## Pwn2Own Berlin 2026: Destaques do Dia 1 A competição **Pwn2Own Berlin 2026** começou com uma enxurrada de atividades, à medida que pesquisadores de segurança demonstraram suas habilidades explorando uma ampla gama de alvos de software e hardware. O evento, que se concentra em tecnologias corporativas e inteligência artificial, acontece na conferência OffensiveCon de 14 a 16 de maio. ## Escape de Sandbox do Edge Garante o Prêmio Principal **Orange Tsai** se destacou ao ganhar US$ 175.000 por encadear quatro bugs lógicos para obter um escape de sandbox no **Microsoft Edge**. Essa façanha impressionante destaca a complexidade e o impacto potencial de vulnerabilidades encadeadas. > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mlslrhjrvc2s">Ver no BlueSky</a> ## Windows 11 Sob Ataque O **Windows 11** foi alvo com sucesso três vezes por diferentes equipes: * **Angelboy** e **TwinkleStar03** (trabalhando com o **DEVCORE** Internship Program) * **Marcin Wiązowski** * **Kentaro Kawane** da **GMO Cybersecurity** Cada equipe ganhou US$ 30.000 por demonstrar novas zero-days de escalonamento de privilégios no sistema operacional. > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mlsterlyhk2d">Ver no BlueSky</a> > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mlsyezpkyc2m">Ver no BlueSky</a> > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mltgpmo7ac2p">Ver no BlueSky</a> ## Exploits de Linux e Contêineres **Valentina Palmiotti** (chompie) da **IBM X-Force Offensive Research (XOR)** teve um dia de sucesso, coletando US$ 20.000 por obter acesso root no **Red Hat Linux for Workstations** e mais US$ 50.000 por uma zero-day no **NVIDIA Container Toolkit**. > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mltebpvjlc2p">Ver no BlueSky</a> > <a href="http://bsky.app/profile/thezdi.bsky.social/post/3mlsm3vbvks2s">Ver no BlueSky</a> ## Vulnerabilidades em Plataformas de IA/ML Descobertas Várias vulnerabilidades foram encontradas em plataformas de inteligência artificial e aprendizado de máquina, incluindo: * **k3vg3n**: Derrubou o **LiteLLM** (US$ 40.000) encadeando 3 bugs. * **Satoki Tsuji** e **haehae**: Exploraram zero-days no **NVIDIA Megatron Bridge** (US$ 20.000). * **Compass Security** e **maitai** da **Doyensec**: Invadiram o agente de codificação **OpenAI's Codex** (cada um ganhando US$ 40.000). * **haehae**: Descobriu uma zero-day no **Chroma** (US$ 20.000). * **STARLabs SG**: Encontrou uma zero-day no **LM Studio** (US$ 40.000). > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mlso3j67ns2s">Ver no BlueSky</a> > <a href="http://bsky.app/profile/thezdi.bsky.social/post/3mlsottlmak2s">Ver no BlueSky</a> > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mltcik6cvs2w">Ver no BlueSky</a> > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mlst4byglc2d">Ver no BlueSky</a> > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mlswuldquc2m">Ver no BlueSky</a> > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mlt5kuba622z">Ver no BlueSky</a> > <a href="https://bsky.app/profile/thezdi.bsky.social/post/3mltheam2ps2p">Ver no BlueSky</a> ## Classificação Atualmente, a **DEVCORE Research Team** lidera a competição com US$ 205.000, seguida por **Valentina Palmiotti** com US$ 70.000. ## Alvos do Segundo Dia No segundo dia, os competidores terão como alvo zero-days em **Microsoft SharePoint**, **Microsoft Exchange**, **Windows 11**, **Apple Safari**, **Cursor**, **Red Hat Enterprise Linux for Workstations**, **LM Studio**, **OpenAI Codex**, **LiteLLM**, **Anthropic Claude Code** e **Mozilla Firefox**. ## Regras e Impacto do Pwn2Own Pesquisadores que visam produtos totalmente corrigidos em várias categorias podem ganhar mais de US$ 1.000.000 em dinheiro e prêmios. Todos os dispositivos visados executam as versões mais recentes do sistema operacional, e as inscrições devem comprometer o alvo e demonstrar execução de código arbitrário. Os fornecedores têm 90 dias para lançar correções de segurança após a divulgação das falhas. No ano passado, a **TrendMicro's Zero Day Initiative** concedeu US$ 1.078.750 por 29 vulnerabilidades zero-day.  ## A Lacuna de Validação: Pentest Automatizado Responde a Uma Pergunta. Você Precisa de Seis. Ferramentas automatizadas de pentest entregam valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Elas não foram criadas para testar se seus controles bloqueiam ameaças, se suas regras de detecção disparam ou se suas configurações de nuvem se sustentam. Este guia abrange as 6 superfícies que você realmente precisa validar. [Baixe Agora](https://hubs.li/Q048zztN0)