Två lag tog över AI-kodverktyget Cursor framför publiken under Pwn2Own i Berlin.
Säkerhetsforskaren Le Duc Anh Vu från vietnamesiska Viettel Cyber Security tog hem 30 000 dollar för en fullständig övertagning av Cursor under tävlingens andra dag, enligt en sammanställning från Security Affairs. Schweiziska Compass Security fick 15 000 dollar för en egen exploit i en senare runda.
Pwn2Own Berlin 2026 hölls 14–16 maj i anslutning till säkerhetskonferensen OffensiveCon. Sammanlagt delades 1 298 250 dollar ut för 47 unika nolldagssårbarheter under de tre dagarna. Arrangör är Zero Day Initiative (ZDI), en del av Trend Micro.
AI-verktygen är de nya måltavlorna
Cursor var långt ifrån ensamt. Forskare fick också betalt för att knäcka OpenAI Codex, Claude Code, LM Studio, LiteLLM, Ollama, NVIDIA Megatron Bridge och vektordatabasen Chroma, framgår av sammanställningen hos SecurityWeek. Belöningarna i AI-kategorin låg mellan 15 000 och 40 000 dollar per exploit.
Intresset för att attackera generativ AI har vuxit så snabbt att Pwn2Own för första gången på 19 år tvingades stänga anmälningen en vecka i förväg. Forskare som inte fick plats valde i stället att publicera sina fynd på egen hand, vilket Hackread beskriver som ett tecken på att branschens responstid inte hänger med.
Det här bör du undvika att klistra in
Bilden från Berlin förstärker en redan känd risk. När anställda klistrar in interna dokument, kundinformation eller källkod i publika chattbottar hamnar materialet ofta på leverantörens servrar, och i värsta fall i framtida träningsdata. Den uppmärksammade Samsung-incidenten, där ingenjörer klistrade in proprietär källkod i ChatGPT för felsökning, ledde till ett företagsförbud mot externa AI-tjänster.
Tre tumregler om du använder AI-chattar i jobbet:
-
Klistra aldrig in kod, kontrakt, kunddata eller interna mejl i en publik tjänst. Använd företagets egen instans om en sådan finns.
-
Var extra försiktig med verktyg som har tillgång till filsystem, terminal eller webbläsare. AI-kodredigerare som Cursor och Claude Code kan köra kommandon åt dig, och det är just den kapaciteten angriparna riktar in sig på.
-
Granska all kod som AI:n föreslår innan du kör den, särskilt om den hämtats från externa kodförråd. En sårbarhet som Cursor patchade i februari, CVE-2026-26268, lät en angripare köra godtycklig kod via en gömd Git-hook när utvecklaren öppnade ett projekt.
Vad leverantörerna gör
Sårbarheter som demonstreras på Pwn2Own rapporteras direkt till tillverkarna, som har 90 dagar på sig att släppa en patch innan de tekniska detaljerna offentliggörs. Modellen ska ge tid till en ordnad uppdatering, och resultaten från Berlin innebär att Cursor och de övriga AI-leverantörerna nu har klockan tickande mot mitten av augusti.
Vinnaren av tävlingen blev det taiwanesiska laget DEVCORE, som kammade hem 505 000 dollar och titeln Master of Pwn efter en serie attacker mot Microsoft Edge och Exchange, enligt Bleeping Computer.