Pwn2Own Berlin 2026 setzte mit 47 Zero Days und 1,3 Millionen Dollar Preisgeld neue Rekorde. Die bedeutendere Erkenntnis des Wettbewerbs liegt jedoch anderswo. Mehrere Teams nutzten KI maßgeblich bei der Exploit-Entwicklung, was das Patch-Fenster für Verteidiger von Tagen auf Stunden schrumpfen lässt.
Das Endergebnis des Wettbewerbs Pwn2Own 2026: Knapp 1,3 Millionen US-Dollar Preisgeld, 47 entdeckte Zero Days und ein spektakulärer Exchange-Hack.
(Bild: TrendAI)
Drei Tage Hochspannung im Berliner Hilton: Der von der TrendAI Zero Day Initiative (ZDI) ausgerichtete Wettbewerb Pwn2Own Berlin 2026 ging als bislang prämienstärkster Pwn2Own in die Geschichte ein. Am Rande der Offensive-Security-Konferenz OffensiveCon flossen Preisgelder in Höhe von 1.298.250 US-Dollar an die Teilnehmer. Führende Hacking-Teams und „Einzelkämpfer“ aus aller Welt, entdeckten insgesamt 47 nachweislich neue Zero-Day-Schwachstellen. Im Fokus standen klassische Enterprise-Systeme, Webbrowser und Virtualisierung, dazu erstmals in dieser Breite KI-Komponenten: lokale Inferenzdienste, KI-Datenbanken, Coding-Agenten sowie eine eigene Kategorie für NVIDIA-Produkte.
Den Titel „Master of Pwn“ sicherte sich souverän das taiwanesische DEVCORE Research Team mit 50,5 Punkten und 505.000 US-Dollar – fast die Hälfte des Gesamtpreisgelds. Auf Platz zwei folgten STARLabs SG (Singapur) mit 25 Punkten und 242.500 US-Dollar Preisgeld, Rang drei ging an Out Of Bounds mit 12,75 Punkten und 95.750 US-Dollar.
Das Highlight lieferte DEVCORE-Forscher Orange Tsai. Er verkettete drei Bugs, um Remote Code Execution mit System-Privilegien auf Microsoft Exchange zu erzielen und räumte damit 200.000 US-Dollar ab, den höchstmöglichen Preis in dieser Kategorie. Bereits am ersten Tag hatte DEVCORE mit vier Logikfehlern einen Sandbox-Escape in Microsoft Edge demonstriert (175.000 US-Dollar). Am Schlusstag folgte ein SharePoint-Exploit für weitere 100.000 US-Dollar. Ebenfalls spektakulär: STARLabs-Forscher Nguyen Hoang Thach knackte VMware ESXi inklusive Cross-tenant-Code-Execution mittels eines einzelnen Memory-Corruption-Bug. Dafür erhielt er ebenfalls 200.000 US-Dollar.
Hacker zwischen Triumph und Tragik
Während der Versuche herrscht bei Teilnehmern und Zuschauern gleichermaßen Hochspannung.
Wettbewerbe wie Pwn2Oen leben von der einzigartigen Atmosphäre vor Ort: Konzentrierte Stille, angespanntes Bangen, wenn das Zeitfenster zu verstreichen droht, erleichterter Jubel nach einem geglückten Exploit. Und immer wieder kleine Tragödien, wenn ein Forscher später erfährt, dass seine vermeintlich neue Lücke dem Hersteller bereits bekannt war oder ein anderer Teilnehmer des Wettbewerbes dieselbe Lücke bereits gemeldet hatte. In beiden Fällen reduziert sich die ausgelobte Prämie auf einen Bruchteil.
Genau solche „Kollisionen“, also Treffer, die bereits dokumentiert waren, traten in Berlin in ungewöhnlich hoher Zahl auf. Die ZDI verzeichnete etwa 40 Prozent mehr Dubletten als im Vorjahr. Hinzu kamen mehrere fehlgeschlagene Versuche, etwa bei Apple Safari oder Microsoft SharePoint, sowie zahlreiche Rückzüge von Einreichungen während des laufenden Wettbewerbes. Besonders auffällig: Im Browser-Bereich zog die Mehrheit der Teilnehmer ihre Einreichungen kurz vorher zurück. Eine plausible Erklärung liefern Sicherheitsupdates in den Tagen vor dem Event, darunter der jüngste Microsoft-Patchday und ein umfangreiches Firefox-Update, die offenkundig einige vorbereitete Exploits unbrauchbar machten.
