Microsoft Edge, Windows 11 និង LiteLLM ត្រូវបានគេលួចចូលនៅក្នុងទីក្រុង Pwn2Own ទីក្រុងប៊ែរឡាំង ឆ្នាំ២០២៦

Pwn2Own ទីក្រុងប៊ែរឡាំង ឆ្នាំ២០២៦ បានបើកជាមួយនឹងការកើនឡើងនៃការកេងប្រវ័ញ្ចគ្មានថ្ងៃ (zero-day exploits) ដែលផ្តោតលើកម្មវិធីរុករកទំនើបៗ ប្រព័ន្ធប្រតិបត្តិការ និងវេទិកា AI ដែលកំពុងលេចចេញ។

នៅថ្ងៃដំបូងតែមួយ ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខបានលួចចូល Microsoft Edge, Windows 11 និង LiteLLM ដោយជោគជ័យ ដោយរកបានសរុប ៥២៣,០០០ ដុល្លារសម្រាប់ចំណុចខ្សោយចំនួន ២៤ តែមួយគត់។

លទ្ធផលបង្ហាញពីការពិតកាន់តែខ្លាំងឡើងថា ប្រព័ន្ធអេកូឡូស៊ី AI និងបច្ចេកវិទ្យាសហគ្រាសស្នូលកំពុងរងការប៉ះពាល់កាន់តែខ្លាំងឡើងចំពោះការវាយប្រហារស្មុគស្មាញ និងច្រវាក់។

ការគេចចេញពី Edge Sandbox

ការបង្ហាញដ៏មានឥទ្ធិពលបំផុតមួយបានមកពី Orange Tsai មកពីក្រុមស្រាវជ្រាវ DEVCORE ដែលបានអនុវត្តការគេចចេញពី sandbox ដ៏ទំនើបប្រឆាំងនឹង Microsoft Edge។

ការកេងប្រវ័ញ្ចនេះបានចងចំណុចខ្សោយតក្កវិជ្ជាចំនួនបួនផ្សេងគ្នា ដោយប្រែក្លាយចំណុចខ្សោយតូចតាចទៅជាការសម្របសម្រួលប្រព័ន្ធពេញលេញ។

បច្ចេកទេសកម្រិតខ្ពស់នេះរកបាន ១៧៥,០០០ ដុល្លារ និង ១៧.៥ ពិន្ទុ Master of Pwn ដែលដាក់ DEVCORE ក្នុងការនាំមុខ។

ការវាយប្រហារនេះបង្ហាញពីរបៀបដែលសុវត្ថិភាពកម្មវិធីរុករកទំនើបនៅតែអាចរំលងបាន នៅពេលដែលចំណុចខ្សោយជាច្រើនត្រូវបានផ្សំជាយុទ្ធសាស្ត្រ។

ការកើនឡើងសិទ្ធិពិសេស Windows 11

Microsoft Windows 11 បានលេចចេញជាគោលដៅសំខាន់មួយទៀត ជាមួយនឹងការវាយប្រហារបង្កើនសិទ្ធិពិសេសជាច្រើនដងដោយជោគជ័យពេញមួយថ្ងៃ។

អ្នកស្រាវជ្រាវបន្ថែមក្រោយមកបានបង្ហាញការវាយប្រហារដោយប្រើការលើសចំណុះសតិបណ្ដោះអាសន្នផ្អែកលើ heap និងភាពងាយរងគ្រោះ use-after-free។

Angelboy និង TwinkleStar03 មកពី DEVCORE បានទាញយកប្រយោជន៍ពីកំហុសគ្រប់គ្រងការចូលប្រើមិនត្រឹមត្រូវដើម្បីទទួលបានសិទ្ធិពិសេស។

ការសម្របសម្រួលម្តងហើយម្តងទៀតទាំងនេះបង្ហាញថា សូម្បីតែប្រព័ន្ធប្រតិបត្តិការចាស់ទុំនៅតែងាយរងគ្រោះដោយសារការខូចខាតអង្គចងចាំ និងបញ្ហាគ្រប់គ្រងការចូលប្រើ។

