漏洞攻擊
Pwn2Own 2026 柏林直擊:ZDI 有史以來最大規模 AI 資安對決全紀錄
2026 年 Pwn2Own Berlin 駭客大賽總共揭露了 47 個零時差漏洞,頒發了 1,298,250 美元的獎金。趨勢科技TrendAI™ 全程三天都駐守在會場,以下是我們的實地觀察。
Save to Folio
重點摘要
- 研究人員在 Pwn2Own Berlin 的 10 個競賽項目當中發現了 47 個非重複零時差 (zero-day) 漏洞,總頒發獎金高達 1,298,250 美元,刷新該競賽紀錄。
- AI 子項目 (程式設計代理、本機推論、AI 資料庫、NVIDIA) 第一天就熱鬧非凡,包括 OpenAI Codex、LiteLLM、LM Studio 和 NVIDIA Megatron Bridge 在內的產品都被攻破,每一款 AI 產品都因為無條件信任外部工具或通訊協定而出了問題 (也就是「信任邊界」問題)。
- 企業系統的經典漏洞依然歷久不衰,Microsoft Exchange (系統層級的遠端程式碼執行)、SharePoint (預先認證的遠端程式碼執行) 以及 Edge 瀏覽器 (串連四個漏洞的沙盒模擬環境逃逸) 全都敗在一些早已被研究透徹的漏洞。VMware ESXi 出現了跨租戶虛擬機器逃逸 (從客端至主機) 漏洞,衝擊分租共用基礎架構。
- TrendAI™ 在 5 月 19 日 (搶在廠商修補之前) 發布了 9 個 TrendAI™ TippingPoint™ 過濾規則來防堵 LiteLLM、Edge、Exchange 及 SharePoint 的漏洞。至於網路層次的流量檢查無法派上用場的地方,則建議透過 TrendAI Vision One™ 的端點層次偵測來作為 AI 相關漏洞的控管措施。
競賽性質與柏林現場直擊
Pwn2Own 是全球最負盛名的駭客競賽,由 TrendAI™ Zero Day Initiative™ (ZDI) 漏洞懸賞計畫所舉辦,ZDI 是全球最大的非限定廠商漏洞懸賞計畫。該競賽目前已邁入第 19 年,每年都廣邀資安研究人員參加,共同針對已修補完整且在營運環境內廣泛部署的軟體版本,尋找各種漏洞攻擊手法,並在為期三天的競賽中展示這些手法。廠商會事先收到與其相關的競賽項目通知,但無確切的漏洞資訊,這樣做的目的是要確保在漏洞展示的當下,確實無人知曉這些漏洞。
競賽的規則設計不僅獎勵創新、也獎勵複雜性,參賽者每一項成功展示,都能獲得獎金與「Master of Pwn」駭客大師積分。當比賽結束時,積分最高的隊伍或個人將獲頒 Master of Pwn 頭銜,除了獎金之外,還將獲得一件獨一無二的 Master of Pwn 賽事夾克。
接下來,Pwn2Own 大會上展示的所有漏洞都會被揭露給受影響的廠商,廠商有 90 天的時間可以完成修補,之後 TrendAI™ ZDI 便會公開漏洞的完整技術細節。同時,我們的資安團隊也會針對這些漏洞致力開發威脅偵測與防範技術,在漏洞揭露與廠商修補之間的空窗期,先為趨勢科技客戶提供一層保護。
這套聯合揭露模式是 TrendAI™ ZDI 的核心使命:透過競賽的結構化機制來發掘並修正重大漏洞,在駭客有機會攻擊這些漏洞之前預先保護客戶。
2026 年的競賽與 OffensiveCon 在柏林同場舉行,這是 TrendAI™ ZDI 連續第二年將 Pwn2Own 帶到德國舉辦。今年的活動是由 Amazon Web Services (AWS) 共同贊助,這項合作讓 TrendAI™ ZDI 能為 Firecracker 的漏洞提供更多獎勵。
本屆競賽有史以來第一次達到容納極限,同時,礙於時程安排限制,TrendAI™ ZDI 的報名截止時間也提早結束。如同本文後半段的詳細討論,這象徵了 AI 代理對產業即將帶來重大變革,不僅將使得攻擊面擴大,同時也將擴大駭客和研究人員可用來尋找和攻擊漏洞的工具。
