Güvenlik araştırmacıları, Pwn2Own Berlin'de 47 sıfır gün güvenlik açığını keşfettikten sonra 1,3 milyon dolara yakın ödül aldı.
TrendAI'nin Zero Day Initiative (ZDI) sponsorluğunda 14 Mayıs ile 16 Mayıs tarihleri arasında düzenlenen üç günlük etkinliği, 505.000 dolarlık devasa bir para ödülü talep eden Devcore ekibi kazandı.
Uzun süredir devam eden etkinliğin bu edisyonunda, tamamı rakip ekipler tarafından hedeflenen yapay zeka veritabanları, kodlama aracıları, yerel çıkarımlar ve NVIDIA ürünleriyle kurumsal bir odak vardı.
Teknik Analiz
Her zaman olduğu gibi, yeni keşfedilen güvenlik açıkları, güvenlik güncellemelerine dahil edilmek üzere ilgili satıcılara sorumlu bir şekilde açıklanacaktır. ZDI bunları kamuya açıklamadan önce güvenlik yamalarını yayınlamak için 90 günleri var.
Gelecekte Ne Bekleniyor?
Güvenlik açığı yönetimi hakkında daha fazlasını okuyun: Pwn2Own, Sıfır Tıklamayla WhatsApp İstismarına 1 Milyon Dolar Teklif Ediyor.
Önemli Gelişmeler
Bu yılki yarışmanın öne çıkanları arasında şunlar vardı:
STARLabs SG'den Nguyen Hoang Thach, kiracılar arası kod yürütme eklentisiyle VMware ESXi'den yararlanmak için bir bellek bozulması hatasını kullanarak 200.000 ABD doları kazandı
Sistem Güvenliği
Devcore Araştırma Ekibinin "bölünmüş çizgisi" Microsoft SharePoint'ten yararlanmak için iki hatayı zincirledi ve 100.000 dolar kazandı
Devcore Araştırma Ekibinden Orange Tsai, Microsoft Exchange'de sistem olarak uzaktan kod yürütmeyi sağlamak için üç hatayı zincirledi ve 200.000 ABD doları kazandı
Devcore'dan Orange Tsai, Microsoft Edge'de sanal alandan kaçış sağlamak için dört mantık hatasını zincirledi ve 175.000 dolar kazandı
Pwn2Berlin 2026: Yapay Zeka Odaklı
Uzmanların Görüşleri
OffensiveCon fuarında düzenlenen bu yılki Berlin etkinliğinde yine yapay zekaya ağırlık verildi.
Chroma, Postgres pgvector ve Oracle Autonomous AI Database gibi yapay zeka veritabanlarının yanı sıra ilk kez Cursor, Claude Code ve OpenAI Codex kodlama aracılarını da içeriyordu.
Detaylar ve Etkileri
"Bir noktada muhtemelen hepimiz bir şeyleri titreşimle kodlamışızdır. Bunda utanılacak bir şey yok ama titreşim kodlaması için kullandığımız araçlar ne kadar güvenli?" dedi ZDI tehdit farkındalığı başkanı Dustin Childs.
"Başarılı bir giriş, kodlama aracısındaki bir güvenlik açığından yararlanmak için yarışmacı tarafından kontrol edilen bir kaynakla (ör. web sayfası, veri havuzu, medya dosyası) etkileşime girmelidir. Girişin saldırı vektörü, ortak bir kodlama aracısı kullanım durumu olmalıdır."
Nasıl Önlem Alınmalı?
Ollama, LiteLLM, LM Studio ve Llama.cpp dahil olmak üzere geniş dil modeli (LLM) alanındaki büyük isimlerin çoğu da oradaydı.
Sonuç ve Değerlendirme
Konu NVIDIA'ya gelince, rakipler satıcının Megatron Bridge, NV Container Toolkit ve Dynamo tekliflerini hackleyerek şanslarını denediler.