Pwn2Own Berlin 2025, güvenlik araştırmacılarının 47 adet sıfır gün (zero-day) güvenlik açığı keşfetmesiyle sona erdi. TrendAI'nin Zero Day Initiative (ZDI) tarafından düzenlenen üç günlük etkinlikte toplam 1,3 milyon doların üzerinde ödül dağıtıldı. Yarışmanın en büyük kazananı, 505 bin dolar ile Devcore ekibi oldu. Bu yılki etkinlik, kurumsal odaklı olarak yapay zeka veritabanları, kodlama ajanları ve NVIDIA ürünlerine yönelik saldırılara sahne oldu.
Yarışmanın öne çıkan anları arasında STARLabs SG'den Nguyen Hoang Thach'ın VMware ESXi'de bir bellek bozulması hatası kullanarak çapraz kiracı kod yürütme eklentisini exploit etmesi ve 200 bin dolar kazanması yer aldı. Devcore Araştırma Ekibi'nden 'splitline' ise Microsoft SharePoint'te iki hatayı birleştirerek 100 bin dolar, Orange Tsai ise Microsoft Exchange'de üç hatayı zincirleyerek sistem seviyesinde uzaktan kod yürütme başardı ve 200 bin dolar ödül aldı. Ayrıca Orange Tsai, Microsoft Edge'de dört mantık hatasını birleştirerek sanal alan kaçışı gerçekleştirdi ve 175 bin dolar kazandı.
Pwn2Own Berlin 2025, yapay zeka odaklı bir etkinlik olarak dikkat çekti. Yarışmada Chroma, Postgres pgvector ve Oracle Autonomous AI Database gibi AI veritabanlarının yanı sıra ilk kez Cursor, Claude Code ve OpenAI Codex gibi kodlama ajanları da hedef alındı. ZDI tehdit farkındalığı başkanı Dustin Childs, 'Vibe coding' olarak adlandırılan yapay zeka ile kodlama araçlarının güvenliğine dikkat çekti. Ayrıca Ollama, LiteLLM, LM Studio ve Llama.cpp gibi büyük dil modelleri (LLM) de yarışmada yer aldı.
Detaylar ve Etkileri
NVIDIA cephesinde ise araştırmacılar, Megatron Bridge, NV Container Toolkit ve Dynamo ürünlerini hacklemeye çalıştı. Keşfedilen tüm güvenlik açıkları, sorumlu bir şekilde ilgili satıcılara bildirilecek. ZDI, satıcılara güvenlik yamalarını yayınlamaları için 90 gün süre tanıyacak, ardından açıkları kamuoyuna duyuracak. Bu etkinlik, kurumsal yazılımlardaki ve yapay zeka sistemlerindeki güvenlik açıklarının ciddiyetini bir kez daha gözler önüne serdi.