AI彻底改变安全漏洞挖掘生态，Pwn2Own Berlin 2026报名爆满

自Anthropic发布Claude Mythos Preview以来，人工智能彻底改变了原本依赖人工挖掘漏洞的安全产业生态，连带原本鼓励研究人员发现安全漏洞的安全竞赛，也出现了前所未有的现象。

在5月14日至16日于大型安全会议OffensiveCon举办的漏洞挖掘竞赛Pwn2Own Berlin 2026中，主办方Zero Day Initiative（ZDI）因无法处理更多参赛队伍的报名，于5月7日提前关闭了报名通道。这是Pwn2Own举办19年以来首次出现这种情况。由于大量研究人员未能参赛，他们选择将手中掌握的漏洞信息直接通报给软件厂商，并在公开补丁后在网络上公布细节。

报名人数激增的主要原因是，研究人员借助AI工具发现了大量零日漏洞，导致希望参赛的团队数量远超ZDI的承载能力。ZDI必须为每支队伍安排固定的时间段，用于现场演示漏洞利用、审核提交材料、提供所需硬件并全程监控攻击流程。因此，在为期三天的赛程中，可安排的漏洞演示次数极为有限。最早发出预警的是Ikotas Labs董事辻知希（Satoki Tsuji），他在社交媒体上指出，由于AI大幅提升了漏洞发现效率，报名队伍数量暴增，大量持有零日漏洞的研究人员被拒之门外，最终选择公开漏洞信息。

5月12日，安全媒体International Cyber Digest汇总了因无法参赛而决定直接通报并公开漏洞的研究团队信息。其中，Xchg Labs掌握的零日漏洞数量最多，达86个，覆盖PyTorch、NVIDIA、Linux KVM、Oracle、Docker、Ollama、Chroma、LiteLLM等多个领域，该团队已向相关厂商提交报告，并将在补丁发布后公开技术细节；另一名研究员ggwhyp则掌握了可完整利用Windows版Firefox的漏洞链；安全研究员RyotaK表示，他花了三周时间尝试报名，最终收到ZDI回复：“参赛队伍已满，无法增加比赛时间。”据安全社区统计，本次希望报名Pwn2Own Berlin 2026的研究团队总数超过150支。