Pwn2Own Berlin 2026: Dia 1 distribui US$ 523 mil e mostra IA corporativa como nova fronteira ofensiva

O primeiro dia do Pwn2Own Berlin 2026 terminou com US$ 523 mil em prêmios distribuídos e 24 zero-days demonstrados em apenas 22 tentativas. Orange Tsai, da DEVCORE, abocanhou US$ 175 mil ao encadear quatro bugs lógicos para fugir do sandbox do Microsoft Edge — a maior premiação individual do dia. Valentina Palmiotti, da IBM X-Force, levou US$ 70 mil com exploits contra NVIDIA Container Toolkit e Red Hat Enterprise Linux. Plataformas de IA, alvos inéditos nesta edição, caíram diante de exploits em LiteLLM e NVIDIA Megatron Bridge — sinalizando que o ecossistema de inferência corporativa entrou definitivamente no radar dos pesquisadores ofensivos.

O que aconteceu

O Pwn2Own é a competição mais tradicional de divulgação responsável de vulnerabilidades zero-day, organizada pela Zero Day Initiative (ZDI) da Trend Micro. A edição de Berlim 2026 reuniu 22 tentativas no dia de abertura, cobrindo navegadores, sistemas operacionais, infraestrutura corporativa e — pela primeira vez em larga escala — plataformas de inteligência artificial. Ao final do primeiro dia, o placar mostrava 24 falhas únicas exploradas com sucesso e mais de meio milhão de dólares pagos.

O destaque absoluto do dia foi Orange Tsai, pesquisador veterano da equipe taiwanesa DEVCORE. Ele encadeou quatro bugs lógicos distintos para escapar do sandbox do Microsoft Edge, um feito tecnicamente exigente que rendeu US$ 175 mil e 17,5 pontos no ranking Master of Pwn em uma única apresentação. A façanha reforça o papel do Pwn2Own como vitrine para vulnerabilidades complexas que, fora desse ambiente controlado, demorariam muito tempo para virem à tona.

Valentina Palmiotti (conhecida como chompie1337), da IBM X-Force Offensive Research, fez o segundo melhor desempenho individual com duas vitórias: US$ 50 mil por um zero-day no NVIDIA Container Toolkit e mais US$ 20 mil ao escalar privilégios para root no Red Hat Enterprise Linux for Workstations usando uma race condition.

Detalhes técnicos das exploraçoes

A cadeia de Orange Tsai contra o Edge é uma demonstração clássica de exploit moderno: bugs lógicos puros, sem corrupção de memória, sem necessidade de bypass de mitigações como CFG ou ACG. Em vez disso, a falha reside em assunções incorretas sobre fluxo de execução entre componentes — exatamente o tipo de problema que ferramentas de fuzzing tradicionais raramente encontram. É o terreno onde a engenhosidade humana ainda supera a automação.

“Orange Tsai (@orange_8361), da equipe DEVCORE Research (@d3vc0r3), encadeou 4 bugs lógicos para conseguir escapar do sandbox no Microsoft Edge, ganhando US$ 175.000 e 17,5 pontos no Master of Pwn.”

Anúncio oficial da Zero Day Initiative

Do lado da infraestrutura de IA, Satoki Tsuji do Ikotas Labs explorou uma vulnerabilidade de allowed list excessivamente permissiva no NVIDIA Megatron Bridge — produto usado para servir modelos de linguagem em larga escala — embolsando US$ 20 mil. O pesquisador identificado apenas como haehae coletou outros US$ 20 mil por um segundo zero-day no mesmo Megatron Bridge, deixando claro que o componente entregou múltiplas superfícies de ataque exploráveis na competição.

O ataque mais notável contra IA, porém, foi o de k3vg3n, que combinou três bugs distintos — incluindo Server-Side Request Forgery (SSRF) e Code Injection — para derrubar o LiteLLM, um proxy popular para acesso unificado a APIs de modelos. O exploit valeu US$ 40 mil e 4 pontos no Master of Pwn, configurando uma “full win” na nomenclatura da competição. SSRF em pipelines de IA é especialmente perigoso porque pode permitir que o atacante alcance metadata services em clouds (AWS IMDS, GCP metadata) e exfiltre credenciais temporárias.

