TrendAI Zero Day Initiative vindt 47 unieke zero-days tijdens Pwn2Own Berlijn

Amsterdam, 28 mei 2026 - Deze maand vond Pwn2Own Berlijn plaats. Deelnemers aan dit evenement, georganiseerd door TrendAI en gesponsord door NVIDIA, ontdekten maar liefst 47 nieuwe zero-day kwetsbaarheden in verschillende categorieën, waaronder AI-databases, codeeragents, webbrowsers, bedrijfsapplicaties, servers en meer.

Rachel Jin, Head of TrendAI: “TrendAI gebruikt de meest geavanceerde threat intelligence in de branche om onze klanten te beschermen. De kwetsbaarheden die tijdens Pwn2Own worden ontdekt stellen de desbetreffende leveranciers in staat om deze snel te verhelpen. In de tussentijd worden onze klanten geholpen middels virtuele patches, waardoor ze al zijn beschermd voordat de officiële patch uitkomt. Naarmate AI-tools en -infrastructuur een steeds centralere rol gaan spelen in bedrijfsprocessen, is het cruciaal om kwetsbaarheden voor te blijven.”

NVIDIA was voor het eerst sponsor van Pwn2Own en bracht een eigen productcategorie mee die onderzoekers konden gebruiken om kwetsbaarheden te melden. Megatron Bridge, NV Container Toolkit en Dynamo waren hierbij inbegrepen.

De meldingen die via het Zero Day Initiative (ZDI) en tijdens Pwn2Own aan het licht komen stellen leveranciers in staat om kwetsbaarheden snel te begrijpen en te verhelpen voordat cybercriminelen ze misbruiken. Dit komt uiteindelijk organisaties en eindgebruikers van de getroffen software of hardware ten goede.

Onderzoek van het ZDI heeft aangetoond dat leveranciers steeds vaker nalaten om softwarekwetsbaarheden te verhelpen die aan hen worden gemeld. Dankzij het centrale proces waarin het ZDI kwetsbaarheden openbaar maakt, profiteren TrendAI Vision One-klanten gemiddeld drie maanden eerder van bescherming dan de rest van de branche.

Hoogtepunten van het evenement waren onder andere:

• Orange Tsai (@orange_8361) van het DEVCORE Research Team combineerde drie bugs om Remote Code Execution als SYSTEM op Microsoft Exchange te bereiken en verdiende daarmee $200.000. Ze combineerden ook vier logische bugs om een ​​sandbox-escape te realiseren op Microsoft Edge en verdienden daarmee $175.000.
• Splitline (@splitline) van het DEVCORE Research Team combineerde twee bugs om Microsoft SharePoint te exploiteren en verdiende daarmee $100.000.
• Nguyen Hoang Thach (@hi_im_d4rkn3ss) van STARLabs SG (@starlabs_sg) gebruikte een geheugenbeschadigingsbug om VMware ESXi te exploiteren met de Cross-tenant Code Execution add-on en verdiende daarmee $200.000 en 20 Master of Pwn-punten.
• Chompie van IBM X-Force Offensive Research (XOR) gebruikte één enkele bug om NV Container Toolkit te exploiteren en verdiende daarmee $50.000.

In totaal werd er $1.298.250 aan prijzengeld uitgereikt. De volgende wedstrijd, Pwn2Own Cork, vindt plaats in oktober.