台灣的 DEVCORE Research Team (戴夫寇爾) 以 50.5 分的積分和 505,000 美元的獎金毫無懸念摘下 Master of Pwn 頭銜,該團隊成員 Orange Tsai (蔡政達) 更展示了本週最具技術野心的數個漏洞攻擊鏈。新加坡的 STARLabs SG 團隊則以 25 分的積分和 242,500 美元的獎金排名第二,南韓的 Out of Bounds 則獲得 12.75 的積分和 95,750 美元的獎金,排名第三。
目標、技巧以及 AI 資安大考驗
TrendAI™ ZDI 在 2025 年首次將 AI 列入 Pwn2Own 競賽項目,當時還只是一場前瞻性賭注,但到了 2026 年,AI 卻變成了競賽的主角。2026 年,光「AI」這個項目就分成四個子項目:AI 資料庫、程式設計代理、本機推論,以及 NVIDIA。
AI 對這場比賽的影響,還不只侷限於競賽項目。這三天當中,我們從參賽隊伍口中聽到了一個很明顯的趨勢:絕大多數參賽者都積極使用 AI 代理來開發攻擊手法。不論是攻擊面評估、漏洞發掘,以及漏洞攻擊的開發,AI 輔助已經是一種常態而非例外,僅有少數團隊完全不用 AI。這與兩年前的情況大不相同,並且真實地影響了發掘新漏洞的速度。此外,這些讓企業攻擊面擴大的 AI 工具,也正在加速駭客發掘並利用此攻擊面弱點的能力。
整場活動總結下來我們得出兩點心得:首先,AI 工具已成為企業一個嚴重的攻擊面,而且它的漏洞並非邊緣案例,而是架構上的缺陷。其次,AI 現在已經是攻擊型研究人員的一項標準配備,能縮短新產品推出到有效漏洞攻擊手法出現的時間。
在這禮拜當中,每個被攻陷的 AI 產品上最常發現的漏洞就是我們所謂的「信任邊界問題」。現代化的 AI 程式設計代理、推論代理器 (inference proxy) 以及本機 LLM 平台都並非獨立運作。它們需要與外部工具、通訊協定、SDK 以及服務互動,而且似乎都假設它們所接觸的一切都值得信任,因此不會自行檢驗輸入到這些受信任介面的內容是否安全。
這樣的模式在四個 AI 競賽項目中一再出現,在我們觀察到的揭露案例當中,OpenAI Codex 和 LiteLLM 被三個不同的隊伍分別攻擊得逞,他們在 AI 與外部工具或服務的互動中找到了攻擊信任邊界的方法,而且全都取得了系統管理員 (root) 層次的程式碼執行權限。類似的情況,有一個隊伍攻破了 LM Studio 和 NVIDIA Megatron Bridge 來執行駭客掌控的程式碼。每一種情況都不是 AI 產品本身被攻破,而是在與信任的工具或通訊協定介接的介面上出現破口。
部署這些工具的企業,應該將它們當成任何網路可存取的服務一樣看待並設置適當的安全措施:網路分割、端點行為監控、處理程序血緣 (process-lineage) 警報 (尤其是 AI 代理處理程序產生非預期指令列工具的情況),以及針對 AI 代理擁有寫入存取權限的目錄進行檔案系統的一致性監控。縱深防禦對這些應用來說仍至關重要,這些產品的網路檢查窗口狹窄,因此需要投入額外的端點和執行時期行為偵測來補強防護。
TrendAI Vision One™ 平台結合了 XDR 驅動的端點與處理程序監測資料來解決這些需求,包括:處理程序血緣可視性 (非常適合用來偵測 AI 代理執行時期產生的異常指令列介面),以及 TrendAI Vision One™ Server and Workload Security (SWP) 來監控檔案系統的一致性,並提供執行時期行為控管。
忠實的企業系統依舊為經典漏洞所苦
儘管 AI 攻擊目標大致上主宰了整場競賽的調性,但傳統企業基礎架構還是占有一席之地,而且有好幾個高價值目標都敗在一些已經被研究透徹的漏洞類型。
