Pwn2Own Berlin 2026: как хакеры взламывали ИИ с помощью самого ИИ

С 14 по 16 мая 2026 года в Берлине, на конференции OffensiveCon, прошёл очередной Pwn2Own — соревнование по поиску уязвимостей, которое организует TrendAI Zero Day Initiative (ZDI). ZDI позиционирует себя как крупнейшую независимую от вендоров программу bug bounty в мире. Второй год подряд в списке целей появились отдельные категории для ИИ-инструментов: векторные базы данных, агенты для написания кода, локальные системы инференса и решения Nvidia. Из 13 заявленных целей участники атаковали 10. Итоговый призовой фонд составил чуть меньше 1,3 млн долларов США, а количество поданных заявок стало рекордным за всю историю соревнования.
Pwn2Own Berlin 2026: как хакеры взламывали ИИ с помощью самого ИИ
Изображение носит иллюстративный характер

Главная особенность Berlin 2026 состояла в том, что искусственный интеллект оказался одновременно по обе стороны баррикад. Все без исключения участники применяли языковые модели в своей работе: для написания обязательных white paper к каждому эксплойту, для перевода технических текстов (команды, для которых английский не родной, признавали, что использовали LLM, хотя результат иногда звучал немного странно), а также непосредственно для поиска уязвимостей. При этом целями атак были сами ИИ-продукты — Claude Code от Anthropic, Codex от OpenAI, Cursor, Ollama, LM Studio, LiteLLM, ChromaDB, Oracle Autonomous AI Database, а также Nvidia Megatron Bridge и Nvidia Container Toolkit.
Ollama, инструмент для локального запуска моделей вроде Google Gemma 4, GPT-OSS от OpenAI или эмбеддингов Nomic, привлёк особое внимание по одной простой причине: огромное количество его экземпляров открыто торчит в интернете, что делает его лакомой целью. Команда Out Of Bounds нашла в Ollama две ошибки, одна из которых уже была известна, но патча к ней так и не вышло. Критичность находки в том, что эксплуатация позволяет выйти за пределы модели и получить доступ к хост-системе. Ollama часто обновляется, что усложняет разработку рабочего эксплойта: к моменту применения он может устареть, но сам факт уязвимости говорит о системной проблеме.
Nvidia Container Toolkit — набор библиотек, позволяющих Docker- и Kubernetes-контейнерам обращаться к GPU, в том числе для инференса языковых моделей — атаковали три раза, и два из них закончились успешно. Победителями стали Valentina Palmiotti (она же Chompie) из IBM X-Force и команда PWN2DACA. Важный нюанс: для эксплуатации атакующему нужен хотя бы минимальный начальный доступ к контейнерному окружению. Но на реальных объектах это зачастую достижимо через цепочку более мелких уязвимостей. Результат успешной атаки — доступ к контейнеру или к хост-системе целиком. Среди CVE прошлого года именно в этой категории зафиксирована CVE-2025-23266 (ZDI-25-626) — повышение привилегий в Nvidia Container Toolkit, ставшая одной из первых находок в ИИ-специфичных категориях соревнования.
LM Studio функционально похож на Ollama, но с более удобным интерфейсом и поддержкой RAG (Retrieval-Augmented Generation). Обычно он работает локально и в интернет не выставляется, что снижает риск, но не устраняет его. Приложение построено на Electron — фреймворке для создания десктопных приложений на базе веб-технологий, у которого исторически хватает своих уязвимостей. Баги нашли OtterSec и STARLabs; команда Qrious Secure сняла заявку, не объясняя причин.
Все три агента для написания кода — Claude Code, OpenAI Codex и Cursor — оказались уязвимы по схожим причинам. Не в самих языковых моделях дело, а в базовых фреймворках, на которых эти агенты работают. Привычные инструменты разработчика за последние годы обросли возможностями, которые в связке с GenAI превращаются в уязвимости. Отдельная проблема: агенты просят пользователей принять на себя риски, оценить которые те попросту не в состоянии. Cursor атаковали команды Viettel и STARLabs — оба раза успешно. OpenAI Codex пытались взломать пять команд; найденные баги оказались схожи по природе, большинство засчитали как уникальные, один эксплойт не сработал, один стал дублем. Claude Code атаковали четыре команды, при этом два результата признали коллизиями — уязвимость уже нашли ранее в рамках того же соревнования. Это вопрос удачи: кто успел подать заявку первым, тот и получил вознаграждение.
ChromaDB — опенсорсная база данных для векторного поиска, широко применяемая в ИИ-приложениях. Многие её экземпляры тоже открыты в интернете. Команда Out Of Bounds, уже отметившаяся на Ollama, нашла в ChromaDB удалённый эксплойт, дающий доступ к защищённым инстанциям и потенциально к хост-системе. Проблема усугубляется тем, что векторные базы хранят данные, которые могут быть весьма чувствительными — корпоративные документы, личные данные пользователей, фрагменты кода. Попутно стоит упомянуть CVE-2025-49844 (ZDI-25-933) — критическую уязвимость типа use-after-free в Redis, тоже обнаруженную в рамках ИИ-категорий прошлого года. Oracle Autonomous AI Database атаковала одна команда, безрезультатно. Nvidia Megatron Bridge — инструмент конвертации моделей между форматами Hugging Face и Nemotron — пытались взломать четыре команды, несколько эксплойтов сработали, вектор атаки — манипуляция входными данными; последняя заявка оказалась дублем.
Что касается применения ИИ непосредственно в соревновательной работе: все команды использовали кодинг-агентов на этапе поиска уязвимостей, и все столкнулись с высоким процентом ложных срабатываний. Никто этого не скрывал. Часть команд применяла GenAI для обфускации атак и обхода EDR-систем. Из наблюдений за работой агентских инструментов складывается неоднозначная картина: под капотом всё оказалось проще, чем ожидалось. Никаких SMT-солверов, никаких графов зависимостей программ — в основном grep, find, простой Python и загрузка релевантного контента из сети. Агент хорошо справляется с быстрым чтением больших объёмов кода и одинаково уверенно работает с любыми языками, будь то Rust или Go. Ключевое преимущество — скорость, а не глубина анализа. Расход токенов при этом колоссальный. Один принципиальный вывод звучит так: «Обвязка, которая управляет GenAI-моделью, может оказаться важнее самой модели».
Anthropic в ходе соревнования упомянули в связи с инструментом Mythos — внутренним решением для анализа безопасности, которое во время Pwn2Own публично не было доступно. После соревнования оно вышло под названием Fable 5, но с ограничениями, которые существенно снижают его практическую ценность для независимых исследователей безопасности.
Смотря на то, что происходит сейчас, несложно представить Pwn2Own 2027. Участники, вероятно, начнут строить собственные специализированные обвязки для поиска уязвимостей, причём с использованием локальных моделей — чтобы не сливать информацию об уязвимостях в облако. Тема «вайб-кодинга» станет острее: когда разные проекты генерируют похожий код с помощью одних и тех же LLM, уязвимость в одном месте автоматически оказывается уязвимостью во многих местах. Атаки на цепочку поставок программного обеспечения продолжат расти. Инструменты разработчиков, ставшие рычагами для эксплуатации, никуда не денутся. Темп нарастает с обеих сторон: разработка ускоряется, поиск уязвимостей тоже. По всей видимости, в следующем году будет больше заявок и больше отзывов — в той же пропорции.


Новое на сайте

Ссылка