Die spannendste Entwicklung spielte sich aber jenseits der Bühne ab: Künstliche Intelligenz ist endgültig in der Schwachstellenforschung angekommen, und zwar auf beiden Seiten. Mehrere erfolgreiche Teilnehmer bestätigten unumwunden, dass ihre Exploit-Codes zu wesentlichen Teilen mit Hilfe großer Sprachmodelle entstanden seien. Die menschliche Leistung bestehe zunehmend in der Ideenfindung, dem Bug-Verständnis und der Orchestrierung. Die mühsame Detailarbeit beim Codieren übernimmt hingegen das LLM.
Die hohe Kollisionsrate lässt sich ebenfalls in diesem Licht deuten: Verschiedene Menschen nutzen KI um Code auf Schwachstellen abzuklopfen. Zwangsläufig haben dabei einige die gleiche Idee und finden dieselben Bugs. Im Vorfeld des Pwn2Own mussten einige Bewerbungen aus Kapazitätsgründen abgelehnt werden. Diese meldeten ihre Funde direkt an die betreffenden Hersteller. Unternehmen wie Mozilla, die bekannt für schnelle Aktualisierungen sind, hatten so die Gelegenheit, Sicherheitslücken zu füllen.
Angriffe auf KI-Systeme
Team Out of Bounds freut sich über einen erfolgreichen Hack der Open-Source-Bibliothek LiteLLM.
Aufschlussreich war auch der Blick auf die KI-Kategorie selbst. OpenAIs Coding-Agent Codex wurde dreimal erfolgreich über Zero Days angegriffen. Bei Anthropic Claude Code hingegen stellten sich sämtliche eingereichten Treffer als Kollisionen heraus. Anthropic hat seinen eigenen Code vermutlich mit dem hauseigenen Modell Mythos auditieren lassen – ein deutliches Indiz, dass KI im Closed-Loop-Setting auf Augenhöhe mit menschlichen Forschern operieren kann, sobald sie vollen Zugriff auf den Quellcode hat. Auch bei Coding-Agenten wie Cursor, lokalen Inferenz-Tools wie LM-Studio und LiteLLM, beim NVIDIA Container Toolkit sowie bei Ollama wurden reihenweise Bugs entdeckt.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Konsequenzen für Verteidiger: Das Patch-Fenster schließt sich
Was bedeutet das für Sicherheitsverantwortliche? Wer KI-gestützt nach Schwachstellen sucht, findet sie schneller, in größerer Zahl und mit geringerem Personalaufwand. Diese Beschleunigung gilt – das ist die unbequeme Wahrheit – auch für die andere Seite. Die Asymmetrie zwischen Angreifer und Verteidiger verschiebt sich erkennbar: Wo früher Tage oder Wochen zur Verfügung standen, um auf einen veröffentlichten Patch zu reagieren, geht es künftig nur noch um Stunden.
Für die Praxis heißt das: Patch-Management muss sich vom reaktiven Routineprozess zum proaktiven, priorisierten Echtzeit-Workflow entwickeln. Virtuelles Patching – also Schutz auf Netzwerk- oder Endpoint-Ebene, bevor ein offizieller Hersteller-Fix vorliegt – wird vom Zusatznutzen zur strategischen Notwendigkeit. Genau hier setzen moderne Exposure-Management-Ansätze und KI-gestützte Sicherheitsplattformen an, die Schwachstellen kontextualisiert nach tatsächlichem Geschäftsrisiko priorisieren, statt stupide CVE-Listen abzuarbeiten.
