Pwn2Own zabrakło miejsc. 150 badaczy odrzucono. Część opublikowała exploity sami.

Pwn2Own Berlin 2026 skończyło się 17 maja. Trzy dni, 47 unikalnych zero-dayów, 1 298 250 dolarów nagród. DEVCORE z Orange Tsai jako "Master of Pwn" z 50.5 punktami i 505 000 dolarów.

Ale to nie jest najważniejsza liczba z tego roku.

Najważniejsza liczba to ponad 150 — tylu badaczy ZDI powiedziało "brak miejsc" zanim rejestracja się zamknęła. W 19-letniej historii Pwn2Own nigdy wcześniej się to nie zdarzyło. Konkurs osiągnął maksymalną pojemność. Badacze którzy przyszli z działającymi łańcuchami exploit na Firefox, Ollama, LM Studio, PyTorch, Linux KVM, NVIDIA, Docker i Claude Code — zostali odesłani z kwitkiem.

Część z nich opublikowała exploity samodzielnie. Bez programu odpowiedzialnego ujawniania, bez 90-dniowego embargo dla vendora, bez nagród.

Ten szczegół jest mierzalnym sygnałem o tym gdzie jesteśmy z vulnpocalypse który opisywaliśmy tydzień temu: AI-assisted research generuje zero-days szybciej niż instytucje zbudowane do ich obsługi mogą nadążyć.

Trzy dni, cztery kategorie AI, jeden obraz

W ciągu trzech dni Pwn2Own Berlin 2026 badacze zarobili ponad 1,3 miliona dolarów za 47 zero-dayów — 68% więcej niż na Berlin 2025 gdzie były 28 podatności i 1,08 miliona dolarów.

Cyfry dzienne: dzień pierwszy — 523 000 dolarów za 24 zero-days. Dzień drugi — 385 750 dolarów za 15 zero-days. Dzień trzeci — 389 500 dolarów za 8 zero-days. Łącznie 1 298 250 dolarów.

Ale co jest naprawdę nowe w tym roku to cztery dedykowane kategorie AI: bazy danych AI (wektorowe), agenty kodujące (Claude Code, Copilot, Cursor), lokalne serwowanie modeli (Ollama, LM Studio) i NVIDIA (Container Toolkit, Megatron Bridge, CUDA). Wszystkie cztery z aktywnymi wpisami i wieloma udanymi exploitami.

Krótka lista upadłych:

AI coding agents: Cursor spada w dniu drugim przez łańcuch pięciu błędów. OpenAI Codex pada w dniu trzecim — Satoki Tsuji z Ikotas Labs przez zewnętrzny mechanizm sterujący uruchamia kalkulatora na systemie hosta, 20 000 dolarów.

Local inference: LM Studio — STARLabs SG łączy pięć błędów w tym SSRF i code injection, 40 000 dolarów. LiteLLM — k3vg3n łączy trzy błędy w tym SSRF i code injection, 40 000 dolarów.

NVIDIA: Megatron Bridge pada cztery razy przez czterech osobnych badaczy — trzy różne wektory. Container Toolkit pada przez IBM X-Force za 50 000 dolarów.

Enterprise: Orange Tsai dnia drugiego łączy trzy błędy do RCE z uprawnieniami SYSTEM na w pełni zaktualizowanym Exchange Server — 200 000 dolarów, najwyższa nagroda całego konkursu. Windows 11 pada cztery razy przez czterech osobnych badaczy.

Claude Code się nie uchował

Dzień drugi miał Claude Code jako oficjalny cel. Jeden zespół zdyskwalifikował się za przekroczenie limitu czasu. Inny — nieujawniony badacz — przeprowadził udany exploit i zarobił nagrodę.

Szczegóły techniczne pod 90-dniowym embargo. Ale fakt się stał: Claude Code padło na Pwn2Own przed publicznością. W tym samym tygodniu gdy TrustFall opisywał jeden Enter jako wektor RCE i Mitiga dokumentowała trwałe przekierowanie tokenów OAuth.

Cursor padł. Claude Code padło. Dwa wiodące narzędzia AI do kodowania — oba skompromitowane w oficjalnym konkursie na w pełni zaktualizowanych wersjach.

