Berlin'deki Hilton Oteli'nin salonundaki konuşmalar sessiz, herkes dizüstü bilgisayarlarla donatılmış üç masadan birine bakıyor. Yanında biri kulak tıkacı olan iki adam oturuyor ve dikkatle ekranları izliyor. Sonra gırtlaktan gelen bir çığlık: Sina Kheirkhah ayağa fırlıyor ve rahatlamış bir şekilde elleriyle yüzünü kapatıyor. Az önce Claude Code'a karşı başarılı bir saldırı gerçekleştirdi ve 40.000 dolar kazandı. En azından şu aşamada böyle düşünüyor.
Duyurudan sonra devamını okuyun
Ancak daha sonra ortaya çıktı: “Çağırma Ekibi”nin bir üyesi olan Kheirkhah tarafından bulunan güvenlik açığı, Claude'un Antropik yapımcısı tarafından zaten biliniyordu ve ödülü dörtte bire düşürüldü. Özellikle yapay zeka aracılığıyla güvenlik açıklarının büyük oranda keşfedilmesi nedeniyle, bu yıl %42 daha fazla (7 yerine 10) bu tür kopyalar meydana geldi, yani üretici tarafından zaten bilinen güvenlik açıkları.
Yürütme organı olarak yapay zeka
Ayrıca muhtemelen olaydan kısa bir süre önce yapılan büyük güvenlik güncellemeleri nedeniyle işe yaramayan geri izleme ve istismarlar da vardı. Hem Salı Microsoft Yaması hem de tam bir Firefox güncellemesi yalnızca birkaç gün önce gerçekleşti ve görünüşe göre bazı güvenlik açıklarını zararsız hale getirerek onları rekabet lehine yaktı. ZDI'dan Brian Gorenc, Haberler Security ile yaptığı bir röportajda çarpışmaları iyi bir işaret olarak gördü: Uzman, birçok yazılım üreticisinin artık otomatik olarak yapay zekayı kullanan profesyonel boşluk dedektörleriyle aynı güvenlik açıklarını yaşadığını söyledi.
Ve yapay zekanın yardımıyla – katılımcılar bunu evdeki meslektaşlarıyla video konferansla aynı şekilde yapabiliyorlardı – toplamda 47 olmak üzere yeterince yeni sıfır gün vardı. ZDI, 1.298.250 $ nakit ödül ödedi ve gelenek gereği, kazanan katılımcılara, üzerinde becerileri sergiledikleri dizüstü bilgisayarları (“sahip olunacak piyon”) verdi.
Bu yılın etkinliğinin galibi DEVCORE ekibi oldu: Toplam ödülün neredeyse yarısı olan 505.000 $'lık para ödülü Tayvanlılara gitti. Berlin'e Microsoft ürünleri Sharepoint, Edge ve Exchange için bir istismar getirdiler: Exchange istismarı sunucunun kontrolünü tamamen ele geçirmeyi bile mümkün kıldı. Explorer Orange Tsai röportajda, yararlanma kodunun yapay zeka tarafından üretildiğini ancak onun fikrine ve talimatlarına dayandığını söyledi.
Duyurudan sonra devamını okuyun

Pwn2Own 2026: Orange araştırmacısı Tsai ticari başarısını gösteriyor
(Resim: Haberler Güvenlik / cku)
Açıkların doğrulanması için sınırlı erişimli oda olan “İfşa Odası”nın kenarındaki güvenlik açığı sorulduğunda, Microsoft'un Güvenlik Yanıt Merkezi (MSRC) çalışanları ağzını sıkı tuttu. Hatanın “ilginç” ve yeni olduğunu söylediler ve moderatör Dustin Childs, hatayı düzeltmek için Redmond'da muhtemelen kısa süreli bir gece vardiyası olacağını tahmin etti.
Pwn2Own her yıl düzenleniyor ve 2026'da yine OffensiveCon güvenlik konferansının oturum aralarında yapılıyordu. Organizatörler, önceden katılmak isteyen birçok kişiyi geri çevirmek zorunda kaldı: Yarışma için genellikle yapay zeka tarafından oluşturulan çok sayıda kayıt için herhangi bir zaman aralığı yoktu. Sıfır Gün Girişimi, bulunan tüm güvenlik açıklarını ilgilenen üreticilere ücretsiz olarak sunuyor.
(cku)
Bir yanıt yazın