Через несколько дней в Берлине снова состоится популярный конкурс хакеров Pwn2Own. Однако, очевидно, далеко не все, кто хотел бы продемонстрировать эксплуатацию найденной уязвимости, смогут принять в нём участие. Как показывают соответствующие сообщения на X (открывается в новом окне), организатор, инициатива Zero Day Initiative (ZDI) компании Trend Micro, уже уведомил множество желающих, что доступные мощности полностью исчерпаны.
Организатор объяснил в письме пострадавшим, что получил «шквал электронных писем», но, к сожалению, не может добавить дополнительные мощности или дни проведения мероприятия. Сообщается, что за 19-летнюю историю проведения Pwn2Own это первый случай, когда Trend Micro вынуждена устанавливать ограничения и отказывать многочисленным желающим.
International Cyber Digest в публикации на X (открывается в новом окне) перечисляет несколько команд, пострадавших от этих ограничений. Некоторые из отклонённых заявителей, как сообщается, уже публично демонстрируют свои эксплойты и сообщают о них напрямую затронутым производителям.
Среди находок, по-видимому, многочисленные уязвимости нулевого дня, позволяющие удалённо выполнять вредоносный код. Согласно имеющейся информации, среди обнаруженных уязвимостей — проблемы в продуктах Nvidia и Oracle, а также в Docker, Pytorch, LiteLLM, Firefox (открывается в новом окне), Claude Code, Ollama и LM Studio.
ИИ стимулирует исследования уязвимостей
Сообщается, что более 150 хакеров пытались зарегистрироваться для участия в Pwn2Own. Однако многие из них, очевидно, не получили места и поэтому не смогут принять участие в мероприятии.
Хотя Trend Micro в своём письме пострадавшим не указала причину такого наплыва желающих, она, скорее всего, связана с тем, что благодаря инструментам ИИ в последнее время стало очень легко выявлять опасные уязвимости. За последние месяцы многие разработчики программного обеспечения также отметили резкий, порой почти непреодолимый, рост количества отправленных отчётов об ошибках.
Тем, кто всё же получил место на Pwn2Own, не стоит радоваться слишком рано. Если отклонённые заявители теперь сообщат о своих находках производителям другими путями, уязвимости, которые планировалось продемонстрировать на конкурсе, к тому моменту могут быть уже исправлены из-за возможных коллизий. Поэтому можно предположить, что доля запланированных демонстраций, которые провалятся, будет необычно высокой — с соответствующим вычетом баллов.