正文

赏金猎人集结令!来顺丰SRC解锁2026年白帽赏金挑战赛!

admin
admin V管理员 /0 评论 /7 阅读
0502
文章最后更新时间2026年05月02日,若文章内容或图片失效,请留言反馈!

顺丰SRC

  活动规则  

【活动时间】

2026.5.1-5.15(16天)

【活动奖励】

1、活动专项翻倍

2、高价值漏洞奖励:提交任意有效的一般/核心系统/高危的严重漏洞,可额外领取顺丰保时捷联名车模(每个ID限一份)

3、新人奖励:活动时间内首次在顺丰SRC注册并提交有效漏洞的白帽可额外获得一个顺丰SAMSAM盲盒(每个ID限一份)

4、排名奖励:直通 2026.6白帽赏金挑战赛线下颁奖活动,解锁直飞三亚的豪华机酒门票,与行业Top白帽面基

1)顺丰SRC 积分排名第 1 名

2)白帽赏金挑战赛积分总榜排名前10名

【活动专项翻倍规则】

1、RCE专项|3倍奖励

所有RCE类漏洞。—规则见《SFSRC安全漏洞评分标准V6.2》

2、安全情报专项|2倍奖励

高危/严重安全情报(入侵/数据泄露情报类)—规则见《SFSRC安全情报评分标准V3.0》

3、数据安全专项|1.5倍奖励

高危及以上敏感数据泄露类漏洞—规则见《SFSRC安全漏洞评分标准V6.2》

4、AI大模型专项|3倍奖励

● 收录规则:

【严重】

1)批量核心数据提取:通过模型逆向工程、Agent的不当调用、提示词注入等手段,批量(100w+)获取含敏感数据的训练语料、个人敏感数据或商业机密。

2)模型服务完全接管:利用漏洞或通过控制高权限Agent实现对模型服务的接管,实现远程代码执行(RCE)、任意命令注入、沙箱绕过、函数调用滥用,直接导致模型服务或底层基础设施完全失控。

3)供应链严重漏洞:利用模型集成的第三方Agent/插件/工具漏洞(如插件投毒、权重/镜像文件/依赖库篡改),实现全量命令注入、核心数据窃取或服务权限接管。

4)模型核心窃取:非授权获取、复制云端大模型权重、核心参数与结构,或构建功能等效的影子模型。

5)Agent权限完全失控:Agent因权限过高或身份管理缺陷,可自主执行任意高危操作(如删除数据、内网横向移动等)

6)训练数据投毒:在训练/微调阶段注入恶意数据植入后门,导致模型在特定触发条件下执行恶意行为

【高危】

1)敏感数据获取:通过模型逆向工程、提示词注入等手段,批量(10w+)获取训练数据中的涉密信息、个人敏感数据或商业机密。

2)插件/工具漏洞:利用模型集成的第三方插件漏洞,实现非授权数据窃取或受限命令执行。

工作流/MCP安全边界突破:如MCP服务器身份伪造/工具冒充、工作流节点间的权限逃逸、通过MCP协议实现代码执行或数据窃取。

3)安全机制绕过:成功实施越狱并执行可验证的高危操作,如Agent的多轮对话诱导逐步突破安全边界调用敏感函数、发起内网请求、读取任意文件。

4)Agent功能越权:利用模型特有漏洞致越权访问、修改其他用户的非公开对话记录、智能体配置或个人文件。

【中危】

1)服务资源耗尽:通过构造特定请求或利用Agent的自主调用能力,稳定触发模型服务大规模资源耗尽,导致全量用户服务中断或严重降级。

2)模型元信息泄露:非授权获取模型的架构、超参数、损失函数等非公开但非核心的信息。如通过Agent对模型API的异常调用反向推断。

3)Agent行为可控但不影响数据/系统:可稳定诱导Agent执行特定操作(如调用某工具),但操作本身不涉及敏感数据访问或系统破坏。

4)成员推断/属性推断:可推断某记录是否在训练集中,或推断训练数据中的敏感统计属性。

5)记忆操纵:向向量库/聊天记录/提示词上下文植入伪造记忆片段,诱导Agent后续执行恶意决策;利用RAG检索偏差实施攻击。

6)级联扩散与人工监管失效:单智能体错误在多智能体系统中引发连锁反应;缺乏审计或日志被篡改导致恶意行为无法追溯。

【低危】

1)公开信息泄露:获取模型已在论文或文档中公开的架构、训练集来源等信息。

2)苛刻触发条件:需要连环诱导、多次交互且依赖极不易达成的环境状态才能生效的问题(综合)。

【忽略】

1)纯内容合规问题(仅生成违规表述,无实质数据/系统危害)

2)预期功能行为(沙箱内基础命令、用户自研智能体问题、正常MCP调用)

3)模型幻觉现象(输出不实但无安全指向的文本模拟)

4)传统漏洞类型(SQL注入/XSS等按原规则处理)

5)无法稳定复现漏洞

⚠️注】

1、漏洞提交地址:https://sfsrc.sf-express.com,提交漏洞时漏洞名称需注明【白帽赏金赛】+漏洞标题

2、完整规则见:

《SFSRC安全漏洞评分标准V6.2》https://sfsrc.sf-express.com/notice/SFSA24-61/1777516820842

《SFSRC安全情报评分标准V3.0》https://sfsrc.sf-express.com/notice/SFSA25-62/1777516849643

3、本次翻倍活动不包含隐私合规漏洞

顺丰安全应急响应中心

Theloner团队

  活动信息  

第四届白帽赏金赛

举办时间:2026.5.1-5.31

线下颁奖地点:三亚

举办单位:Theloner团队

聚焦核心资产·深挖潜在风险

——END——

【文末福利】

抽奖参与方式:

1、转发推文到朋友圈并集赞15个

2、转发推文到200+人微信群并保留2分钟以上

3、1和2保留至开奖日


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
https://ZhouSa.com