Ausnutzung von Schwachstellen
Pwn2Own Berlin 2026 mit neuen Trends
Der von dem Veranstalter, der TrendAI Zero Day Initiative (ZDI), als „historisch“ bezeichnete Pwn2Own 2026 in Berlin brachte ein Rekordpreisgeld und zeigt neue Trends, die nicht zuletzt der rasanten Weiterentwicklung der KI geschuldet sind.
Save to Folio
Das Ergebnis des Hacking-Wettbewerbs Pwn2Own 2026 in Berlin lässt sich sehen: 47 einzigartige Schwachstellen und insgesamt fast 1.300.000 Dollar Preisgeld. Das am Rande der OffensiveCon abgehaltene Event umfasste die Kategorien KI-Datenbanken, Coding-Agenten, Webbrowser sowie eine eigene Kategorie für NVIDIA-Produkte. Der Hersteller trat zum ersten Mal ebenfalls als Sponsor auf.
Gewinner waren das DEVCORE Research Team mit 50,5 Punkten. Sie wurden auch zum Master of Pwn gekürt. Der zweite Platz ging an die Gewinner des Vorjahres STARLabs mit 25 Punkten.
Eines der Highlights der Veranstaltung demonstrierte das DEVCORE Research Team, dem es gelang, in weniger als einer Minute über die Verkettung von drei Bugs System-Privilegien auf Microsoft Exchange zu erlangen und eine Remote Code Execution vorzuführen. Dies brachte den Sicherheitsforschern das höchste Preisgeld von 200.000 Dollar ein. Ebenfalls von Erfolg gekrönt war deren Hack der Sandbox-Umgehung in Microsoft Edge mit vier Logikfehler sowie eine Privilege Escalation auf Windows 11. Weitere Einzelheiten zu allen Demonstrationen finden Interessierte auf der ZDI-Website.
In diesem Jahr war das Interesse für den Pwn2Own in Berlin so groß, dass die Anzahl der Registrierungen die zeitlichen und räumlichen Grenzen des Möglichen überstiegen, deshalb mussten wir einigen Schwachstellenforschern absagen. Diese meldeten daraufhin die von ihnen gefundenen Lücken an die zuständigen Softwarehersteller.
Einige Hersteller hatten auch kurz vor dem Pwn2Own ihre Produkte gepatcht. Und Sicherheitsforscher, deren Lücken auf den aktualisierten Versionen nicht mehr funktionierten, zogen deshalb ihre Teilnahme zurück. Vielleicht ist dieses kurzfristige Patching auch ein Grund für die ungewöhnlich hohe Anzahl an Kollisionen und Fehlversuchen bei der diesjährigen Veranstaltung. Besonders schwer taten sich die Teilnehmer bezüglich der Übernahme von Webbrowsern. Beispielsweise zogen von sechs eingereichten Mozilla Bugs fünf Teilnehmer ihren Antrag zurück und ein Versuch schlug fehl.
Die Auswirkungen des KI-Einsatzes sind mittlerweile definitiv spürbar. Die künstliche Intelligenz erleichtert tatsächlich den Hackern die Arbeit, doch nicht nur die „Bösen“ profitieren davon. Das bestätigte auch Cheng-Da Tsai vom erfolgreichen DEVCORE Research Team bezüglich des Hacks von Microsoft Exchange: „LLM als Unterstützung ersparte uns viel Mühe und Zeit!“, erklärte er und meinte damit die KI-Unterstützung bei Recherchearbeiten, aber auch beim Codieren.
„Wer sich auskennt, der profitiert erheblich von KI-Unterstützung. Dadurch dürften mittelfristig schneller, mehr Schwachstellen gefunden und ausgenützt werden. Das bedeutet auch, dass das Zeitfenster zwischen Patch und Exploit immer schneller zugehen wird“, erklärte Richard Werner, Security Advisor bei TrendAI.
KI im Wettbewerb
Die große Frage bezüglich KI und speziell Anthropic war, ob es überhaupt Sicherheitslücken geben würde. Anthropic hatte verkündet, „Tausende Lücken in weit verbreiteter Software“ entdeckt zu haben. Zudem hatten sie aus ihrem „Projekt Glasswing“ Industriegrößen wie Microsoft eingeladen. Natürlich nutzen Softwarehersteller bereits KI-Systeme, um Schwachstellen selbständig zu finden.
Würden also alle vermeintlichen „Zero Days“ bereits bekannt sein? Träfe das zu, gäbe es viele „Kollisionen“. Darunter versteht man erfolgreiche Einbruchsversuche über dem Hersteller bekannte Lücken, für die bislang jedoch noch kein Patch veröffentlicht wurde. Auch wenn ein Teilnehmer eine Lücke demonstriert, die bereits von einem anderen Teilnehmer zuvor erfolgreich ausgenutzt wurde (die Reihenfolge der Versuche wird ausgelost), spricht man von einer Kollision.
Die ZDI erhielt auch Einträge zu KI-Systemen von Open AI und auch zu Anthropic Claude selbst. Der Codex Agent von Open AI wurde während des Wettbewerbs dreimal von jeweils verschiedenen Teilnehmern erfolgreich angegriffen. Jeder Versuch nutzte dabei eine andere Technik.
Doch bei den Versuchen, Claude zu hacken, stellten sich die Schwachstellen im Wettbewerb allesamt als Kollisionen heraus, sprich Anthropic kannte die Lücke schon. Da Anthropic im Besitz des Sourcecodes ihrer Lösung ist und sicherlich Claude Mythos den eigenen Code testen ließ, ist es sehr wahrscheinlich, dass sie selbst den Fehler entdeckt hatten.
Fazit
Die Frage, wie sehr die KI menschlichen Hackern überlegen ist oder nicht, ist vertagt. Anthropic Claude Mythos zeigt seine Stärken dann, wenn der Sourcecode zugänglich ist. Im Open Source-Umfeld mag das leicht sein. Menschliche Hacker arbeiten hingegen meist mit Closed Source-Produkten, und hier sind sie der KI aktuell noch überlegen. Wie lange das so bleibt, ist schwer vorhersehbar.
Dennoch ist klar, dass KI die Prozesse der Angreifer beschleunigt. Dementsprechend befindet sich das Patchmanagement aktuell ebenfalls in einer starken Beschleunigungsphase – die Kollisionen und Rückzüge sind auch ein Zeichen dafür.
Rachel Jin, Head von TrendAI, fasst zusammen: „Wir nutzen die bei Pwn2Own aufgedeckten Sicherheitslücken, um Anbietern die Möglichkeit zu geben, diese schnell zu beheben, und bieten unseren Kunden gleichzeitig durch virtuelles Patching einen Schutz, der dem Rest der Branche weit voraus ist. Da KI-Tools und -Infrastrukturen für die Geschäftsabläufe immer zentraler werden, wird es wichtiger denn je sein, Sicherheitslücken immer einen Schritt voraus zu sein.”
Wie nach jedem Pwn2Own haben die Hersteller nun 90 Tage Zeit, für die gefundenen Schwachstellen ihren Patch zu veröffentlichen.