Microsoft Edge, Windows 11 и ИИ платформи сред основните цели на хакерите
Международното състезание по етично хакерство Pwn2Own Berlin 2026 стартира ударно, след като още в първия ден изследователи по сигурността спечелиха общо 523 000 долара за успешни атаки срещу модерни корпоративни системи, браузъри и платформи с изкуствен интелект.
Форумът, организиран от Trend Micro чрез инициативата Zero Day Initiative, се провежда в рамките на конференцията OffensiveCon 2026 между 14 и 16 май и тази година е фокусиран върху корпоративни технологии, контейнери, локални LLM решения и ИИ инструменти.
Orange Tsai проби Microsoft Edge чрез верига от логически грешки
Най-впечатляващата демонстрация през деня беше дело на известния изследовател Ориндж Цаи. Той успя да комбинира четири логически уязвимости, за да извърши sandbox escape срещу Microsoft Edge.
Атаката му донесе награда от 175 000 долара и се превърна в едно от най-значимите постижения на първия ден от състезанието.
Windows 11 компрометиран три пъти
Операционната система Windows 11 също беше успешно компрометирана в три отделни демонстрации.
Сред участниците, които показаха zero-day privilege escalation атаки, бяха:
- Angelboy и TwinkleStar03, работещи по програмата DEVCORE Internship Program
- Марчин Вязовски
- Кентаро Кауане
Всеки от тях получи по 30 000 долара за демонстриране на нови локални privilege escalation уязвимости.
Red Hat Linux и NVIDIA също паднаха
Изследователката Валентина Палмиоти, известна още като “chompie”, реализира успешна атака срещу Red Hat Enterprise Linux за работни станции, което ѝ донесе 20 000 долара.
Тя добави още 50 000 долара след откриване на zero-day уязвимост в NVIDIA Container Toolkit.
ИИ платформите се превръщат в основна мишена
Тазгодишното издание ясно показа, че платформите с изкуствен интелект вече са сред най-атрактивните цели за изследователите по сигурността.
Сред успешните атаки през първия ден бяха:
- k3vg3n – комбиниране на три уязвимости срещу LiteLLM за 40 000 долара
- Satoki Tsuji и haehae – zero-day експлойти срещу NVIDIA Megatron Bridge
- Compass Security и maitai – пробиви в OpenAI Codex
- haehae – атака срещу Chroma
- STARLabs SG – успешен exploit срещу LM Studio
DEVCORE Research Team поведе класирането
След първия ден лидер в състезанието е DEVCORE Research Team с общо 205 000 долара приходи от демонстрирани уязвимости.
На второ място се нарежда Валентина Палмиоти със 70 000 долара.
Предстоят още атаки срещу Microsoft, OpenAI и Mozilla
Във втория ден от състезанието участниците ще се опитат да компрометират:
- Microsoft SharePoint
- Microsoft Exchange
- Apple Safari
- Cursor
- Anthropic Claude Code
- Mozilla Firefox
Организаторите обявиха, че общият награден фонд надхвърля 1 милион долара за успешни атаки срещу напълно обновени системи в категориите браузъри, виртуализация, enterprise приложения, cloud-native среди и LLM технологии.
90 дни за реакция от производителите
Съгласно правилата на Pwn2Own, всички доставчици получават 90 дни за разработване и публикуване на пачове след разкриването на уязвимостите.
Миналата година инициативата изплати над 1 078 750 долара за 29 zero-day уязвимости и множество collision атаки, което подчертава нарастващото значение на offensive security изследванията за глобалната индустрия.
