האירוע השנתי המרכזי של קהילת חוקרי האבטחה, Pwn2Own בגרסת ברלין, הגיע לסיומו עם נתונים טכניים המצביעים על שינוי מגמה ברור במיקוד של עולם תקיפות הסייבר. במסגרת אירוע מקצועי זה, המהווה תחרות סייבר בינלאומית מובילה, חילקה חברת האבטחה Tren Micro סכומים המצטברים לסך כולל של 1,298,250 דולר. סכומים אלו הוענקו למגוון צוותים של האקרים אתיים אשר הצליחו להדגים הלכה למעשה פריצות מוצלחות למערכות מחשוב מורכבות.
המטרה העסקית והטכנולוגית המרכזית של המפגש היא לעודד זיהוי מוקדם ומבוקר של חולשות תוכנה. במהלך שלושת ימי הפעילות האינטנסיביים, המשתתפים איתרו והדגימו לא פחות מ-47 חולשות Zero-Day חדשות לחלוטין, שטרם היו מוכרות ליצרניות התוכנה או לקהל הרחב. אירוע מסוג זה מדגיש את הנחיצות הקריטית של מחקר אבטחה התקפי ממוסד, המתמקד באיתור פרצות אבטחה בארגונים לפני שהן מנוצלות באופן זדוני על ידי תוקפים חיצוניים הפועלים ברשת.
המעבר לאבטחת תשתיות בינה מלאכותית
בשנה הנוכחית, ניכר היה כי המיקוד הטכנולוגי של אירוע TrendAI Pwn2Own שונה משמעותית מאירועי עבר. תשומת הלב של המארגנים ושל החוקרים הופנתה באופן ישיר ויזום לתחומים של אבטחת בינה מלאכותית, וכן לנושא הרחב יותר של Enterprise AI Security. מיקוד זה משקף את האימוץ המואץ וההולך וגובר של טכנולוגיות לימוד מכונה בסביבות ייצור ארגוניות. בניגוד לתחרויות קודמות שבהן הדגש היה על מערכות הפעלה מסורתיות בלבד, צוותי המחקר השנה נדרשו להדגים יכולות חדירה למערכות ענן מבוזרות, מסדי נתונים מבוססי AI, סוכני קוד אוטומטיים וסביבות וירטואליזציה ארגוניות.
במסגרת המיקוד החדש במערכות TrendAI וטכנולוגיות משיקות, נבחנו באופן נרחב ויסודי מערכות Generative AI שונות המוטמעות בתשתיות קריטיות. ב-ZDI הדגישו כי הממצאים וההצלחות של החוקרים מהווים אינדיקטור ברור לכך שהמערכות הללו הופכות ליעד מרכזי עבור תוקפים, ולכן דורשות פיתוח של מנגנוני הגנה ייעודיים מצד צוותי אבטחת המידע בארגונים. התחרות שיקפה נאמנה את השינויים המשמעותיים במפת האיומים הגלובלית.
פירוט טכני של היעדים ומהלך הבדיקות
באירוע הנוכחי לקחו חלק 16 צוותי מחקר מקצועיים שהגיעו ממדינות שונות ברחבי העולם, לרבות ייצוג של חוקרים המגיעים מישראל. מטרות התקיפה שהוגדרו מראש כללו שורה ארוכה של פלטפורמות, שירותים ויישומים הנפוצים מאוד בסביבות אנטרפרייז מודרניות. בין המערכות הרבות שנפרצו בהצלחה במסגרת הבדיקות המחמירות ניתן למנות את מערכת ההפעלה Microsoft Windows 11 מבית מיקרוסופט, הדפדפנים הפופולריים Microsoft Edge ו-Safari מבית אפל, וכן שרתים ארגוניים חיוניים כדוגמת סביבות SharePoint ו-Exchange. בנוסף לכך, הודגמו פריצות למנועים וכלים מבוססי בינה מלאכותית כגון OpenAI Codex ופלטפורמת LiteLLM, יחד עם מערכות תשתית נוספות.
ניתוח של התוצאות מראה כי כבר ביום הראשון של פעילות התחרות, חולקו פרסים כספיים בסך של מעל ל-523 אלף דולר. סכום זה הוענק בעקבות חשיפה מוצלחת ואימות של 24 חולשות ייחודיות המוגדרות כ-Zero-Day Exploit על פי הקריטריונים של המארגנים. מגמת החשיפות נמשכה בצורה עקבית גם ביום השני של הכנס, שבו תועדו 15 חולשות חדשות נוספות אשר זיכו את קבוצות החוקרים השונות בפרסים בסך כולל של כ-385 אלף דולר.
