Pentest award — это отраслевая награда для пентестеров, которую ежегодно вручает компания Авилликс. Основная задача премии — выделить лучших специалистов и показать их вклад в развитие пентеста. В этом году мероприятие состоится уже в четвертый раз.

Оценивать заявки будет независимое жюри, которое состоит из практикующих offensive-безопасников топовых российских компаний. Также в жюри попадают многократные победители премии предыдущих лет.

Участие бесплатное, отправить можно как одну, так и несколько работ.

Главный приз за победу — именная статуэтка, MacBook и максимальное уважение сообщества. За вторые и третьи места призеры получат iPhone и смарт-часы. Церемония награждения состоится 14 августа 2026 года в Москве.

Новые правила 2026

За три года проведения премии и экспериментов с номинациями, организаторы накопили обратную связь от участников и членов жюри. В этом году было принято решение перестроить категории, чтобы добавить ясности и структуры.

Если раньше заявки участников могли быть рассмотрены в нескольких номинациях одновременно, то сейчас распределение станет более четким благодаря понятному принципу: теперь каждая номинация отвечает на вопрос: «что именно мы оцениваем?».

Появилась долгожданная номинация «Kill Chain». Ценность работ в этой номинации заключается не в одной уязвимости, даже критической, а в способности связать разнородные баги в сценарий атаки: от первоначального входа до достижения цели. Раньше такие кейсы подавались в категориях «Пробив инфраструктуры» и «Bypass». Теперь существует одна номинация посвященная цепочкам атак, которая объединяет веб-, инфраструктурные, сетевые и логические уязвимости. Ее курирует «Совкомбанк Технологии».

Еще одна новая номинация «Системный взлом» — это преемник «Пробив web» и «Hack the logic». В нее вошли уязвимости в веб-сервисах, API и других компонентах веб-приложений.

В этой номинации принимаются:

• единичные уязвимости с глубоким анализом первопричины и системным значением;
• нестандартный байпас аутентификации или авторизации с глубоким техническим анализом, демонстрирующим полный обход модели доверия;
• критическая логическая уязвимость с нетривиальным вектором эксплуатации, затрагивающая бизнес-логику высоконагруженного сервиса.

Эту номинацию курирует BIZONE Bug Bounty. Участникам номинации будут доступны приватные программы на платформе, а победителям дополнительно подарят билеты на конференцию OFFZONE.

Номинация «Девайс» осталась неизменной и связана с мастерством анализа уязвимостей в физических устройствах: от сетевого оборудования и IoT до мобильных телефонов, планшетов, автомобильных систем и бытовой электроники. Номинация фокусируется на конкретном устройстве как объекте исследования, включая его прошивку, аппаратные интерфейсы, мобильные ОС, клиентское ПО и взаимодействие с внешними сервисами. Цепочки уязвимостей внутри одного устройства также оцениваются в этой номинации.

Экспериментальная номинация «Out of Scope» набрала популярность и принесла отличные кейсы в прошлом году, поэтому остается в основном составе номинаций. Здесь оцениваются нестандартные находки и достижения в области наступательной кибербезопасности, которые не вписываются в другие номинации. Собственные инструменты, нетипичные методологии, социальная инженерия, физический пентест, разработка методологий атак, исследование протоколов и алгоритмов, а также самостоятельные исследования методов обхода средств защиты (EDR, WAF и так далее) и любые другие значимые кейсы. Эта номинация подходит для ценных кейсов с неопределенной категорией.

Игнорировать влияние нейросетей на отрасль больше невозможно: за последний год атаки на LLM и ИИ-агенты перестали быть экзотикой. Промпт-инжекты, обход guardrails, эксплуатация tool use и RAG-пайплайнов — это самостоятельная дисциплина со своими техниками и своей моделью угроз.

Поэтому в этом году добавилась новая номинация «AI» — за выдающиеся достижения в исследовании и эксплуатации уязвимостей систем, построенных на технологиях искусственного интеллекта и больших языковых моделях (LLM). Номинация охватывает исключительно атаки на ИИ-системы: чат-боты, ИИ-ассистенты, ИИ-агенты, RAG-пайплайны, ML-инфраструктуру и интеграции с LLM.

Использование ИИ, как инструмента для проведения атаки, не является основанием для подачи в эту номинацию, такие кейсы можно подать в другие номинации.

Как подать заявку

Заявка на премию — это рассказ в свободной форме. Не нужно раскрывать эксплоиты, любые шаги в цепочке эксплуатации могут быть полностью анонимны, а детали могут быть скрыты, важно отразить сам подход и идею.

Жюри премии обращают внимание на развернутое повествование, описание контекста и вводных, скрины и пруфы наличия уязвимостей, нестандартный подход и креативность, сложность эксплуатации, например, применение эксплоитов собственной разработки, длительный ресерч, рекомендации по устранению и другие особенности.

Подать заявку и узнать больше информации можно на сайте премии — https://award.awillix.ru/

Реклама. ООО «Авилликс». ИНН 9729279526.