Ajang kompetisi peretasan bergengsi Pwn2Own Berlin 2026 yang berlangsung bersamaan dengan konferensi OffensiveCon (14–16 Mei 2026) mencatatkan rekor baru pada hari kedua. Para peneliti keamanan berhasil membawa pulang hadiah tunai total sebesar $385.750 (sekitar Rp6,1 miliar) setelah mendemonstrasikan eksploitasi terhadap 15 celah keamanan zero-day unik pada berbagai produk enterprise, sistem operasi, hingga alat berbasis kecerdasan buatan (AI).
Sesuai aturan ketat Pwn2Own, seluruh perangkat dan sistem yang ditargetkan wajib menjalankan versi pembaruan paling mutakhir (fully patched). Setelah celah dipamerkan, para vendor memiliki waktu 90 hari untuk merilis tambalan (patch) resmi sebelum detail teknis kerentanan dibuka ke publik.
Sorotan Utama: Eksekusi Kode Jarak Jauh pada Microsoft Exchange
Bintang utama pada hari kedua adalah peneliti keamanan legendaris Cheng-Da Tsai (Orange Tsai) dari DEVCORE Research Team.
- Aksi Eksploitasi: Ia berhasil merangkai (chaining) tiga bug berbeda untuk menembus Microsoft Exchange Server.
- Dampak: Eksploitasi tersebut memungkinkannya melakukan Remote Code Execution (RCE) dengan hak akses tertinggi, yaitu SYSTEM privileges, tanpa memerlukan intervensi pengguna.
- Hadiah: Atas temuan spektakuler ini, Orange Tsai diganjar hadiah tunai sebesar $200.000. Menariknya, pada hari pertama ia juga mengantongi $175.000 setelah merangkai 4 bug logika untuk meloloskan diri dari sandbox Microsoft Edge.
Windows 11 dan Red Hat Linux Kembali Tumbang
Sistem operasi populer juga tidak luput dari serangan para peretas elite:
- Windows 11: Peneliti bernama Siyeon Wi mengantongi $7.500 setelah mengeksploitasi bug integer overflow untuk meretas Windows 11. Ini menambah daftar panjang setelah pada hari pertama Windows 11 berhasil dibobol tiga kali oleh tim lain melalui celah eskalasi hak akses (local privilege escalation).
- Red Hat Enterprise Linux (RHEL): Ben Koo dari Team DDOS sukses menaikkan hak aksesnya menjadi root pada RHEL untuk Workstation dan memenangkan $10.000.
- NVIDIA Container Toolkit: Peretas dengan alias 0xDACA dan Noam Trobishi memanfaatkan bug use-after-free untuk mengompromikan toolkit kontainer ini.
Kategori AI Jadi Target Baru
Untuk pertama kalinya, kategori Local Inference dan LLM (Large Language Model) menjadi panggung yang panas:
- Cursor AI: Le Duc Anh Vu dari Viettel Cyber Security berhasil meretas agen pengodean otomatis berbasis AI, Cursor AI, dan membawa pulang $30.000. Tim dari Compass Security juga berhasil mengeksploitasi platform yang sama dengan hadiah $15.000.
- OpenAI Codex: Sina Kheirkhah dari Summoning Team mendemonstrasikan celah zero-day pada OpenAI Codex dan mendapatkan $20.000.
Jadwal Hari Ketiga
Kompetisi hari ketiga diprediksi akan semakin agresif dengan target-target besar yang sudah mengantre, termasuk:
- Microsoft Windows 11
- VMware ESXi (Platform Virtualisasi Enterprise)
- Red Hat Enterprise Linux
- Microsoft SharePoint
- Berbagai agen pengodean berbasis AI lainnya.