Pwn2Own Berlin 2026 の 2 日目には、複数製品の 15 個の固有なゼロデイ脆弱性を悪用した競技参加者が、Windows 11、マイクロソフト Exchange、Red Hat Enterprise Linux for Workstations を含む製品での合計 385,750 ドルの現金報酬を獲得しました。
Pwn2Own Berlin 2026 ハッキング競技会は OffensiveCon カンファレンスで 5 月 14 日から 5 月 16 日に開催され、エンタープライズテクノロジーと人工知能に焦点を当てています。
セキュリティ研究者は、ウェブブラウザ、エンタープライズアプリケーション、クラウドネイティブ/コンテナ環境、仮想化、ローカル権限昇格、サーバ、ローカル推論、LLM カテゴリーの完全にパッチされた製品をハッキングすることで、100 万ドルを超える現金と賞品を獲得できます。
Pwn2Own のルールによると、すべてのターゲットデバイスは最新のオペレーティングシステムバージョンを実行し、すべてのエントリはターゲットを侵害して任意のコード実行を実証する必要があります。ベンダーはゼロデイが Pwn2Own で開示された後、ソフトウェアとハードウェアをパッチするまでに 90 日間の期間があります。
2 日目のハイライトは、DEVCORE Research Team の Cheng-Da Tsai(別名 Orange Tsai)が 3 つのバグをチェーンして マイクロソフト Exchange で SYSTEM 権限のリモートコード実行を獲得した後、200,000 ドルを獲得したことです。
Siyeon Wi は整数オーバーフロー バグを悪用して Windows 11 をハッキングした後 7,500 ドルを集め、Team DDOS の Ben Koo は Red Hat Enterprise Linux for Workstations で root へ権限を昇格させて 10,000 ドルの現金賞を獲得し、0xDACA と Noam Trobinski は Use-After-Free バグを使用して NVIDIA Container Toolkit を悪用しました。
AI カテゴリーでは、Viettel Cyber Security の Le Duc Anh Vu が Cursor AI コーディングエージェントをハッキングして 30,000 ドルを獲得し、Summoning Team の Sina Kheirkhah が OpenAI Codex ゼロデイのデモを実施し(20,000 ドル)、Compass Security が Cursor を悪用しました(15,000 ドル)。
検証ギャップ:自動ペネトレーションテストは 1 つの質問に答えます。あなたは 6 つの質問が必要です。
自動ペネトレーションテストツールは実際の価値を提供しますが、これらは 1 つの質問に答えるために構築されました:攻撃者がネットワークを移動できるか。これらは、コントロールが脅威をブロックするか、検出ルールが起動するか、またはクラウド構成が保持するかをテストするために構築されていません。
このガイドは、実際に検証する必要がある 6 つの表面をカバーしています。
