Pwn2Own Berlin 2026: 24 Zero-Day Trong 1 Ngày, AI Trở Thành Mục Tiêu Số 1
AI Đã Không Còn An Toàn
Hôm qua (14/5/2026), Pwn2Own Berlin 2026 khai mạc với một con số gây choáng: 24 zero-day được khai thác thành công chỉ trong ngày đầu tiên, tổng tiền thưởng $523,000.
Nhưng điều đáng nói không phải là con số. Mà là AI đã trở thành mục tiêu chính.
Lần đầu tiên trong lịch sử Pwn2Own, có hẳn một category riêng cho AI: AI Databases, Coding Agents, và Local Inferences. Và kết quả? Gần như mọi sản phẩm AI lớn đều bị "pwn" — OpenAI Codex, Anthropic Claude Code, LiteLLM, LM Studio, NVIDIA Megatron Bridge, Chroma.
Những Con Số Biết Nói
Theo Zero Day Initiative (đơn vị tổ chức Pwn2Own):
- 22 entries thi đấu trong ngày đầu
- 24 zero-day được xác nhận
- $523,000 tiền thưởng đã trao
- DEVCORE đang dẫn đầu Master of Pwn
Điểm qua một số exploit ấn tượng nhất:
Orange Tsai (DEVCORE) — $175,000 cho Microsoft Edge
Orange Tsai, cái tên quen thuộc trong giới security research, đã chained 4 logic bugs để đạt sandbox escape trên Microsoft Edge. Đây là exploit đắt nhất ngày — $175,000 và 17.5 Master of Pwn points.
Điều thú vị: sandbox escape luôn là bài toán khó nhất trong browser exploitation. Chaining 4 bugs cho thấy trình độ cực kỳ cao.
STARLabs SG — LM Studio bị hack với 5 bugs chained
Đội STARLabs SG đã chained 5 bugs (bao gồm SSRF và Code Injection) để exploit LM Studio — một local AI inference tool phổ biến. Họ nhận $40,000.
LM Studio là tool mà nhiều developer đang dùng để chạy LLM trên máy local. Việc nó bị hack đặt ra câu hỏi lớn: local AI có thực sự an toàn hơn cloud AI không?
Compass Security — OpenAI Codex bị exploit
OpenAI Codex — AI coding agent mà nhiều developer đang dùng hàng ngày — đã bị Compass Security khai thác với chỉ 1 bug (CWE-150). $40,000 cho một bug duy nhất.
Đây là lời nhắc nhở: coding AI agent đang có quyền truy cập vào codebase, terminal, và nhiều hệ thống nhạy cảm. Nếu agent bị exploit, hậu quả sẽ rất lớn.
Góc Nhìn Từ Việt Nam
Điều đáng tự hào: Viettel Cyber Security có mặt tại Pwn2Own Berlin năm nay với 2 entries:
- Le Duc Anh Vu nhắm vào OpenAI Codex (không thành công trong thời gian quy định)
- @rewhiles nhắm vào Anthropic Claude Code (thành công nhưng bị collision — bug đã biết trước)
Dù không giành giải lớn, việc có đại diện Việt Nam tại sân chơi hàng đầu thế giới về security research là tín hiệu tích cực. Viettel Cyber Security đã và đang đầu tư nghiêm túc vào offensive security.
AI Coding Agent: Mục Tiêu Mới Của Attacker
Nhìn vào danh sách target tại Pwn2Own Berlin 2026, xu hướng rõ ràng:
- OpenAI Codex — 2 entries (1 collision)
- Anthropic Claude Code — 1 entry (collision)
- LiteLLM — 2 entries (1 collision)
- LM Studio — 2 entries
AI coding agent đang là "soft target" mới. Lý do:
- Quyền truy cập rộng: Agent có thể đọc/ghi code, chạy terminal, truy cập API
- Chưa mature về security: Các sản phẩm AI mới ra mắt 1-2 năm, security chưa được test kỹ
- Supply chain risk: Nếu agent bị compromise, attacker có thể inject malicious code vào hàng triệu project
Theo Dustin Childs của Zero Day Initiative, category AI tại Pwn2Own 2026 nhận được nhiều entry nhất từ trước đến nay — cho thấy security researchers cũng nhìn thấy rủi ro lớn ở đây.
NVIDIA Megatron Bridge: 3 Lần Bị Khai thác
NVIDIA Megatron Bridge — component trong NVIDIA AI infrastructure — bị exploit 3 lần trong ngày đầu:
- Satoki Tsuji (Ikotas Labs): Overly Permissive Allowed List bug — $20,000
- Yoseop Kim: CWE-470 (Use of Uninitialized Variable) — $10,000
- haehae (Out Of Bounds): Path Traversal — $10,000
Ba đội khác nhau, ba loại bug khác nhau, cùng một sản phẩm. Đây là dấu hiệu cho thấy NVIDIA Megatron Bridge có vấn đề systemic về security.
Bài Học Cho Developer
1. Local AI Không Có Nghĩa Là An Toàn
Nhiều người nghĩ chạy AI trên máy local (LM Studio, Ollama) sẽ an toàn hơn cloud. Pwn2Own Berlin 2026 cho thấy điều đó không đúng. Local AI vẫn có vulnerabilities, và attacker vẫn có thể exploit chúng.
2. AI Coding Agent Cần Được Cô Lập
Nếu bạn đang dùng AI coding agent (Copilot, Cursor, Codex), hãy:
- Chạy agent trong sandbox/container
- Hạn chế quyền truy cập của agent vào production systems
- Review code do AI tạo trước khi commit
- Monitor agent activity trong CI/CD pipeline
3. Security Không Phải Là Optional
Sản phẩm AI càng phổ biến, càng trở thành target. Các công ty AI cần đầu tư mạnh hơn vào:
- Security audit định kỳ
- Bug bounty program
- Responsible disclosure process
4. Cập Nhật Phần Mềm Ngay
Nhiều zero-day tại Pwn2Own sẽ được vendor patch trong 90 ngày. Hãy cập nhật phần mềm thường xuyên — đặc biệt là các tool AI bạn đang dùng hàng ngày.
Kết Luận
Pwn2Own Berlin 2026 đánh dấu một bước ngoặt: AI chính thức trở thành mục tiêu tấn công hàng đầu. Không còn là lý thuyết, không còn là "có thể xảy ra trong tương lai" — nó đang xảy ra ngay bây giờ.
24 zero-day trong 1 ngày. $523,000 tiền thưởng. Và đây mới chỉ là ngày đầu.
Nếu bạn đang build sản phẩm AI, hoặc đang dùng AI coding tools hàng ngày, đây là lúc cần nhìn nhận security một cách nghiêm túc.
Tham khảo:
- Pwn2Own Berlin 2026 — Day One Results — Zero Day Initiative
- Hackers Used AI to Develop First Known Zero-Day 2FA Bypass — The Hacker News
- Pwn2Own Berlin 2026: 24 Zero-Days Net $523K on Day 1 — Anavem