No primeiro dia do Pwn2Own Berlin 2026, pesquisadores de segurança somaram US$ 523.000 em prêmios em dinheiro após explorar 24 zero-days diferentes.
O destaque do dia foi a tentativa de Orange Tsai, que recebeu US$ 175.000 em recompensas depois de encadear quatro bugs lógicos para realizar uma fuga de sandbox no Microsoft Edge.
O Windows 11 também foi comprometido três vezes por Angelboy e TwinkleStar03, em parceria com o DEVCORE Internship Program, por Marcin Wiązowski e por Kentaro Kawane, da GMO Cybersecurity.
Cada um recebeu US$ 30.000 em prêmios em dinheiro ao demonstrar novos zero-days de escalada de privilégios.
Valentina Palmiotti, conhecida como chompie, da IBM X-Force Offensive Research (XOR), também recebeu US$ 20.000 após obter privilégios de root no Red Hat Linux for Workstations e mais US$ 50.000 por um zero-day no NVIDIA Container Toolkit.
Entre as outras tentativas bem-sucedidas estão a de k3vg3n, que encadeou três bugs para derrubar o LiteLLM e recebeu US$ 40.000; a de Satoki Tsuji e haehae, que exploraram zero-days no NVIDIA Megatron Bridge e dividiram US$ 20.000; a de Compass Security e maitai, da Doyensec, que comprometeram o agente de programação Codex, da OpenAI, com US$ 40.000 para cada; a de haehae, que derrubou um zero-day no Chroma e recebeu US$ 20.000; e a da STARLabs SG, que explorou um zero-day no LM Studio e ganhou US$ 40.000.
A DEVCORE Research Team lidera a competição com US$ 205.000, seguida por Valentina Palmiotti, com US$ 70.000.
Pesquisadores que miram produtos totalmente corrigidos nas categorias de navegador, virtualização, escalada local de privilégios, servidores, aplicações corporativas, cloud-native/container, inferência local e LLM podem ganhar mais de US$ 1.000.000 em dinheiro e prêmios.
De acordo com as regras do Pwn2Own, todos os dispositivos-alvo executam as versões mais recentes dos sistemas operacionais, e todas as inscrições precisam comprometer o alvo e demonstrar execução arbitrária de código.
Depois que as falhas zero-day são reveladas durante a competição, os fornecedores têm 90 dias para lançar correções de segurança para seus produtos de software e hardware.
No ano passado, a Zero Day Initiative, da Trend Micro, distribuiu US$ 1.078.750 por 29 vulnerabilidades zero-day e por algumas colisões de bugs.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...