Pwn2Own Berlin 2026 - Microsoft Edge, Windows 11 i AI platforme pале pred istraživačima
Na Pwn2Own Berlin 2026 istraživači su hakovali Edge, Windows 11 i AI platforme, otkrivajući 24 zero-day nedostaka vrednih 523.000 dolara.
Šta se desilo?
Na takmičenju Pwn2Own Berlin 2026, bezbednosni istraživači su prvi dan uspešno iskoristili 24 nedostaka nula-dana (zero-day) u nekoliko kritičnih sistema. Hakovani su Microsoft Edge, Windows 11, LiteLLM i brojne AI platforme, što je istraživačima donelo nagrade od 523.000 dolara. Rezultati pokazuju da su AI ekosistemi i enterprise tehnologije sada glavne mete napadača koji koriste sofisticirane, ulančane napade.
Koga pogađa?
Rizik pogađa sve korisnike Windows 11 i Microsoft Edge pregledača, kao i kompanije koje koriste LiteLLM i druge AI razvojne alate. Preduzeća u IT i tehnološkim sektorima, kao i online platforme koje zavisе od modernih browsera i AI infrastrukture, su u najvećoj opasnosti. Problemi su otkriveni i u NVIDIA Megatron Bridge, OpenAI Codex i IBM X-Force alatima.
Kako se zaštititi?
- Hitno instalirajte sve dostupne sigurnosne zakrpe za Windows 11, posebno one koje se tiču eskalacije privilegija i upravljanja pristupom
- Ažurirajte Microsoft Edge na najnoviju verziju čim bude dostupna sa popravkama
- Pregledajte i ažurirajte LiteLLM i druge AI razvojne alate na najnovije verzije
- Implementirajte stroga ograničenja za SSRF (Server-Side Request Forgery) napade u svojoj AI infrastrukturi
- Redovno monitorujte i patchujte sve poznatе ranjivosti umesto čekanja na nove napade
- Primenjujte princip minimalnih dozvola (least privilege) u pristupnim kontrolama
Tehnički detalji
DEVCORE istraživački tim je iskoristio lanac od četiri logičke ranjivosti u Microsoft Edge-u čime je izbjegnut sandbox, što je vredno 175.000 dolara. Windows 11 je bio meta heap-based buffer overflow i use-after-free napada koji su doveli do eskalacije privilegija. U LiteLLM-u su otkriveni SSRF, injection ranjivosti i problemi sa pristupnom kontrolom. NVIDIA Megatron Bridge je падан kroz path-traversal napade, a IBM X-Force je iskoristio nedostatak u NV Container Toolkit-u. Neki od napada su se bazirali na poznatim ranjivostima (CWE-150 u OpenAI Codex).
Preporuka Sajber Radara
Takmičenje Pwn2Own Berlin 2026 jasno pokazuje da su AI platforme i razvojni alati postali primarni ciljevi naprednih napadača. Organizacije moraju urgentno primeniti dostupne sigurnosne zakrpe i provesti detaljne provere svojih AI infrastruktura i aplikacija koje koriste eksterne inpute i API-je.