Популярното хакерско състезание Pwn2Own Berlin 2026 приключи с изплатени награди за близо 1,3 милиона долара, след като участниците демонстрираха десетки успешни атаки срещу Windows, Linux, VMware, Nvidia и ИИ платформи.
Организаторите от Trend Micro Zero Day Initiative (ZDI) обявиха, че изследователите са получили общо 1 298 250 долара за откриването и демонстрацията на 47 уникални zero-day уязвимости.
Devcore и StarLabs SG доминираха състезанието
Двата най-успешни отбора – Devcore и StarLabs SG – са спечелили общо близо 750 000 долара.
Сред най-големите награди бяха:
- 200 000 долара за remote code execution атака срещу Microsoft Exchange
- 175 000 долара за sandbox escape в Microsoft Edge
- 200 000 долара за exploit срещу VMware ESX с cross-tenant code execution
Devcore е получила и допълнителни 100 000 долара за успешна атака срещу Microsoft SharePoint.
Успешни атаки срещу ИИ продукти
Тазгодишното издание показа и нарастващия интерес към сигурността на ИИ системите.
Изследователи успешно демонстрираха атаки срещу:
- LiteLLM
- OpenAI Codex
- LM Studio
Наградите за тези експлойти достигнаха до 40 000 долара.
Не всички атаки успяха
Организаторите съобщиха и за осем неуспешни опита за компрометиране на различни платформи, включително:
- Oracle Autonomous AI Database
- NV Container Toolkit
- Firefox
- Safari
- VMware ESX
- Red Hat Enterprise Linux
Скандал около отказани zero-day демонстрации
Състезанието тази година беше съпроводено и от напрежение около ограничените слотове за участие.
Според публикации на International Cyber Digest организаторите са отказали десетки работещи zero-day демонстрации заради липса на свободни места в програмата.
Това е довело до необичайна ситуация, при която част от изследователите са започнали публично да публикуват proof-of-concept демонстрации и директно да уведомяват засегнатите компании, вместо да следват традиционния модел на Pwn2Own за координирано разкриване.
Pwn2Own остава едно от най-важните събития в киберсигурността
Pwn2Own е сред най-престижните международни хакерски състезания и се организира от ZDI още от 2005 г.
Основната идея е:
- откриване на критични уязвимости
- координирано разкриване към производителите
- финансова мотивация за изследователите
- подобряване сигурността на масово използвани продукти
Състезанието традиционно привлича водещи специалисти по offensive security от цял свят.
ИИ платформите вече са сред основните цели
Тазгодишното издание ясно показа, че ИИ системите постепенно се превръщат в нова приоритетна цел за изследователите по сигурността.
С увеличаващото се внедряване на генеративен ИИ в корпоративната среда експертите очакват:
- повече атаки срещу LLM платформи
- нови типове zero-day уязвимости
- атаки срещу AI agents
- експлоатиране на интеграции между ИИ и облачни услуги
Това вероятно ще направи сигурността на ИИ една от най-активните области в offensive security през следващите години.