LiteLLM កេងប្រវ័ញ្ច

ហេដ្ឋារចនាសម្ព័ន្ធ AI បានប្រឈមមុខនឹងការត្រួតពិនិត្យយ៉ាងធ្ងន់ធ្ងរ ដោយ LiteLLM បានធ្លាក់ទៅជាការកេងប្រវ័ញ្ចខ្សែសង្វាក់ពេញលេញដោយអ្នកស្រាវជ្រាវ k3vg3n។

ការវាយប្រហារនេះបានរួមបញ្ចូលគ្នានូវភាពងាយរងគ្រោះចំនួនបី រួមទាំង Server-Side Request Forgery (SSRF) និងការចាក់កូដ ដែលអនុញ្ញាតឱ្យមានការកាន់កាប់ប្រព័ន្ធពេញលេញ។

ការកេងប្រវ័ញ្ចនេះរកបាន 40,000 ដុល្លារ និងបានបង្ហាញពីរបៀបដែលក្របខ័ណ្ឌ AI ជាពិសេសអ្នកដែលដោះស្រាយការបញ្ចូលខាងក្រៅ និង APIs អាចណែនាំចន្លោះប្រហោងសុវត្ថិភាពដ៏សំខាន់ ប្រសិនបើមិនត្រូវបានពង្រឹងឱ្យបានត្រឹមត្រូវ។

AI និងឧបករណ៍អ្នកអភិវឌ្ឍន៍ស្ថិតនៅក្រោមសម្ពាធ

គោលដៅផ្សេងទៀតដែលផ្តោតលើ AI ក៏បានជួបប្រទះការសម្របសម្រួលដោយជោគជ័យផងដែរ។ OpenAI Codex ត្រូវបានក្រុមអ្នកស្រាវជ្រាវ Compass Security កេងប្រវ័ញ្ចដោយប្រើចំណុចខ្សោយ CWE-150។

ស្ពាន Megatron របស់ NVIDIA ត្រូវបានរំលោភបំពានច្រើនដងដោយសារតែបញ្ជីអនុញ្ញាតដែលអនុញ្ញាតខ្លាំងពេក និងភាពងាយរងគ្រោះនៃផ្លូវឆ្លងកាត់។

ខណៈពេលដែលនៅតែទទួលបានរង្វាន់ ករណីទាំងនេះបង្ហាញពីបញ្ហាជាប់លាប់មួយ៖ អង្គការនានាបរាជ័យក្នុងការជួសជុលចំណុចខ្សោយសុវត្ថិភាពដែលគេស្គាល់ឱ្យបានឆាប់រហ័ស។

យោងតាមគំនិតផ្តួចផ្តើម Zero Day លទ្ធផលថ្ងៃដំបូងពី Pwn2Own Berlin 2026 បង្ហាញពីការផ្លាស់ប្តូរដ៏សំខាន់មួយនៅក្នុងទេសភាពគំរាមកំហែង។

អ្នកវាយប្រហារលែងផ្តោតតែលើកម្មវិធីប្រពៃណីទៀតហើយ ប៉ុន្តែកំពុងកំណត់គោលដៅយ៉ាងសកម្មលើវេទិកា AI ម៉ាស៊ីនសន្និដ្ឋាន និងឧបករណ៍អភិវឌ្ឍន៍។

ដោយ DEVCORE នាំមុខគេក្នុងការប្រកួតប្រជែង និងគោលដៅដែលមានតម្លៃខ្ពស់ជាច្រើនទៀតនៅខាងមុខ ព្រឹត្តិការណ៍នេះត្រូវបានគេរំពឹងថានឹងបង្ហាញពីភាពងាយរងគ្រោះកាន់តែជ្រៅនៅក្នុងថ្ងៃខាងមុខ ដែលផ្តល់ការព្រមានយ៉ាងច្បាស់ដល់អ្នកលក់ និងសហគ្រាសដូចគ្នា។