近日 Pwn2Own Berlin 2026 駭客大賽歷經三天的激烈賽程後落幕,此次賽事總計發出超過 129萬美元的獎金,發現了四十七個全新的零日漏洞。其中台灣資安團隊 DEVCORE 以總積分排名第一的成績奪下 Master of Pwn 冠軍榮耀,而第二名與第三名則分別由 STARLabs SG 與 Out Of Bounds 團隊拿下。DEVCORE 團隊成員 Orange Tsai 也成功拿下個人生涯第三座 Master of Pwn 冠軍獎盃。
從完全不靠 AI 到全 AI 的漏洞挖掘對比
根據 Orange Tsai 近期在 Facebook 社群平台發布的貼文,他以本次賽事作為試驗場,實測 AI 在漏洞挖掘的表現,藉此探討自動化工具的能耐。根據 Orange Tsai 的測試,他挑選了三組不同的攻擊目標進行實驗,首先在完全不依靠 AI 的挑戰中,他針對 Chrome 與 Edge 瀏覽器進行沙盒逃逸,全程僅依賴邏輯漏洞便成功突圍,獲得十七萬五千美元獎金。這是自 2016 年以來首次有人成功達成基於 Chromium 架構的沙盒逃逸,當他公開其獨特技巧時甚至讓原廠感到驚訝。
而在以人為主導搭配大型語言模型輔助的模式下,他選擇了 Exchange Server 作為目標,他將過去尚未深入研究的待辦清單交給人工智慧來處理,最終獲得二十萬美元獎金與伺服器類別最高分。有趣的是,若在相同條件下讓人工智慧自由發揮,系統卻會直接選擇放棄。
Orange Tsai 選擇微軟 Office 365 公司應用程式作為完全交由人工智慧的測試目標,雖然人工智慧確實找到許多問題,但多數停留在造成系統崩潰的層次。最終這項測試仍成功拿下該類別最高分及十五萬美元獎金,這也是 Pwn2Own 史上首次有人挑戰該項目。
專業研究人員的核心價值與未來挑戰
至於大家所關注的,人工智慧是否會取代人類,Orange Tsai 在貼文中指出,大型語言模型更像是一種工具或放大器,未來的資安工作勢必無法脫離它,但其最終價值依然取決於使用者本身,若研究人員的價值僅停留在重複已知漏洞模式,當自動化工具將所有人的起跑線拉平,這類工作必然會面臨被取代的風險。
如同 Orange Tsai 所說的只要懂得順應時代發展,即使出現再強大的模型也很難完全取代人類,除非真正意義上的通用人工智慧問世,否則專業人員依然在此領域扮演著不可或缺的關鍵角。CyberQ 認為其實不只在資安領域,這也適用於其他領域。
首圖由 Nano Banana AI 生成
