สรุปสั้น
การแข่งขัน Pwn2Own Berlin 2026 จัดขึ้นที่กรุงเบอร์ลิน ประเทศเยอรมนี เมื่อวันที่ 15-16 พฤษภาคม 2569 ผ่านไป 2 วันแรก นักวิจัยด้านความปลอดภัยค้นพบ 39 ช่องโหว่ zero-day ที่ไม่เคยถูกเปิดเผยมาก่อน เงินรางวัลรวมกว่า 908,750 ดอลลาร์สหรัฐ โดยวันแรกจ่าย 523,000 ดอลลาร์ และวันที่สองจ่าย 385,750 ดอลลาร์ เป้าหมายที่ถูกเจาะสำเร็จรวมถึง Windows 11, Microsoft Exchange, Red Hat Enterprise Linux, AI coding agents และอื่นๆ ไฮไลต์สำคัญคือ Orange Tsai จากทีม DEVCORE ที่ chain 3 bugs เจาะ Exchange ได้ Remote Code Execution ระดับ SYSTEM ทีม Viettel Cyber Security จากเวียดนามก็เข้าร่วมและเจาะ AI coding agent Cursor สำเร็จ สะท้อนศักยภาพของนักวิจัยอาเซียน
รายละเอียดข่าว
Pwn2Own เป็นการแข่งขันแฮ็กระดับโลกที่จัดโดย Zero Day Initiative (ZDI) ของ Trend Micro นักวิจัยด้านความปลอดภัยจะแข่งกันหาและสาธิตช่องโหว่ zero-day ในผลิตภัณฑ์จริง ช่องโหว่ที่ค้นพบจะถูกรายงานให้ vendor แก้ไข ครั้งนี้เป็นครั้งแรกที่จัดที่เบอร์ลิน และมีหมวด AI เป็นเป้าหมายใหม่
รายละเอียดช่องโหว่
การเจาะสำเร็จที่สำคัญในรอบ 2 วัน:
- Microsoft Exchange — Orange Tsai (DEVCORE) chain 3 bugs เพื่อได้ RCE as SYSTEM รับรางวัล $200,000
- AI Coding Agents — Viettel Cyber Security เจาะ Cursor ได้ ($30,000) และ Summoning Team เจาะ OpenAI Codex ได้ ($20,000)
- Windows 11 — หลายทีมสาธิตการยกระดับสิทธิ์ (privilege escalation) สำเร็จ
- Red Hat Enterprise Linux — Team DDOS ใช้ use-after-free bug ยกระดับสิทธิ์สำเร็จ ($10,000)
- AI Products วันแรก — ผลิตภัณฑ์ AI หลายตัวถูกเจาะสำเร็จรวม $523,000
ทีม DEVCORE นำเป็นจ้าวเวทีด้วย 40.5 คะแนน Master of Pwn และเงินรางวัลรวม $405,000
ผลกระทบต่อไทย
ช่องโหว่ที่ค้นพบใน Pwn2Own กระทบผลิตภัณฑ์ที่ใช้งานอย่างแพร่หลายในประเทศไทย ทั้ง Windows 11, Microsoft Exchange และ Linux servers เมื่อ vendor ออกแพตช์แก้ไข (โดยปกติภายใน 90 วันหลัง Pwn2Own) ผู้ดูแลระบบในไทยควรติดตั้งทันที
ที่น่าสนใจคือทีม Viettel Cyber Security จากเวียดนามเข้าร่วมและทำผลงานได้ดี แสดงให้เห็นว่านักวิจัยด้านความปลอดภัยในอาเซียนมีศักยภาพระดับโลก
คำแนะนำ
- ติดตามแพตช์จาก Microsoft, Red Hat และ vendor อื่นๆ หลัง Pwn2Own อย่างใกล้ชิด
- ทบทวนการใช้งาน AI coding agents ในองค์กร — จำกัดสิทธิ์และแยก environment จาก production
- ติดตั้งแพตช์ Windows 11, Exchange และ Linux ทันทีเมื่อ vendor ออกแก้ไขหลัง Pwn2Own
