Pwn2Own Berlin 2026: Hacker knacken 24 Zero-Days und kassieren über 500.000 Dollar
George Benthin
Pwn2Own Berlin 2026: Hacker knacken 24 Zero-Days und kassieren über 500.000 Dollar
Erster Tag des Pwn2Own Berlin 2026: Hacker erbeuten über eine halbe Million Dollar an Prämien
Cashback bei deinen
Lieblingsrestaurants und Services
Kaufe Gutscheine und spare in deinen Lieblingsorten in deiner Nähe
Am ersten Tag des Pwn2Own Berlin 2026 haben Sicherheitsforscher mehr als eine halbe Million US-Dollar an Prämien eingestrichen. Insgesamt wurden 24 bisher unbekannte Schwachstellen (Zero-Days) in führenden Softwareplattformen erfolgreich ausgenutzt. Bei der Veranstaltung traten 22 Teams an, wobei hochkarätige Ziele wie Systeme von Microsoft, NVIDIA und OpenAI im Fokus standen.
Das DEVCORE Research Team führte die Rangliste mit insgesamt 205.000 Dollar an. Besonders herausragend war Orange Tsai, der allein 175.000 Dollar für das Überwinden der Sandbox von Microsoft Edge erhielt. Damit setzte sich das Team früh als Spitzenreiter durch.
Zwei verschiedene Gruppen erhielten jeweils 40.000 Dollar, nachdem sie unabhängig voneinander den Codex-Coding-Agenten von OpenAI kompromittiert hatten. Der Forscher k3vg3n kombinierte hingegen drei separate Sicherheitslücken, um LiteLLM zu knacken – und kassierte ebenfalls die gleiche Prämie.
Windows 11 wurde gleich dreimal erfolgreich angegriffen, wobei jeder Exploit den Forschern 30.000 Dollar einbrachte. Valentina Palmiotti von IBM X-Force Offensive Research sicherte sich insgesamt 70.000 Dollar, nachdem sie zwei verschiedene Zero-Days aufgedeckt hatte.
Weitere bemerkenswerte Erfolge waren der 40.000-Dollar-Gewinn des STARLabs SG-Teams für eine Schwachstelle in LM Studio sowie Satoki Tsuji von Ikotas Labs, der 20.000 Dollar für die Ausnutzung einer zu großzügig konfigurierten Zulassungsliste in NVIDIAs Megatron Bridge erhielt.
Bis zum Ende des ersten Tages summierten sich die Prämien auf insgesamt 523.000 Dollar. Die Wettbewerbsbeiträge zeigten kritische Sicherheitslücken in weitverbreiteter Software auf, wobei mehrere hochriskante Exploits vorgeführt wurden. Die Veranstalter bestätigten, dass alle offengelegten Schwachstellen an die betroffenen Hersteller gemeldet werden, um entsprechende Patches zu entwickeln.