Overflow jako sygnał strukturalny

Wróćmy do tych 150 odrzuconych badaczy. ZDI jest jednym programem wewnątrz Trend Micro. Na każde przyjęte zgłoszenie: triage, walidacja łańcucha w laboratorium, zaplanowanie okna demonstracji, obserwacja na scenie, zapłata nagrody, przekazanie vendorowi pod embargo. To ma minimalny czas na jeden exploit niezależnie od liczby pracowników. Trzy dni konkursu się nie wydłużają.

Awesome Agents opisuje to precyzyjnie: "AI-assisted vulnerability research generuje działające łańcuchy exploit szybciej niż instytucje zbudowane do ich obsługi mogą nadążyć."

To jest to samo napięcie które opisywaliśmy przy decyzji NIST o ograniczeniu bazy NVD — infrastruktura zarządzania podatnościami nie skaluje się razem z tempem ich odkrywania. Tam chodziło o bazę danych. Tu chodzi o najważniejszy konkurs branży który służy jako koordynowany kanał odpowiedzialnego ujawniania.

Gdy ZDI mówi "brak miejsc", badacze z działającymi exploitami stoją przed tym samym wyborem co Chaotic Eclipse przy Defenderze: trzymać exploit i nie dostać nic, albo opublikować. Część wybrała publikację. Exploity na Ollama, LM Studio, PyTorch, Linux KVM, NVIDIA i Claude Code wylądowały w publicznej sieci bez 90-dniowego bufora dla vendorów.

Pisaliśmy o tym przy Dirty Frag gdzie złamane embargo skróciło okno łatania do zera. Pwn2Own overflow tworzy systemowy mechanizm produkujący podobne wyniki dla każdego badacza który nie dostał miejsca.

Co to mówi o następnym roku

Pwn2Own trwa 19 lat i przez 18 z nich wystarczał. W 2026 roku po raz pierwszy nie wystarczył — i to nie przez wyjątkowy rok, ale przez strukturalną zmianę w tempie odkrywania podatności którą opisywaliśmy w analizie vulnpocalypse.

ZDI może rozszerzyć konkurs — więcej dni, więcej równoległych ścieżek, więcej pracowników. Ale każda z tych zmian wymaga koordynacji z vendorami, wynajmu przestrzeni, budżetu. Krzywa możliwości instytucji rośnie wolniej niż krzywa tempa odkryć.

Następny Berlin będzie miał jeszcze więcej chętnych. Jeśli ZDI nie znajdzie mechanizmu overflow, publiczne ujawnienia od odrzuconych badaczy staną się regularnym zjawiskiem towarzyszącym konkursowi — co podważa cały model koordynowanego ujawniania który Pwn2Own przez dwie dekady reprezentował.

To jest dokładnie ta asymetria którą Mandiant opisał w M-Trends 2026 i którą NIST sygnalizuje swoją decyzją o ograniczeniu NVD: tempo odkrywania odpycha się od tempa obsługi. Pwn2Own overflow jest jeszcze jednym punktem danych w tym samym obrazie.

Źródła

BleepingComputer — wyniki końcowe z listą wszystkich exploit i nagród: https://www.bleepingcomputer.com/news/security/pwn2own-berlin-2026-wraps-up-with-1-298-250-in-prizes/

CyberInsider — szczegóły wszystkich trzech dni i wyniki DEVCORE: https://cyberinsider.com/pwn2own-berlin-2026-concludes-with-1-29-million-paid-for-47-zero-days/

SecurityAffairs — dzień pierwszy z detalami Orange Tsai i kategorii AI: https://securityaffairs.com/192183/hacking/pwn2own-berlin-2026-day-one-523000-paid-out-ai-products-fall.html

Awesome Agents — analiza overflow i badacze publikujący poza konkursem: https://awesomeagents.ai/news/pwn2own-berlin-2026-capacity-overflow/

Notebookcheck — zestawienie dni z kontekstem 19-letniej historii: https://www.notebookcheck.net/Pwn2Own-Berlin-2026-Windows-11-and-Microsoft-Exchange-hacked.1298609.0.html

Zero Day Initiative — oficjalne wyniki konkursu: https://www.zerodayinitiative.com/blog/2026/5/17/pwn2own-berlin-2026-the-results