A conversa na pequena sala do Berlin Hilton Hotel silenciou, todos olhando para uma das três mesas equipadas com laptops. Dois homens estavam sentados ao lado dele, um deles usando protetores de ouvido, observando atentamente a tela. Então um grito gutural: Sina Kheirkhah deu um pulo e cobriu o rosto com as mãos. Ele executou com sucesso uma exploração contra Claude Code e ganhou US$ 40.000. Pelo menos é o que ele pensa no momento.
Leia mais depois do anúncio
Mas depois descobriu-se que a falha de segurança descobriu que Kheirkhah, um membro da “Equipe de Invocação”, conhecia o Produtor Claude Anthropic e a recompensa foi reduzida para um quarto. Principalmente devido à descoberta de muitas lacunas de segurança usando IA, houve 42% mais (10 de 7) duplicatas deste tipo este ano, que são lacunas de segurança que os fabricantes já identificaram.
AI é o órgão executivo
Há também atrasos e explorações que não podem ser resolvidas – possivelmente devido a uma grande atualização de segurança pouco antes do evento. Tanto o Microsoft Patch Tuesday quanto a atualização completa do Firefox há apenas alguns dias e aparentemente tornaram algumas brechas de segurança inofensivas e, portanto, queimando para a concorrência. Em entrevista à heise security, Brian Gorenc, da ZDI, viu a colisão como um bom sinal: muitos fabricantes de software estão agora encontrando as mesmas lacunas de segurança que os localizadores profissionais de brechas usando IA, dizem os especialistas.
E graças à ajuda da IA - os participantes podem fazer isso da mesma forma que uma videoconferência com colegas em casa – novos zero dias suficientes, um total de 47. A ZDI paga um total de US$ 1.298.250 em prêmios em dinheiro e tradicionalmente dá aos participantes bem-sucedidos um laptop que mostrou façanhas (“pwn to own”).
O vencedor do evento deste ano foi a equipe DEVCORE: US$ 505 mil em prêmios em dinheiro, quase metade do prêmio total, foram para Taiwan. Ele trouxe explorações para os produtos Microsoft Sharepoint, Edge e Exchange para Berlim – a exploração do Exchange permitiu até que o servidor fosse completamente assumido. O explorador Orange Tsai disse em uma entrevista que o código de exploração foi criado pela IA, mas baseado em suas ideias e instruções.
Leia mais depois do anúncio
Pwn2Own 2026: O pesquisador Orange Tsai mostra explorações de exchange
(Imagem: heise segurança/cku)
Quando questionados sobre falhas de segurança no canto da “Sala de Divulgação”, uma sala de acesso restrito para confirmar explorações, os funcionários do atual Centro de Resposta de Segurança da Microsoft (MSRC) são apenas calados. Eles disseram que o bug era “interessante” e novo, e o moderador Dustin Childs especulou que provavelmente haveria um turno noturno de curto prazo em Redmond para consertar o bug.
O Pwn2Own acontece todos os anos e será realizado novamente à margem da conferência de segurança OffensiveCon em 2026. Anteriormente, os organizadores tinham que recusar muitas pessoas que queriam participar – faltavam apenas horários para inscrições em competições que muitas vezes eram criadas pela IA. A Zero Day Initiative disponibiliza gratuitamente todas as lacunas de segurança descobertas aos fabricantes afetados.
(meu)