Microsoft Exchange 被 DEVCORE Research Team 的 Orange Tsai 發現了一個系統層級的遠端程式碼執行鏈,他為此贏得了 20 萬美元的最高獎金。這個串連三個漏洞的攻擊鏈可從一台低權限的網域電腦全面駭入一台伺服器,這讓駭客能輕鬆利用最初突破防線的立足點在環境內取得高階權限。
Microsoft SharePoint 被 DEVCORE Research Team 的 splitline (黃志仁) 入侵成功,他為此獲得了 10 萬美元的獎金。這名參賽者利用未經認證的 HTTP 請求,在預設的 SharePoint 安裝環境上執行遠端程式碼。
Microsoft Edge 在競賽的第一天就被多產的 Orange Tsai 擊破,他串連了四個邏輯錯誤 (每一個單獨來看都不是災難性問題),徹底逃逸到沙盒模擬環境之外,並為此贏得 175,000 美元。最後的結果就是使用者只要一瀏覽就會遭到入侵,除了載入網頁之外,完全無需額外操作。
VMware ESXi 寫下本週最具深遠影響的時刻,STARLabs SG 的 Nguyen Hoang Thach 成功完成了一次客端至主機的虛擬機器完全逃逸,同時還額外實現了跨租戶的程式碼執行,為自己贏得了 20 萬美元。其攻擊鏈是從一台客端虛擬機器內部發起,先逃逸到裸機虛擬化監管程式 (Hypervisor),然後再修改同一主機上的另一個客端虛擬機器,這樣的情境直接衝擊到分租共用的代管環境。
除了上述之外,還有一些其他產品也被攻陷,包括:Claude、Cursor、NVIDIA Container Toolkit、Oracle AI Database、Windows 11、Red Hat Enterprise Linux 等等。截至本文撰稿為止,TrendAI™ ZDI 和 TrendAI™ Labs Threat Response 仍在評估這些案例以便提供偵測指引,未來也將視情況揭露更多資訊。
由於競賽三天期間會場上有多項攻擊展示在多個場地內同時進行,因此我們無法親臨每一場展示。以上整理了幾個我們團隊親自到場的攻擊展示,未來幾週我們將繼續介紹其他同時進行的場次當中值得注意的結果。
漏洞模式
在今年的攻擊目標當中,我們可看到有少數幾種漏洞模式一直反覆出現。在 AI 項目當中,信任邊界的失效與架構設計不良是最普遍的問題,每一項被攻破的 AI 產品都是因為無條件信任從外部工具或通訊協定輸入的內容所導致。在 Microsoft 伺服器項目上,認證與登入憑證處理的弱點最為普遍,ESXi 項目則是以記憶體安全性失效為主。至於瀏覽器的資安問題,則來自於廠商在 Chromium 引擎的基礎上所做的擴充而累積的小錯誤造成。也許最令人意外的是,Microsoft Edge 案例中所用到的四個漏洞都屬於邏輯錯誤,完全沒看到記憶體損毀漏洞。
TrendAI™ 解決方案
TrendAI™ 的 ZDI 和產品資安團隊從 Pwn2Own Berlin 2026 上展示的漏洞一揭露之後便開始追蹤這些漏洞。針對 TrendAI™ TippingPoint™ 網路防護過濾規則可涵蓋的目標,我們的團隊在競賽後的幾天之內便開發並派送了對應的防護,遠遠搶在廠商修補更新之前。
以下就是到 2026 年 5 月 19 日為止所釋出的過濾規則,希望能在廠商矯正漏洞之前預先為客戶提供網路層次的防護,同時在本文撰稿當下還有更多防護措施在陸續開發當中:
| 過濾規則 ID | ZDI 案件編號與廠商產品 |
|---|---|
| 47426 | ZDI-CAN-31305 LiteLLM LiteLLM |
| 47427 | ZDI-CAN-31432 LiteLLM LiteLLM |
| 47428 | ZDI-CAN-31263 Microsoft Edge |
| 47429 | ZDI-CAN-31430 Microsoft Edge |
| 47430 | ZDI-CAN-31431 Microsoft Edge |
| 47435 | ZDI-CAN-31482 LiteLLM LiteLLM |