Ausblick: Der Mensch bleibt vorerst die Wildcard
Ob KI menschlichen Exploit-Profis mittelfristig überlegen sein wird, bleibt offen. Im Open-Source-Umfeld und überall dort, wo Quellcode zugänglich ist, spielen Sprachmodelle ihre Stärken bereits aus. Im Closed-Source-Bereich – also dort, wo der überwiegende Teil der Enterprise-Angriffe stattfindet – hat der Mensch derzeit noch die Nase vorn, jedoch zunehmend mit KI als Sparringspartner. Wie lange dieses Gleichgewicht hält, wird die spannende Frage für die kommenden Pwn2Own-Ausgaben – die nächste findet im Oktober im irischen Cork statt.
Eines ist nach Berlin sicher: Wer im Patch-Wettlauf nicht beschleunigt, läuft Gefahr, von einem KI-gestützten Exploit überholt zu werden, bevor das Sicherheitsteam überhaupt die CVE-Meldung gesichtet hat. Die betroffenen Hersteller haben nun die üblichen 90 Tage Zeit, ihre Patches bereitzustellen. Die Uhr tickt also.
Über den Autor: Richard Werner ist Security Advisor bei TrendAI, einem Geschäftsbereich von Trend Micro.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/10/29/1029632149ace81503c5d0731e73bb08/0131721645v1.jpeg "Das Endergebnis des Wettbewerbs Pwn2Own 2026: Knapp 1,3 Millionen US-Dollar Preisgeld, 47 entdeckte Zero Days und ein spektakulärer Exchange-Hack. (Bild: TrendAI)")
:quality(80)/p7i.vogel.de/wcms/d5/ae/d5ae6ae233a009330a25014b7ad26be5/0131718020v1.jpeg "Die Schwachstelle CVE-2026-0257 in PAN-OS GlobalProtect erlaubt gefälschte Cookies für VPN-Verbindungen ohne Zugangsdaten. Palo Alto Networks bestätigt aktive Angriffe. (Bild: © InfiniteFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7c/88/7c883e70f2835b20884d0d799e9b6527/0131412375v2.jpeg "Je größer das Unternehmen, desto mehr externe Software- und Hardwarelieferanten. Damit steigt jedoch auch das Risiko für die Cybersicherheit. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6e/82/6e82fdbb739cd087a830e083304efddd/0131257592v1.jpeg "Robert Frank von DigiCert skizziert in seinem Beitrag, warum die digitale Vertrauensinfrastruktur aus DNS und Public Key Infrastructure jetzt auf ein neues Fundament gestellt werden muss, und warum die nötigen Arbeiten sowohl organisatorisch dieselben Teams betreffen als auch in dieselbe Zeit fallen. (Bild: DigiCert)")
:quality(80)/p7i.vogel.de/wcms/3d/c3/3dc3db24bf156cca9fefd90806ec2815/0131065257v1.jpeg "Clumio-CTO Woon Ho Jung: „Resilienz muss genauso dynamisch sein wie die moderne, KI-zentrierte Cloud-Umgebung, die sie schützt.“ (Bild: Commvault)")
:quality(80)/p7i.vogel.de/wcms/1b/8c/1b8c9daac953cdc1626e92fc5b1dbef6/0122470970v1.jpeg "Microsofts Juni-Patchday schließt rund 206 Schwachstellen, darunter einen aktiv ausgenutzten Zero-Day in Defender. Sicherheitsteams müssen zusätzlich außerplanmäßige Exchange-Updates einplanen. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/42/69/4269999773d4d413fa17a36ece8ae43a/0131174875v1.jpeg "Akamai erweitert seine API-Security-Plattform um ein Posture Center und Code-to-Runtime-Mapping für messbare API-Sicherheit und schnellere Fehlerbehebung. (Bild: Akamai)")
:quality(80)/p7i.vogel.de/wcms/82/83/8283d1d700e0582909b74705cc6c4e28/0131665494v2.jpeg "Die kritische Schwachstelle CVE-2026-20223 mit CVSS 10.0 erlaubt unauthentifizierten Angreifern Site-Admin-Rechte in Cisco Secure Workload zu erlangen. Patches sind verfügbar. (Bild: © ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d3/7d/d37da587e71df94e386d637359e2dd20/0131661753v2.jpeg "Underminr leitet Verbindungen über fremde CDN-Mandanten und tarnt dabei C2-Verkehr hinter erlaubten Domains. Rund 88 Millionen Domains sind potenziell