【年度盛事】Pwn2Own Berlin 2025破紀錄 AI類別首納入賽事
新一屆 Pwn2Own Berlin 2025 黑客大賽已經在德國柏林圓滿結束,這項一連三日的賽事由趨勢科技旗下 Zero Day Initiative 主辦。今年賽事首次將人工智能納入比賽項目,而參賽隊伍在三天內共發現 29 個零日漏洞,獲得高達 107.8 萬美元獎金,刷新歷屆紀錄。
在新設的 AI 類別中,來自 Summoning Team 的 Sina Kheirkhah 成為首位贏家,透過攻破開源 AI 應用程式數據庫 Chroma 贏得 2 萬美元獎金。其後他又再成功入侵 NVIDIA Triton Inference Server,雖然獲得額外 1.5 萬美元獎金,但他破解的漏洞被標記為「Collision」,意味開發商早已知悉,只是還未推出修補檔案。
漏洞詳情會保密 90 日
而在今次參賽的黑客隊伍中,來自 STAR Labs SG 的 Nguyen Hoang Thach 憑藉發現 VMware ESXi 虛擬化軟件中的整數溢位漏洞,贏得今屆賽事中單項最高獎金 15 萬美元。STAR Labs SG 隊伍更在整個比賽中累積 35 個大師分數,包括成功入侵 Red Hat 企業級 Linux、Docker Desktop、Windows 11 等多個目標,最終以總獎金 32 萬美元成為今屆總冠軍。
至於亞軍及季軍就分別由 Viettel Cyber Security 隊伍及 Reverse Tactics 隊伍獲得,前者展現了出色的滲透測試技巧,成功從 Oracle VirtualBox 虛擬機入侵主機系統,並通過結合認證漏洞和不安全反序列化漏洞,成功入侵 Microsoft SharePoint;Reverse Tactics 隊伍則在比賽最後一日利用整數溢位和未初始化變數漏洞,成功攻破 VMware 虛擬化軟件,贏得 11.25 萬美元獎金。
在三日賽事中,最矚目的攻擊來自 STAR Labs 隊伍,他們利用 Linux 內核漏洞成功從 Docker Desktop 容器中逃出,繼而在底層作業系統執行程式碼,獲頒 6 萬美元獎金。而 Team Prison Break則獲得 4 萬美元獎金,成功展示 Oracle VirtualBox 的逃逸技術。根據大會規則,所有被發現的漏洞詳情都會保密 90 日才公開,給予時間開發商修補漏洞。