| 47436 | ZDI-CAN-31484 LiteLLM LiteLLM |
| 47437 | ZDI-CAN-31481 Microsoft Exchange Server |
| 47438 | ZDI-CAN-31490 Microsoft SharePoint |
表 1:TrendAI™ TippingPoint™ 網路防護過濾規則。
LiteLLM 總共占了四條過濾規則,因為有三個不同的團隊分別在競賽期間展示了不同的攻擊途徑。此外,這些規則也涵蓋了 Microsoft Edge 串聯四個漏洞的沙盒模擬環境逃逸鏈、Exchange 系統層次的遠端程式碼執行 (RCE) 以及 SharePoint 的預先認證 RCE。TippingPoint 的客戶只要套用最新的過濾規則套件,便可在等待廠商修補漏洞的期間,先在網路層次防堵這些漏洞。
2026 年 Pwn2Own 大會上展示的所有漏洞都已按照競賽的初衷揭露給廠商。廠商現在有 90 天的時間來針對競賽期間所揭露的漏洞開發及發布修補更新。同時,TrendAI™ 也已經對這些漏洞發布了前述的偵測報告,未來也會持續評估並視情況發布進一步的指引。
比賽節奏越來越快
Pwn2Own Berlin 2026 揭露的趨勢將決定企業未來一年的資安優先要務,其中的首要課題就是速度:AI 輔助的研究、更廣的攻擊面,以及創紀錄的參賽陣容,都在縮短從產品推出、到有效漏洞攻擊手法出現的空檔時間,同時也縮短了資安人員的反應時間。
AI 工具在本週所暴露的信任邊界問題,並非只是成長的短暫陣痛。隨著 AI 代理生態系的不斷擴張,以及 AI 產品與更多外部工具、通訊協定及服務的整合,其攻擊面將隨之成長。每一項新的整合,都會因為預設的信任而產生一道可能被駭客利用的潛在裂縫。導入 AI 代理的企業應預期此一攻擊面將隨其部署的規模而擴大,並根據這點來規劃自己的資安架構。
VMware ESXi 從客端到主機的虛擬機器逃逸,以及跨租戶程式碼執行的問題,對雲端環境的虛擬化監管程式安全來說是一記響亮的警鐘。虛擬化依然是分租共用基礎架構的基本隔離層,當該層被攻破時,其衝擊半徑將延伸到單一客戶之外,波及受害主機上的每一個租戶。採用共用虛擬化基礎架構的雲端供應商和企業,應該將這樣的結果視為一種警訊,並重新投入主機層次的虛擬化監管程式強化、分割以及行為監控。
本次競賽另一個重要的觀察重點是:報名截止日期因為容納限制而必須提前結束。如今的全球攻擊型研究社群,比 Pwn2Own 舉辦 19 年來的任何時候都更加龐大、工具更好、也更加活躍。AI 輔助的漏洞發掘,正在縮短產品發布與有效漏洞攻擊手法出現之間的時程。大量的研究意味著,漏洞被發現的速度比以往更快,不論是被參與聯合揭露的研究人員發現,或是被不肖的駭客發現。
為此,TrendAI™ 將下列三個領域列為重點項目:(1) 透過 TrendAI Vision One™ Endpoint Security 來擴大端點層次的 AI 代理行為異常偵測,提供處理程序血緣監測與行為警報來應付今年競賽中看到的程式設計代理攻擊模式;(2) 透過 TrendAI Vision One™ XDR for Networks 和 TrendAI Vision One™ Cloud IPS 來深化網路流量檢查功能,保護 AI 到工具的通訊協定流量;(3) 加快從 Pwn2Own 揭露到釋出防護的回應速度。初步的防護在競賽結束的幾天之內便已發布,但我們的更大目標是要確保 TrendAI™ 客戶能在漏洞演變成資安事故之前,預先擁有多層式防禦。
Pwn2Own 存在的意義就是要在駭客發現之前預先找出重大漏洞,並且讓廠商和資安人員有機會搶先一步。Pwn2Own Berlin 2026 明確告訴我們,從揭露到漏洞攻擊之間的時間差正在縮小。每一個資安團隊都得面對的問題就是:自己的偵測及回應能力是否能夠跟上。