赛事概述
Pwn2Own 是由趋势科技旗下 Zero Day Initiative(ZDI) 主办的世界级黑客破解大赛,自创办以来一直是全球安全研究社区最具影响力的技术擂台之一。赛事聚焦于真实场景下的漏洞挖掘与利用,参赛者需在限定时间内攻破主流操作系统、浏览器、移动设备、云服务及物联网终端等目标。Pwn2Own 的核心价值不仅在于展示攻击者视角的顶尖技术,更在于通过竞赛推动厂商修复高危漏洞,最终提升整个行业的安全水位。
大赛长期在加拿大温哥华、日本东京、爱尔兰都柏林等地举办,覆盖桌面、移动、企业级基础设施等多个赛道。历年获奖团队包括 360 安全团队、Keen Team、腾讯安全玄武实验室等国内外知名研究组织。Pwn2Own 被公认为安全社区“含金量最高”的漏洞竞赛之一,其规则与目标选择往往直接反映当年最受关注的安全攻防趋势。
核心功能
- 多赛道攻防挑战:每届比赛设置浏览器、操作系统、虚拟化平台、打印机、NAS 设备、智能家居等不同组别,覆盖从桌面端到云端、从软件到硬件的广泛攻击面。
- 真实环境漏洞利用:参赛者必须在目标设备的默认配置(或厂商指定的加强配置)下,从无权限状态出发,通过完整利用链实现代码执行或权限提升,严禁使用重启、注销等“非真实攻击”手段。
- 即时奖励与漏洞披露:成功破解的项目可获得数万至数十万美元不等的奖金,同时 ZDI 会向相关厂商提交漏洞细节,推动安全补丁在赛前或赛后快速落地。
- 年度“破解之王”评选:赛事设有“Master of Pwn”总冠军奖项,累计积分最高的团队或个人获得该称号,并赢得额外奖金及业界声誉。
- 技术演示与社区交流:获奖选手通常在赛后受邀分享利用思路与工具链,促进全球安全社区的知识共享与协作成长。
适用人群
Pwn2Own 主要面向具备高水平漏洞挖掘与利用能力的安全研究人员、红队成员、学术机构攻防团队以及企业安全实验室。典型参与者通常已掌握系统底层原理、逆向工程、沙箱逃逸等核心技能,并希望在高强度实战中验证自己的技术链是否具备对抗前沿防御体系的能力。另外,关注最新安全攻防动态的厂商安全负责人、漏洞赏金计划运营者、以及希望了解零日漏洞趋势的技术决策者,也会通过赛事结果来评估自身产品的安全短板。
行业地位与亮点
Pwn2Own 是极少数能够持续推动全球主流操作系统与软件厂商(如微软、苹果、谷歌、三星、Adobe 等)快速发布安全更新的公开赛事。据历年不完全统计,大赛累计暴露并修复的零日漏洞超过 200 个,直接或间接促成了数十次紧急安全补丁的发布。赛事本身不设报名费或订阅制,参赛团队仅需在截止日期前提交注册申请;奖金池由 ZDI 及部分赞助商提供,单项破解最高可达 50 万美元。当前市场上虽存在其他漏洞竞赛(如 Microsoft Bounty、Google P0 挑战),但 Pwn2Own 凭借其跨平台、多目标、高规则门槛的特点,仍被视为衡量顶级安全团队综合实力的“终极试炼”。