情况是：「AI 不会取代顶级安全研究员，但 AI 赋能的安全研究员会取代没有 AI 的安全研究员。」 这句话很老套，但在这个领域，它的含义比很多其他领域更加锋利——因为这里的产出直接决定了数字基础设施的安全边界。

Pwn2Own 溢出这件事，本质上是一个「领先指标」：它告诉我们，高级漏洞研究的产能正处于供给冲击的早期阶段。这个冲击还没有完全传导到下游——灰市、国家级攻击者的投入成本、企业安全团队的感知压力——但「传导是迟早的事」。

Pwn2Own 的日程表被撑破了，这不是坏事，这是预警。

给防御方的建议只有一句话：「AI 降低了被攻击的成本，但不会降低你们修补漏洞的时间窗口——那个时间窗口实际上只会变得更短。」

附：Pwn2Own Berlin 2026 的格局变化

顺便提一下，正在进行的 Pwn2Own Berlin 2026（5月14-16日）有几个值得关注的变化，某种程度上是对上述趋势的主动回应：

• 「AI 类别从 1 个扩展到 4 个」：AI Database、Coding Agents、Local Inference、NVIDIA。说明攻击面已经延伸到 AI 基础设施本身。
• 「Claude 和 GitHub Copilot 等 Coding Agent 被列为目标」：这意味着 AI 工具本身，作为新的攻击入口，已经进入顶级研究员的视野。
• 「AWS Firecracker 奖金增加」：云基础设施依然是重点攻击面。

这批目标的选择本身，就是一个信号：安全研究的前沿正在移动，而 AI 辅助的研究力量，正在让这个前沿移动得更快。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：SecureNexusLab i3eg1nner&林00 i3eg1nner&林00《离谱，Pwn2Own 因高质量漏洞提交过多而“拒单”》