AIカテゴリで5製品が陥落——「AIは特別扱い」の幻想が崩れた
Pwn2Own Berlin 2026では今年初めて「AI Databases」「Coding Agents」「Local Inferences」「NVIDIA製品」の4カテゴリが新設された。
攻撃者にとってAIプラットフォームは格好の標的となった。
成功した主な攻撃は次のとおりだ。LiteLLMではサーバーサイドリクエストフォージェリ(SSRF)とコードインジェクションを連鎖させた攻撃が成功し、研究者は4万ドルを獲得。OpenAI Codexには2チームが独立して侵入に成功。LM Studioもゼロデイで陥落、NVIDIA Megatron Bridgeには2件の独立したゼロデイが見つかった。ベクターデータベースのChromaも侵害された。
なかでも注目されるのがLiteLLMへの攻撃だ。LiteLLMはLLMアプリのプロキシ基盤として多くの企業に採用されており、AIエージェントのバックエンドを支える「目に見えない中間層」が実際に突破されたことを意味する。
初日52万3000ドル——近年最高ペース
初日に24件のゼロデイが実証され、賞金52万3000ドルが支払われた。DEVCORE Research TeamのOrange Tsaiは、Microsoft Edgeで4件の論理バグを連鎖させてサンドボックス脱出に成功し、単一エントリで17万5000ドルを獲得している。
2日目(5月15〜16日)もWindows 11、Microsoft Exchange、Red Hat Enterprise Linuxが標的となり、15件のゼロデイが追加で実証されて38万5750ドルが加算された。
2日間の合計賞金は90万8750ドルに達しており、主催するZero Day Initiative(ZDI)は「総額が過去最高を更新する可能性が高い」としている。
定員オーバー——弾かれた研究者がゼロデイを公開
今年のPwn2Own Berlinは19年の歴史で初めて応募が定員を超過した。参加を断られた研究者の一部が、Firefox、NVIDIA、AIプラットフォームを対象とした動作するゼロデイを単独で公開した。
競技のルール上、参加企業には通常90日の修正猶予が与えられるが、不参加の研究者にはその制約がない。セキュリティコミュニティの一部からは「修正サイクルを破壊する行為だ」と批判の声が上がっている。
AIプラットフォームを含む新興技術のセキュリティ強化が急務とされるなか、Pwn2Own 2026は「AIは攻撃者にとっての新しい攻撃面だ」という事実を数字で証明した形になった。
ソース:
- Pwn2Own Berlin 2026, Day One: $523,000 paid out, AI products fall — Security Affairs(2026年5月14日)
- Pwn2Own Berlin 2026: $523K Paid for 24 Zero-Days on Day One — Anavem(2026年5月14日)
- Microsoft Edge, Windows 11, and LiteLLM Fall to Exploits at Pwn2Own Berlin 2026 — GBHackers(2026年5月14日)
- Pwn2Own Berlin 2026 Hits Capacity as Rejected Hackers Release 0-Days — Hackread(2026年5月)
