文章总结： 本文探讨AI工具辅助挖掘高危漏洞对网络安全行业的影响，以Pwn2Own比赛拒收FirefoxRCE漏洞为例，指出漏洞挖掘门槛降低导致市场价值变化。作者建议新手通过自学基础工具和公开案例实践后再考虑入行，并强调选择培训时需关注导师的实时指导能力和真实漏洞实操带教，提醒勿盲目相信招生广告。 综合评分： 72 文章分类： 漏洞分析,安全培训,AI安全,安全意识,实战经验

浅聊Pwn2Own，网安入行需慎重

原创

轻松点 轻松点

学网安的韭菜

2026年5月12日 11:33 安徽

在小说阅读器读本章

去阅读

闲的没事水群，看群友发了个图片

群友表示因为ai的原因，导致漏洞白菜价格。

说实话，我这文章我都看不懂，我还是利用ai来看的，让各位见笑了。

Pwn2Own这个比赛大家可以查一下，收取漏洞含金量特别高。就比如文章中举例的rce(利用这个，可以控制你的电脑，服务器)但是在收取条件那么苛刻的情况下，这个比赛漏洞居然拒收了！！！你要明白他们没收到一个漏洞，都可以那去厂商变现。不收了什么原因呢？大概率厂商的预算超标了。

为了解本次Pwn2Own大赛的事件，我查阅了相关漏洞资料。

之所以关注这位白帽师傅的成果，只因Firefox是我为数不多熟悉的英文名词。大家可以搜索白帽**@ggwhyp**了解详情。

他自研的Firefox完整RCE高危漏洞，因赛事名额已满惨遭拒收。而他坦言，这个漏洞是借助LLM大语言模型辅助挖掘完成的，也就是我们常用的ChatGPT、豆包、元宝这类AI工具。

简单科普下沙箱逃逸：浏览器会用安全隔离机制限制网页代码，无法随意操作电脑本地内容。一旦被沙箱逃逸漏洞被发现，就得到了你浏览器的权限。就比如你现在打开的浏览器页面，cookie等等我都能拿到。

沙箱逃逸 = 半残废权限 沙箱逃逸 + 内核漏洞 = 完整RCE = 完全控机

还得在浏览器内核/父进程里再挖一个能任意执

行代码的漏洞。

从前这类顶级浏览器漏洞，只有顶尖白帽才能挖掘，如今依靠AI就能高效完成。虽然还没有挖到RCE，但是确实已经很恐怖了，作者也表示还有技术更厉害的人，说不定已经可以了。

当然网安目前还没有被取代，但是很显然已经不是当年那个随便改个数据包就能吃上好的年代。

如果你还是个新手，想要入行。

我问你一个问题，你是否真的喜欢这个行业？

这个行业人才缺口大，是人才不是人，ai盛行之后这个人才的标准还在上升。

最后给大家一个建议，入行不要盲目参加培训。首先自己是否能独立进行学习。可以先自己学一下工具的使用（就BP一个先），然后是否可以利用现有的公开资料去进行挖简单的洞，正儿八经去挖到一个简单的漏洞（在哔哩哔哩学几个简单的漏洞案列，就利用这几个攻击手法，开无数个网页）在这个挖洞过程中，对网安有点点辨识能力再考虑入行。

最后报培训的话，我觉得重要的两个点。

1：课程老师是否能教学期内在工作时间及时回复信息，实在不明白的地方工作时间随时远程。

2：能否分享他半年亲自挖掘的真实漏洞，并手把手远程带教、1对1全程指导整套攻击实操？ 不是单纯售卖课程视频让自己盲目摸索，而是由他远程带着实操，从零完整拿下至少3个半年内新鲜出炉、且自己原本完全没有挖到过的不同类型漏洞。

最后不要相信任何招生广告，人与人从生下来之间就是智商的差距。人家能有那么多产出，是因为他本来就牛逼😂

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：学网安的韭菜 轻松点 轻松点《浅聊Pwn2Own，网安入行需慎重》