Quem foi atingido

• Microsoft Edge — sandbox escape via cadeia de quatro bugs lógicos
• NVIDIA Container Toolkit — zero-day permitindo escape de contêiner
• NVIDIA Megatron Bridge — duas falhas distintas em allowed lists
• Red Hat Enterprise Linux for Workstations — race condition para escalada a root
• LiteLLM — combinação de SSRF + Code Injection comprometendo o proxy de IA

Nem todas as tentativas foram bem-sucedidas. Le Duc Anh Vu, da Viettel Cyber Security, não conseguiu fazer seu exploit contra o OpenAI Codex funcionar dentro do tempo regulamentar. Park Jae Min também viu sua tentativa contra o Oracle Autonomous AI Database não prosperar. A presença desses alvos no escopo, ainda que com tentativas frustradas, é por si só uma sinalização clara: a comunidade ofensiva está investindo tempo em pesquisar a stack de IA corporativa em profundidade.

Análise

O Pwn2Own Berlin 2026 marca um ponto de inflexão na agenda de pesquisa ofensiva. Por anos a competição foi dominada por bugs de browser, kernel e hipervisor — territórios maduros, com superfícies de ataque bem mapeadas e ferramental sofisticado. A entrada em peso de plataformas de IA (LiteLLM, Megatron Bridge, OpenAI Codex, Oracle Autonomous AI Database) reflete o que vem acontecendo no mercado: empresas estão expondo APIs de inferência, plugins e agents no caminho crítico de produção, frequentemente com revisões de segurança aceleradas para acompanhar o ritmo dos lançamentos.

A combinação SSRF + Code Injection demonstrada contra o LiteLLM é particularmente reveladora. SSRF é uma classe de bug clássica que assombra aplicações web há décadas, mas ela ganha potência quando aplicada a proxies de IA: esses serviços tipicamente fazem requisições outbound para múltiplos provedores (OpenAI, Anthropic, Google, modelos locais), e qualquer falha em validar o destino da requisição vira uma porta para a rede interna ou cloud metadata. O fato de um pesquisador ter conseguido encadear isso com Code Injection em uma “full win” sugere que a base de código do LiteLLM tem trabalho de hardening pela frente.

Outro recado importante: a NVIDIA, que tradicionalmente concentra esforço de segurança em drivers gráficos e CUDA, agora vê seu stack de orquestração para IA — Container Toolkit e Megatron Bridge — sob escrutínio direto. Três zero-days em produtos NVIDIA no primeiro dia mostram que o crescimento explosivo da empresa no segmento de IA empresarial vem acompanhado da maturação de uma superfície de ataque inteiramente nova, com classes de bug que vão muito além das tradicionais falhas de driver.

Comparado ao Pwn2Own Vancouver 2025, o ticket médio por exploit subiu — sinal de que a ZDI está alocando bounties mais agressivos para categorias estratégicas. Ao mesmo tempo, a presença da DEVCORE no topo do leaderboard com US$ 205 mil reforça o domínio dos times asiáticos em pesquisa de browser e kernel, uma tendência consolidada nos últimos cinco anos.

Recomendações práticas

• Times de segurança devem acompanhar de perto os advisories da ZDI nos próximos 90 dias — fornecedores afetados (Microsoft, NVIDIA, Red Hat, BerriAI/LiteLLM) terão essa janela para emitir patches antes da divulgação pública detalhada.
• Para quem opera LiteLLM em produção, priorize restringir egress de rede ao mínimo necessário, bloqueie acesso a IMDS de cloud providers (AWS 169.254.169.254, GCP metadata) e implemente allow-list rigorosa de destinos válidos.
• Ambientes que usam NVIDIA Container Toolkit devem revisar isolamento de contêineres GPU, mantendo runtime atualizado e considerando gVisor ou Kata Containers como camada adicional para cargas sensíveis.
• Equipes de patching de endpoint devem programar janela acelerada para a próxima Patch Tuesday do Edge, dado o histórico de exploração rápida de bugs divulgados em Pwn2Own.
• Operações Red Hat devem monitorar o Bugzilla da distribuição para o patch de race condition; até lá, reforce auditoria de eventos de escalada de privilégio via auditd.
• CISOs devem incluir plataformas de IA (proxies, gateways, vector stores, runtimes de modelos) no escopo de pentests trimestrais — a superfície de ataque dessa stack ainda não está coberta pela maturidade dos testes tradicionais.

Ao final do primeiro dia, a DEVCORE lidera com US$ 205 mil, seguida por Valentina Palmiotti com US$ 70 mil. O segundo dia traz Microsoft SharePoint, Microsoft Exchange, Apple Safari, Mozilla Firefox, Cursor, Anthropic Claude Code e mais tentativas contra plataformas de IA e sistemas operacionais — uma agenda que promete elevar ainda mais a barra do que pode ser considerado superfície de ataque crítica em 2026.

Fonte: Security Affairs