Les chercheurs en sécurité ont empoché 523 000 dollars le premier jour de Pwn2Own Berlin 2026. Ils ont exploité 24 zero-days uniques.
Orange Tsai a brillé avec une récompense de 175 000 dollars. Il a enchaîné quatre bugs logiques et il a échappé à la sandbox de Microsoft Edge.
Windows 11 a subi trois attaques distinctes. Angelboy et TwinkleStar03 du programme de stage DEVCORE ont réussi la première. Marcin Wiązowski a enchaîné la deuxième. Kentaro Kawane de GMO Cybersecurity a clos la série. Chacun a gagné 30 000 dollars pour une élévation de privilèges inédite.
Valentina Palmiotti de IBM X-Force Offensive Research a rooté Red Hat Linux pour postes de travail et elle a obtenu 20 000 dollars. Elle a aussi exploité un zero-day dans le NVIDIA Container Toolkit pour 50 000 dollars supplémentaires.
D’autres exploits ont payé : k3vg3n a neutralisé LiteLLM avec trois bugs et 40 000 dollars ; Satoki Tsuji et haehae ont visé les zero-days de NVIDIA Megatron Bridge pour 20 000 dollars ; Compass Security et maitai de Doyensec ont piraté l’agent de codage OpenAI Codex pour 40 000 dollars chacun ; haehae a encore frappé sur Chroma avec 20 000 dollars ; STARLabs SG a pris LM Studio pour 40 000 dollars.
L’équipe de recherche DEVCORE mène le classement avec 205 000 dollars. Valentina Palmiotti suit avec 70 000 dollars.
Le concours Pwn2Own Berlin 2026 cible les technologies d’entreprise et l’intelligence artificielle. Il se déroule à la conférence OffensiveCon du 14 au 16 mai.
Le deuxième jour oppose les concurrents à Microsoft SharePoint, Microsoft Exchange, Windows 11, Apple Safari, Cursor, Red Hat Enterprise Linux pour postes de travail, LM Studio, OpenAI Codex, LiteLLM, Anthropic Claude Code et Mozilla Firefox.
Les catégories couvrent navigateurs web, virtualisation, élévation locale de privilèges, serveurs, applications d’entreprise, cloud natif et conteneurs, inférence locale, et modèles de langage. Les primes dépassent un million de dollars en espèces et récompenses.
Les règles de Pwn2Own exigent des systèmes d’exploitation à jour. Chaque soumission compromet la cible et exécute du code arbitraire.
Les éditeurs corrigent les failles en 90 jours après leur divulgation au concours.
L’Initiative Zero Day de Trend Micro a distribué 1 078 750 dollars l’année dernière pour 29 vulnérabilités zero-day et quelques collisions de bugs.