חדירה למנגנוני בידוד וסביבות חומרה
אחת ההדגמות המורכבות והבולטות ביותר במהלך ימי האירוע בוצעה על ידי צוות המחקר DEVCORE Research Team. חברי הצוות הצליחו לחדור בהצלחה למנגנוני האבטחה של דפדפן Microsoft Edge תוך ניצול מדויק של חולשת Sandbox Escape. פעולה התקפית זו לא רק שהדגימה רמת מורכבות טכנית גבוהה של עקיפת מנגנוני בידוד התהליכים של מערכת ההפעלה, אלא גם זיכתה את החוקרים בפרס כספי משמעותי של 175 אלף דולר, וכן בניקוד גבוה וקריטי בדירוג הכללי של תואר ה-Master of Pwn של התחרות.
נקודה אסטרטגית משמעותית נוספת באירוע הנוכחי הייתה ההצטרפות של יצרנית השבבים והחומרה NVIDIA כנותנת חסות רשמית לראשונה בתולדות התחרות. מעורבות זו של החברה כללה הגדרת קטגוריית מטרות ומוצרים ייעודית שנועדה לאפשר לחוקרים מרחבי העולם לאתר ולדווח על חולשות אבטחה במוצריה. במסגרת הקטגוריה החדשה, החוקרים מיקדו את מאמצי התקיפה שלהם במוצרי מפתח של החברה כמו NVIDIA Container Toolkit, פלטפורמת Megatron Bridge וכן סביבת Dynamo.
במהלך סבבי הבדיקות, מספר חוקרים מקצועיים רשמו הצלחות מתועדות בחדירה ל-NVIDIA Container Toolkit ולפלטפורמות Local Inference המשמשות לעיבוד מקומי. תקיפות אלו בוצעו תוך יישום של טכניקות מורכבות לניצול שגיאות בניהול הזיכרון, כגון חולשות מסוג Use-After-Free, לצד טכניקות מתקדמות נוספות. שילוב זה של בדיקות חדירה על מערכות חומרה ותוכנה משקף את הצורך ההולך וגובר באבטחה מקיפה ברמת התשתית.
מודל הגילוי הנאות ומשמעויות לארגונים
התחרות עצמה, אשר מנוהלת ונוסדה במקורה על ידי פרויקט ה-Zero Day Initiative של חברת טרנד מיקרו, נחשבת כיום לאחת מתחרויות מחקר הסייבר החשובות ביותר בעולם. הפעילות בתחרות ממשיכה לפעול בקפדנות על פי המודל המקובל של גילוי נאות וחשיפה אחראית (Responsible Disclosure). מודל עבודה זה מבטיח כי כל המידע הטכני והפרטים הנוגעים לפרצות שאותרו מועברים באופן ישיר ודיסקרטי לחלוטין ליצרניות הרלוונטיות.
תהליך יסודי זה מאפשר לחברות הטכנולוגיה לפתח ולהפיץ עדכוני אבטחה מסודרים למשתמשי הקצה ולארגונים, בטרם המידע מפורסם בצורה גלויה לציבור הרחב. המטרה היא לאפשר ליצרנים לתקן את הליקויים הקריטיים לפני שגורמים עוינים ותוקפים פוטנציאליים יוכלו לנצל את החולשות הללו לפעילות זדונית בשטח. עם סיום ימי התחרות, המארגנים אף פרסמו וידיאו סיכום רשמי המאגד את התוצאות, אשר כותרתו היא Wrapping Up Pwn2Own Berlin 2026: The Final Numbers, בו מוצגים הנתונים של הפריצות שהודגמו בהצלחה.
עבור מנהלי רשתות המנהלים סביבות ייצור, תוצאות אירוע זה מדגישות כי סביבות קריטיות כמו Exchange ו-SharePoint ממשיכות להכיל פגיעויות בליבת המערכת. השילוב המואץ של רכיבי AI מורכבים מחייב עדכון שיטות הניטור הארגוניות והטמעת טלאי אבטחה בלוחות זמנים קצרים ומוגדרים מראש.
