На Pwn2Own 2026 взломали Windows 11, Claude Desktop и OpenAI Codex на $1,2 млн

На прошедшем турнире по кибербезопасности Pwn2Own исследователи скомпрометировали ряд широко используемых программных решений, среди которых Windows 11, Claude Desktop и OpenAI Codex. Общий призовой фонд за демонстрацию векторов атак и передачу деталей уязвимостей вендорам превысил отметку в $1,2 млн.

Анализ векторов атак на Windows 11

В ходе состязания эксперты успешно провели серию атак на Windows 11. Основной фокус исследователей был направлен на подсистемы, отвечающие за повышение привилегий в ОС, а также на методы обхода встроенных механизмов защиты. Согласно регламенту Pwn2Own, информация об обнаруженных уязвимостях направляется непосредственно в Microsoft до момента их публичного раскрытия. Это дает разработчикам необходимый временной лаг для подготовки и тестирования патчей, закрывающих найденные бреши.

Новая категория: безопасность ИИ-приложений

Знаковым событием Pwn2Own стал фокус на безопасности инструментов искусственного интеллекта. Впервые ИИ-продукты были вынесены в отдельную категорию соревнований, что отражает растущий интерес сообщества к безопасности локальных агентов. В рамках турнира были взломаны Claude Desktop и OpenAI Codex. Актуальность таких исследований продиктована тем, что подобные приложения зачастую имеют доступ к файловой системе, пользовательским данным и локальным ресурсам, работая с привилегиями, необходимыми для интерпретации кода и автоматизации задач. На практике это значит, что эксплуатация уязвимостей в таких инструментах открывает широкий доступ к пользовательской среде.

Трансформация фокуса исследований

Исторически Pwn2Own специализировался на поиске уязвимостей в браузерах, мобильных ОС и клиентских приложениях. Однако текущая динамика развития индустрии сместила приоритеты в сторону инструментов разработки, облачных инфраструктур и генеративных технологий. Сейчас внимание специалистов всё чаще приковано к безопасности моделей, плагинов и систем автоматизации, которые становятся критическим звеном в цепочках поставок ПО.Pwn2Own берет свое начало в 2007 году и на текущий момент является одним из ключевых драйверов поиска уязвимостей «нулевого дня» (Zero-day). Модель взаимодействия, при которой разработчики выплачивают крупные вознаграждения за демонстрацию компрометации продукта, стала стандартом для индустрии, позволяя оперативно реагировать на угрозы до их массовой эксплуатации злоумышленниками.