betroffen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0e/77/0e7755d3244b65ac9dcf77251d1f5246/0131519002v1.jpeg "Die EU-Verordnung eIDAS 2.0 schafft zwar einen standartisierten Rahmen für digitale Identitäten, wird von Unternehmen aber als komplex und teuer empfunden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/aa/8d/aa8da96123055f62a20b360a8d395663/0131669958v1.jpeg "Unkontrollierte API-Schlüssel für KI-Agenten werden zur wachsenden Angriffsfläche. Mit dem EU AI Act wird der Kontrollverlust zum regulatorischen Risiko für Unternehmen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e2/96/e2964b14fad79c176076050c1c3fb7c8/0131694920v2.jpeg "DSGVO-Schulungen sind Pflicht, aber viele Unternehmen scheuen den Aufwand. Datenschutzaufsichtsbehörden bieten kostenlose Hilfen für Unterweisungen und Schulungsmaterialien. (Bild: © DOC RABE Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/eb/93eb3147fbb7a93702638c0baa15aa5d/0131538616v2.jpeg "NIS2-ready? Mit dem NIS2 Readiness Check von Enginsight sollen Unternehmen das nun in unter zehn Minuten erfahren können. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/38/73/38736859f3bbd53b9fc6edcc8f372f1a/0131559499v1.jpeg "Der ATHENE Startup Award UP26@it-sa richtet sich an junge Cybersecurity- und Datenschutz-Startups aus Deutschland, Österreich und der Schweiz. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dc/e7/dce7048477ac2b6f9d1411475c2fef78/0131183563v1.jpeg "Malware wie Viren, Würmer und Trojaner ist Software, die nur für den Zweck erzeugt wird, Schaden anzurichten. (Bild: Olemedia via Getty Images Signature)")
:quality(80)/p7i.vogel.de/wcms/a3/7d/a37d1d1261dbe550bbc86876a966b983/0131028980v1.jpeg "Netzwerke brauchen besonderen Schutz. Dieser Schutz muss für interne und externe Verbindungen, z.B. mit mobilen Geräten und Cloud-Services, sichergestellt sein. (Bild: Pixabay / CC0 )")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/18/55/18559ea317e85b9b15194a214fdc7b71/0124904605v1.jpeg "Der White-Hat-Hacking-Contest „Pwn2Own“ fand dieses Jahr mit KI als neuer Kategorie in Berlin statt. (Bild: Marvin Djondo-Pacham)")
:quality(80)/p7i.vogel.de/wcms/5b/69/5b69d41b8faa10828581f592b35db269/0127622302v1.jpeg "Symbolbild: Beim White-Hat-Hacker-Wettbewerb treten internationale Teams gegeneinander an, um bislang unbekannte Sicherheitslücken in Geräten und Anwendungen aufzudecken. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/36/f43693b0cd657c8c9cfa004f386d9945/0123600513v1.jpeg "Bei der „Pwn2Own Automotive 2025“ entdeckten White-Hat-Hacker 49 Zero-Day-Schwachstellen, mit Methoden, die auch Cyberkriminelle nutzen können. (Bild: VicOne)")
:quality(80)/p7i.vogel.de/wcms/31/cf/31cfd2b3ca1f33fa50c7a723c6c41d0c/0123901295v2.jpeg "Die Hacker-Community verlässt zunehmend das Nerd-Image und findet legale, profitable Einkommensquellen. Zudem erlebt das Hardware-Hacking aktuell eine Renaissance – eine Rückkehr zu den eigenen Wurzeln. (Bild: AIPERA - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/69/5b69d41b8faa10828581f592b35db269/0127622302v1.jpeg "Symbolbild: Beim White-Hat-Hacker-Wettbewerb treten internationale Teams gegeneinander an, um bislang unbekannte Sicherheitslücken in Geräten und Anwendungen aufzudecken. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f2/42/f242d4d6e27cd8a61db781b0ff706c8d/0126172371v2.jpeg "Seit 20 Jahren suchen die Forscherinnen und Forscher der Zero Day Initiative nach Zero-Day-Sicherheitlsücken, um das Internet sicherer vor Cyberangreifern zu machen – ein Meilenstein zu dem wir gerne gratulieren! (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")