Pwn2Own Berlin 2026: Hacker knacken 24 Zero-Day-Lücken an nur einem Tag
Lidia Hartung
Pwn2Own Berlin 2026: Hacker knacken 24 Zero-Day-Lücken an nur einem Tag
Pwn2Own Berlin 2026 startet mit einer Welle erfolgreicher Angriffe
Der erste Tag des Pwn2Own Berlin 2026 war geprägt von einer Flut gelungener Exploits: Sicherheitsforscher deckten 24 bisher unbekannte Schwachstellen in weitverbreiteter Software auf und erhielten dafür über eine halbe Million US-Dollar an Prämien. Bei der Veranstaltung wurden 22 Beiträge eingereicht, wobei hochkarätige Ziele wie Microsoft Edge, Windows 11 und KI-Tools von geschickten Angreifern kompromittiert wurden.
Das DEVCORE Research Team führte die Rangliste mit 205.000 US-Dollar an. Ihr Höhepunkt war ein Angriff von Orange Tsai, der vier logische Fehler kombinierte, um aus der Sandbox von Microsoft Edge auszubrechen – allein dafür erhielt er 175.000 US-Dollar. Dieser Exploit zählte zu den komplexesten und lukrativsten des Tages.
Valentina Palmiotti von IBM X-Force Offensive Research folgte mit 70.000 US-Dollar aus zwei erfolgreichen Angriffen. Das Team STARLabs SG sicherte sich 40.000 US-Dollar, nachdem es eine Zero-Day-Lücke in LM Studio aufgedeckt hatte, einem beliebten KI-Entwicklungswerkzeug.
Windows 11 war ein häufiges Ziel und wurde drei Mal von verschiedenen Forschern angegriffen – jeder erfolgreiche Exploit brachte den Entdeckern 30.000 US-Dollar ein. Auch OpenAIs Codex, ein KI-basierter Programmierassistent, wurde zweimal geknackt, wobei zwei unabhängige Teams jeweils 40.000 US-Dollar erhielten.
Ein weiterer Höhepunkt: k3vg3n nutzte drei verschiedene Schwachstellen, um LiteLLM zum Absturz zu bringen, und kassierte dafür 40.000 US-Dollar. Satoki Tsuji von Ikotas Labs missbrauchte eine zu großzügige Freigabeliste in NVIDIAs Megatron Bridge und steuerte weitere 20.000 US-Dollar zur Tagesbilanz bei.
Am Ende des ersten Tages hatten die Teilnehmer insgesamt 523.000 US-Dollar an Prämien eingestrichen. Die Veranstaltung zeigte einmal mehr, wie anhaltend verwundbar weitverbreitete Software ist – von Betriebssystemen bis hin zu KI-Tools. Die Organisatoren bestätigten, dass alle offengelegten Schwachstellen nun gepatcht und behoben werden.
