Ежегодная премия для этичных хакеров Pentest award 2026 снова открывает прием заявок

Pentest award — это отраслевая награда для пентестеров, которую ежегодно вручает организация Авилликс. Основная проблема премии — выделить лучших специалистов и показать их вклад в развитие пентеста. Ивент состоится уже в четвертый раз.

Оценивает заявки независимое жюри, которое состоит из лучших практикующих offensive-безопасников топовых российских компаний, звезд отрасли. Также в жюри попадают многократные победители премии предыдущих лет. Участие бесплатное, отправить можно как одну, так и некоторое количество работ. Главный приз за победу — именная статуэтка, макбук и максимальное уважение сообщества. За вторые и третьи места призеры получат айфоны и смарт-часы. Церемония награждения будет проходить 14 августа в Москве.

Новые правила 2026 

За три года проведения премии и экспериментов с номинациями, мы накопили обратную связь от участников и членов жюри. Было принято подход концептуально перестроить категории, чтобы добавить ясности и структуры. Если раньше заявки участников могли быть рассмотрены в нескольких номинациях одновременно, то сейчас распределение станет более четким благодаря понятному принципу — каждая номинация теперь отвечает на вопрос: «что именно мы оцениваем?». 

Таким образом появилась долгожданная номинация —  «Kill Chain». Ценность работ в этой номинации не в одной уязвимости, даже критичной, а в способности связать разнородные баги в скрипт атаки: от первоначального входа до достижения цели. Раньше такие кейсы подавались в категорию «Пробив инфраструктуры» и «Bypass». Теперь есть одна номинация посвященная цепочкам атак, которая объединяет веб-, инфраструктурные, сетевые и логические уязвимости. Ее курирует Совкомбанк Технологии.  

Следующая новая номинация «Системный взлом» — преемник «Пробив web» и «Hack the logic». Сюда вошли уязвимости в веб-сервисах, api и других компонентах веб-приложений. Принимаются: единичные уязвимости с глубоким анализом первопричины и системным значением; нестандартный байпас аутентификации или авторизации с глубоким техническим анализом, демонстрирующим полный обход модели доверия; критическая логическая уязвимость с нетривиальным вектором эксплуатации, затрагивающая бизнес-логику высоконагруженного сервиса. Эту номинацию курирует BIZONE Bug Bounty. Участникам номинации будут доступны приватные программы на платформе, а победителям дополнительно подарят билеты на конференцию OFFZONE.  

Номинация «Девайс» осталась неизменна — за мастерство анализа уязвимостей в физических устройствах: от сетевого оборудования и IoT до мобильных телефонов, планшетов, автомобильных систем и бытовой электроники. Номинация фокусируется на конкретном устройстве как объекте исследования, включая его прошивку, аппаратные интерфейсы, мобильные ОС, клиентское ПО и взаимодействие с внешними сервисами. Цепочки уязвимостей внутри одного устройства также оцениваются в этой номинации.

Экспериментальная номинация «Out of Scope» получила популярность и принесла блестящие кейсы год назад, поэтому остается главным образом составе номинаций. Вручается за нестандартные находки и достижения в области наступательной кибербезопасности, которые не вписываются в другие номинации. Собственные инструменты, нетипичные методологии, социальная инженерия, физический пентест, создание методологий атак, исследование протприблизительнов и алгоритмов, а равным образом самостоятельные исследования методов обхода средств защиты (EDR, WAF и т.д.) и любые другие значимые кейсы. Эта номинация для ценных кейсов с неопределенной категорией. 

И так как игнорировать влияние нейросетей на отрасль больше невозможно: за новейший год атаки на LLM и AI-агенты перестали быть экзотикой. Рrompt injection, обход guardrails, эксплуатация tool use и RAG-пайплайнов — это самостоятельная дисциплина со своими техниками и своей моделью угроз. Добавилась новая номинация «AI» — за выдающиеся достижения в исследовании и эксплуатации уязвимостей систем, построенных на технологиях искусственного интеллекта и больших языковых моделях (LLM). Номинация охватывает исключительно атаки на AI-системы: чат-боты, AI-ассистенты, AI-агенты, RAG-пайплайны, ML-инфраструктуру и интеграции с LLM. Использование AI, как инструмента для проведения атаки, не является основанием для подачи в эту номинацию, такие кейсы можно подать в другие номинации. 

Как подать заявку для участия

Заявка на премию — это рассказ в свободной форме. Не нужно раскрывать эксплоиты, любые шаги в цепочке эксплуатации могут быть целиком анонимны, а детали могут быть скрыты, важно отразить сам подход и идею. Жюри премии обращают внимание на развернутое повествование, описание контекста и вводных, скрины и пруфы наличия уязвимостей, нестандартный подход и креативность, сложность эксплуатации, в частности, применение эксплойтов собственной разработки, длительный ресёрч, рекомендации по устранению и другие особенности. 

Подать заявку и узнать больше информации можно на сайте — https://award.awillix.ru/