Pwn2Own Berlin 2026: как взломали ИИ, Exchange и гипервизор за три дня

Берлин, конференция OffensiveCon, 19-й по счёту Pwn2Own — и впервые за всю историю соревнования организаторы из TrendAI™ Zero Day Initiative™ (ZDI) закрыли приём заявок раньше запланированного срока: конкурс набрал максимальное количество участников ещё до дедлайна. Это само по себе говорит о многом. За три дня исследователи нашли 47 уникальных уязвимостей нулевого дня в десяти категориях продуктов, а суммарные выплаты составили 1 298 250 долларов США — абсолютный рекорд за всю историю конкурса. Соорганизатором выступила Amazon Web Services, увеличив призовой фонд за баги в своей платформе Firecracker.
Pwn2Own Berlin 2026: как взломали ИИ, Exchange и гипервизор за три дня
Изображение носит иллюстративный характер

Победителем и обладателем титула Master of Pwn стала DEVCORE Research Team с 50,5 очками и призом в 505 000 долларов. Второе место у STARLabs SG — 25 очков и 242 500 долларов. Третье у команды Out of Bounds — 12,75 очков и 95 750 долларов. Вместе с победой DEVCORE получила уникальную куртку Master of Pwn — традиционный трофей, который нельзя купить нигде.
Главная звезда недели — Orange Tsai из DEVCORE. Он атаковал Microsoft Exchange через цепочку из трёх уязвимостей: стартовав с низкопривилегированной доменной машины, он добрался до полного захвата сервера на уровне SYSTEM. За это — 200 000 долларов, максимальный приз в категории. Он же взломал Microsoft Edge, выстроив цепочку из четырёх логических багов без единой ошибки памяти. Результат: полный побег из песочницы браузера при одном посещении страницы без какого-либо взаимодействия с пользователем. Приз — 175 000 долларов. Его коллега по команде под ником splitline взломал Microsoft SharePoint через неаутентифицированный HTTP-запрос к стандартной установке, получив удалённое выполнение кода до авторизации. Это стоило 100 000 долларов.
Самым серьёзным с практической точки зрения эпизодом недели стала атака на VMware ESXi, которую провёл Nguyen Hoang Thach из STARLabs SG. Он начал изнутри гостевой виртуальной машины, вырвался на уровень хоста и затем дотянулся до другой гостевой машины на том же сервере, модифицировав её. Это так называемый побег гость-хост с межарендным выполнением кода — прямая угроза для всех многопользовательских хостинговых сред. Когда изоляция гипервизора ломается, страдает не один клиент, а весь хост целиком. Приз — 200 000 долларов.
С 2025 года в Pwn2Own существует категория ИИ. Тогда это был один раздел — что-то вроде эксперимента. В 2026-м его разбили на четыре подкатегории: AI Databases, Coding Agents, Local Inference и NVIDIA. Они заняли весь первый день соревнований, и почти всё, что выставлялось на атаку, было скомпрометировано.
    []
OpenAI Codex — через эксплуатацию доверительных границ с внешними инструментами и сервисами, результат: выполнение кода на уровне root.
[]LiteLLM — три независимые команды нашли три разных пути через те же доверительные границы, все три закончились root-доступом.
[]LM Studio — выполнение произвольного кода под контролем атакующего.
[]NVIDIA Megatron Bridge — аналогично, выполнение кода под контролем атакующего.

Также были успешно атакованы Claude, Cursor, NVIDIA Container Toolkit, Oracle AI Database, Windows 11 и Red Hat Enterprise Linux — часть случаев на момент публикации ещё проходила оценку в TrendAI™ Labs Threat Response.
Паттерн атак на ИИ-продукты оказался одинаковым во всех четырёх подкатегориях. ИИ-агенты, прокси-сервисы и локальные LLM-платформы взаимодействуют с внешними инструментами, протоколами и SDK — и наследуют их доверительные предположения, не проверяя входные данные самостоятельно. Каждый взломанный продукт упал именно там, где соприкасался с инструментом или протоколом, которому доверял без проверки. Это не изолированный баг — это архитектурная особенность, которая будет масштабироваться вместе с ростом ИИ-интеграций.
Для защиты от подобных атак исследователи ZDI рекомендуют сетевую сегментацию, поведенческий мониторинг на уровне эндпоинтов, отслеживание дерева процессов (особенно неожиданных запусков шелла из процессов ИИ-агента), мониторинг целостности файловой системы в директориях, доступных агентам, и эшелонированную защиту в целом — окно для сетевой инспекции у этих продуктов узкое.
Отдельного внимания заслуживает то, как исследователи готовили атаки. Большинство участников активно использовали ИИ-инструменты при разработке эксплойтов: для оценки поверхности атаки, поиска уязвимостей, написания кода. Работа полностью без ИИ стала исключением, а не правилом. Два года назад картина была противоположной. Это означает одно: время между выходом нового продукта и появлением рабочего эксплойта сокращается.
По итогам конкурса TrendAI™ TippingPoint™ выпустила 9 фильтров защиты к 19 мая — до того, как вендоры успели закрыть уязвимости патчами. Четыре фильтра покрывают LiteLLM, отдельные — Microsoft Edge, Microsoft Exchange и Microsoft SharePoint. Вендоры получили уведомления и имеют 90 дней на выпуск патчей; после этого ZDI публикует полные технические детали. Клиенты с актуальным пакетом фильтров TippingPoint уже защищены на сетевом уровне.
Pwn2Own существует 19 лет. Никогда прежде конкурс не закрывал приём заявок досрочно из-за переполнения. Глобальное наступательное исследовательское сообщество стало многочисленнее, лучше оснащено инструментами и активнее, чем когда-либо — и это хорошо видно по тому, что произошло в Берлине.


Новое на сайте

Ссылка