شهد اليوم الثاني من مسابقة Pwn2Own Berlin 2026 اكتشاف واستغلال 15 ثغرة يوم صفر جديدة، استهدفت أنظمة ومنتجات بارزة مثل Windows 11 وMicrosoft Exchange وRed Hat Enterprise Linux for Workstations. وبلغت قيمة الجوائز المالية الموزعة خلال اليوم نحو 385,750 دولارًا، في استمرار واضح لتصاعد الاهتمام الأمني بتطبيقات المؤسسات وتقنيات الذكاء الاصطناعي.
أبرز اختراقات Pwn2Own Berlin 2026 في اليوم الثاني
الحدث الأبرز جاء من الباحث الأمني Cheng-Da Tsai المعروف باسم Orange Tsai من فريق DEVCORE Research Team، بعدما تمكن من ربط ثلاث ثغرات مختلفة للحصول على تنفيذ أوامر عن بُعد بصلاحيات SYSTEM على Microsoft Exchange.
هذا الإنجاز منحه جائزة مالية بلغت 200 ألف دولار، ليواصل تصدره للمنافسة بعد نجاحه أيضًا في اليوم الأول باستغلال ثغرات في Microsoft Edge.
كما شهدت المنافسات اختراقات أخرى مهمة، منها:
- استغلال ثغرة Integer Overflow لاختراق Windows 11.
- رفع صلاحيات على Red Hat Enterprise Linux for Workstations.
- استغلال ثغرة Use-After-Free في NVIDIA Container Toolkit.
- اختراق أدوات ذكاء اصطناعي مخصصة للبرمجة مثل Cursor وOpenAI Codex.
ثغرات Windows 11 كانت هدفًا متكررًا
واصل Windows 11 الظهور ضمن أكثر الأنظمة المستهدفة خلال المسابقة، وهو أمر متوقع نظرًا لاعتماده الواسع داخل الشركات والمؤسسات.
الباحثة Siyeon Wi حصلت على 7,500 دولار بعد استغلال ثغرة تؤدي إلى تجاوز في الأعداد الصحيحة (Integer Overflow)، بينما تمكن باحثون آخرون خلال اليوم الأول من تنفيذ هجمات رفع صلاحيات ناجحة على النظام نفسه.
تكرار استهداف Windows 11 في مسابقات من هذا النوع لا يعني بالضرورة أن النظام غير آمن، لكنه يعكس حجم الاهتمام الأمني بالبحث عن نقاط ضعف داخل الأنظمة واسعة الانتشار.
لماذا تحظى Microsoft Exchange باهتمام كبير من الباحثين؟
يُعد Microsoft Exchange من أكثر الحلول استخدامًا في بيئات الشركات، لذلك فإن أي ثغرة تسمح بتنفيذ أوامر عن بُعد قد تتحول إلى خطر كبير إذا استُغلت فعليًا.
الحصول على صلاحيات SYSTEM يعني امتلاك مستوى تحكم مرتفع جدًا داخل الخادم المستهدف، وهو ما يفسر قيمة الجائزة الكبيرة التي حصل عليها Orange Tsai.
عادةً ما تكون خوادم البريد الإلكتروني هدفًا جذابًا للمهاجمين بسبب احتوائها على بيانات حساسة واتصالها المباشر بالبنية التحتية للمؤسسات.
أدوات الذكاء الاصطناعي دخلت ساحة الاختبارات الأمنية
مسابقة هذا العام ركزت بشكل واضح على تطبيقات الذكاء الاصطناعي، خصوصًا أدوات البرمجة المعتمدة على النماذج اللغوية.
نجحت عدة فرق في استغلال ثغرات ضمن:
| الأداة | نوع الاستهداف | قيمة الجائزة |
|---|---|---|
| Cursor | اختراق وكيل برمجي بالذكاء الاصطناعي | 30,000 دولار |
| OpenAI Codex | استغلال ثغرة يوم صفر | 20,000 دولار |
| Cursor بواسطة Compass Security | استغلال إضافي | 15,000 دولار |
هذا التوسع في اختبار تطبيقات الذكاء الاصطناعي يعكس التحول الحالي في مجال الأمن السيبراني، حيث أصبحت أدوات الذكاء الاصطناعي جزءًا أساسيًا من بيئات العمل والتطوير.
كيف تعمل مسابقات Pwn2Own؟
تعتمد Pwn2Own على اختبار منتجات محدثة بالكامل بأحدث الإصدارات الأمنية، ما يجعل نجاح الاستغلالات أكثر أهمية من الناحية التقنية.
ومن بين القواعد الأساسية للمسابقة:
- يجب استهداف أنظمة تعمل بآخر التحديثات المتوفرة.
- يتعين على الباحث إثبات تنفيذ تعليمات برمجية فعلية.
- تحصل الشركات على مهلة 90 يومًا لإصلاح الثغرات بعد الكشف عنها.
تشمل الفئات المستهدفة هذا العام:
- متصفحات الويب
- الخوادم المؤسسية
- البيئات السحابية والحاويات
- أنظمة التشغيل
- تطبيقات الذكاء الاصطناعي
- أدوات البرمجة المعتمدة على النماذج اللغوية
اليوم الثالث قد يشهد استهدافات أكثر تعقيدًا
من المتوقع أن تتواصل المنافسات مع محاولات لاختراق:
- Microsoft Windows 11
- VMware ESXi
- Microsoft SharePoint
- Red Hat Enterprise Linux
- أدوات برمجة مدعومة بالذكاء الاصطناعي
ويبدو أن التركيز على تطبيقات الذكاء الاصطناعي سيزداد خلال السنوات المقبلة، خاصة مع توسع استخدامها داخل الشركات والمؤسسات التقنية.
📡 للمزيد من التغطيات اليومية، استكشف قسم الأخبار عبر موقعنا.
ابقَ دائماً في قلب الحدث التقني! 🔍
انضم الآن إلى نخبة متابعينا على تيليجرام و واتساب لتصلك أهم الأخبار والحصريات فور حدوثها! 💡

