Тридневното издание на Pwn2Own Berlin 2026 приключи с впечатляващ резултат: общо 47 непознати досега уязвимости бяха успешно експлоатирани в напълно актуални операционни системи, браузъри, виртуализационни платформи и AI инструменти. Състезанието отново показа колко бързо се развиват техниките за атака и колко важно е производителите да реагират в кратките 90 дни, преди детайлите да бъдат разкрити публично.
Наградният фонд достигна 1.298 милиона долара, като най-успешният екип DEVCORE си тръгна с 505 хиляди. Следват STARLabs SG с 242 хиляди и Out Of Bounds с 95 хиляди долара.
Сред най-значимите демонстрации бяха четири успешни атаки срещу Red Hat Enterprise Linux, всички довели до root достъп чрез класически, но все още опасни проблеми като integer overflow, use‑after‑free, race conditions и използване на неинициализирана памет. Подобна картина се видя и при Windows 11, където пет експлойти осигуриха администраторски права чрез комбинация от препълване на буфери, грешки в управлението на достъпа и уязвимости в паметта.
Виртуализационният слой също не остана незасегнат: VMware ESX беше компрометиран чрез уязвимост, позволяваща изпълнение на код на хост машината – една от най-високо оценените атаки в състезанието.
Тази година силно впечатление направи броят на успешните атаки срещу AI платформи. OpenAI Codex, NVIDIA Megatron Bridge, Anthropic Claude Code, LM Studio, Cursor, LiteLLM, Chroma, Ollama и Claude Desktop, всички те бяха пробити поне веднъж, а някои по няколко пъти. Изплатените награди варират от 2 500 до 40 000 долара в зависимост от тежестта на уязвимостта.
Това е ясен сигнал, че AI инструментите вече са равноправна част от атакуваната повърхност и изискват същото ниво на сигурност като традиционните платформи.
Седем атаки не успяха да бъдат завършени в рамките на времето, включително срещу VMware ESXi, Safari, SharePoint, RHEL, Firefox, OpenAI Codex, Oracle Autonomous AI Database и NV Container Toolkit. Причината не беше липса на уязвимост, а ограничението във времето – което само подчертава сложността на експлоатацията.
Пълните технически подробности за всички 0‑day уязвимости ще бъдат публикувани след 90 дни, когато производителите вече трябва да са подготвили съответните кръпки.
