Pentest award — это отраслевая награда для пентестеров, которую ежегодно вручает компания Авилликс. Основная задача премии — выделить лучших специалистов и показать их вклад в развитие пентеста. Мероприятие состоится уже в четвертый раз.
Оценивает заявки независимое жюри, которое состоит из лучших практикующих offensive-безопасников топовых российских компаний, звезд отрасли. Также в жюри попадают многократные победители премии предыдущих лет. Участие бесплатное, отправить можно как одну, так и несколько работ. Главный приз за победу — именная статуэтка, макбук и максимальное уважение сообщества. За вторые и третьи места призеры получат айфоны и смарт-часы. Церемония награждения будет проходить 14 августа в Москве.
Новые правила 2026
За три года проведения премии и экспериментов с номинациями, организаторы накопили обратную связь от участников и членов жюри. Было принято решение концептуально перестроить категории, чтобы добавить ясности и структуры. Если раньше заявки участников могли быть рассмотрены в нескольких номинациях одновременно, то сейчас распределение станет более четким благодаря понятному принципу — каждая номинация теперь отвечает на вопрос: «что именно мы оцениваем?».
Таким образом появилась долгожданная номинация — «Kill Chain». Ценность работ в этой номинации не в одной уязвимости, даже критичной, а в способности связать разнородные баги в сценарий атаки: от первоначального входа до достижения цели. Раньше такие кейсы подавались в категорию «Пробив инфраструктуры» и «Bypass». Теперь есть одна номинация посвященная цепочкам атак, которая объединяет веб-, инфраструктурные, сетевые и логические уязвимости. Ее курирует Совкомбанк Технологии.
Следующая новая номинация «Системный взлом» — преемник «Пробив web» и «Hack the logic». Сюда вошли уязвимости в веб-сервисах, API и других компонентах веб-приложений. Принимаются: единичные уязвимости с глубоким анализом первопричины и системным значением; нестандартный байпас аутентификации или авторизации с глубоким техническим анализом, демонстрирующим полный обход модели доверия; критическая логическая уязвимость с нетривиальным вектором эксплуатации, затрагивающая бизнес-логику высоконагруженного сервиса. Эту номинацию курирует BIZONE Bug Bounty. Участникам номинации будут доступны приватные программы на платформе, а победителям дополнительно подарят билеты на конференцию OFFZONE.
Номинация «Девайс» осталась неизменна — за мастерство анализа уязвимостей в физических устройствах: от сетевого оборудования и IoT до мобильных телефонов, планшетов, автомобильных систем и бытовой электроники. Номинация фокусируется на конкретном устройстве как объекте исследования, включая его прошивку, аппаратные интерфейсы, мобильные ОС, клиентское ПО и взаимодействие с внешними сервисами. Цепочки уязвимостей внутри одного устройства также оцениваются в этой номинации.
Экспериментальная номинация «Out of Scope» получила популярность и принесла блестящие кейсы в прошлом году, поэтому остается в основном составе номинаций. Вручается за нестандартные находки и достижения в области наступательной кибербезопасности, которые не вписываются в другие номинации. Собственные инструменты, нетипичные методологии, социальная инженерия, физический пентест, разработка методологий атак, исследование протоколов и алгоритмов, а также самостоятельные исследования методов обхода средств защиты (EDR, WAF и т.д.) и любые другие значимые кейсы. Эта номинация для ценных кейсов с неопределенной категорией.
И так как игнорировать влияние нейросетей на отрасль больше невозможно: за последний год атаки на LLM и AI-агенты перестали быть экзотикой. Рrompt injection, обход guardrails, эксплуатация tool use и RAG-пайплайнов — это самостоятельная дисциплина со своими техниками и своей моделью угроз. Добавилась новая номинация «AI» — за выдающиеся достижения в исследовании и эксплуатации уязвимостей систем, построенных на технологиях искусственного интеллекта и больших языковых моделях (LLM). Номинация охватывает исключительно атаки на AI-системы: чат-боты, AI-ассистенты, AI-агенты, RAG-пайплайны, ML-инфраструктуру и интеграции с LLM. Использование AI, как инструмента для проведения атаки, не является основанием для подачи в эту номинацию, такие кейсы можно подать в другие номинации.
Как подать заявку для участия
Заявка на премию — это рассказ в свободной форме. Не нужно раскрывать эксплоиты, любые шаги в цепочке эксплуатации могут быть полностью анонимны, а детали могут быть скрыты, важно отразить сам подход и идею. Жюри премии обращают внимание на развернутое повествование, описание контекста и вводных, скрины и пруфы наличия уязвимостей, нестандартный подход и креативность, сложность эксплуатации, например, применение эксплойтов собственной разработки, длительный ресёрч, рекомендации по устранению и другие особенности.
Подать заявку и узнать больше информации можно на сайте — https://award.awillix.ru/
