Pwn2Own 2026: Windows 11 i Edge rozbite w dwa dni – co to znaczy dla zwykłego użytkownika?

W skrócie

Podczas Pwn2Own Berlin 2026 etyczni hakerzy w zaledwie dwa dni znaleźli łącznie kilkadziesiąt nowych luk w Windows 11, Microsoft Edge, Exchange oraz popularnych narzędziach AI, zdobywając nagrody sięgające prawie miliona dolarów. Dla użytkowników oznacza to, że w najbliższych miesiącach pojawi się fala krytycznych aktualizacji zabezpieczeń, których nie warto odkładać. To także jasny sygnał, że nawet najnowsze systemy i aplikacje wymagać będą ciągłego łatana, jeśli mają pozostać względnie bezpieczne.

Pwn2Own – turniej, który obnaża słabości oprogramowania

Pwn2Own to organizowany dwa razy w roku konkurs, w którym najlepsi badacze bezpieczeństwa próbują w ograniczonym czasie wykorzystać luki w popularnych produktach – od systemów operacyjnych po przeglądarki i aplikacje. Za każdy skuteczny exploit przysługuje nagroda pieniężna, a ataki są weryfikowane na żywo przez organizatorów z Zero Day Initiative oraz przedstawicieli producentów. Kluczowe jest to, że wszystkie odkryte błędy trafiają następnie do vendorów i są łatane, zanim zaczną być masowo wykorzystywane przez cyberprzestępców.

W 2026 roku edycja w Berlinie szczególnie mocno uderzyła w Microsoft – w ciągu dwóch dni złamano zabezpieczenia Windows 11, Microsoft Edge, Exchange oraz kilku narzędzi sztucznej inteligencji. Łączna wartość przyznanych nagród po dwóch dniach sięgnęła 908 750 dolarów za 39 świeżych luk typu zero‑day. Co ważne, to dopiero wyniki po dwóch dniach, a wydarzenie ma jeszcze trzeci dzień, który może przynieść kolejne odkrycia.

Więcej o Zero Day Initiative można znaleźć na oficjalnej stronie Trend Micro ZDI.

Najgłośniejsze ataki: Windows 11 i Microsoft Exchange

Drugiego dnia Pwn2Own 2026 mocno oberwały Windows 11 oraz Microsoft Exchange. Badaczka Siyeon Wi zademonstrowała lukę związaną z przepełnieniem liczb całkowitych, co pozwoliło na eskalację uprawnień w systemie Windows 11. Za ten exploit przyznano jej 7500 dolarów, co jest stosunkowo niewysoką nagrodą jak na standardy konkursu, ale pokazuje, że nawet „mniejsze” błędy mogą mieć poważne konsekwencje.

Znacznie większe poruszenie wywołał atak Orange Tsai z zespołu DEVCORE na Microsoft Exchange. Udało jej się połączyć trzy różne luki, by uzyskać uprawnienia SYSTEM i zdalnie wykonać kod na serwerze Exchange (RCE – remote code execution). Za ten łańcuch błędów przyznano 200 000 dolarów, co dobrze pokazuje, jak groźna jest sytuacja: Exchange wciąż działa w tysiącach firm, w tym w administracji publicznej, a zdalne wykonanie kodu z uprawnieniami systemowymi to dokładnie ten typ błędu, którego od lat szukają gangi ransomware.

Więcej o Windows 11 i jego funkcjach bezpieczeństwa znajdziesz na oficjalnej stronie Windows 11.
Informacje o Exchange dostępne są na stronie Microsoft Exchange.

Edge, Windows 11 i deszcz zero‑dayów pierwszego dnia

Pierwszy dzień Pwn2Own 2026 również nie był dla Microsoftu zbyt łaskawy. Już 13 maja Windows 11 doczekał się kilku ciosów z różnych kierunków – badacze wykorzystali m.in. błąd kontroli dostępu, przepełnienie bufora na stercie oraz błędy typu use-after-free. Każdy z tych typów luk pozwala w określonych warunkach naruszyć integralność systemu, od eskalacji uprawnień po pełne przejęcie kontroli nad maszyną.

Na scenie pojawił się ponownie Orange Tsai, tym razem z atakiem na Microsoft Edge. Wykorzystując cztery błędy logiczne, badaczka zdołała uciec z piaskownicy przeglądarki, czyli mechanizmu izolującego procesy Edge od reszty systemu. Za ten exploit przyznano 175 000 dolarów, co pokazuje, jak cenna jest możliwość przełamania sandboxu, który ma być ostatnią linią obrony przed złośliwym kodem uruchamianym w przeglądarce.

Pierwszy dzień zakończył się 24 exploitami zero‑day i wypłatą 523 000 dolarów w nagrodach. Kiedy dodać do tego wyniki drugiego dnia – 15 kolejnych luk i 385 750 dolarów – uzyskujemy obraz imprezy, podczas której największe produkty Microsoftu były konsekwentnie testowane i łamane w kontrolowanych warunkach.

Szczegóły o przeglądarce Edge znajdziesz na stronie Microsoft Edge.

AI też pada: Ollama, LM Studio, Claude Desktop i spółka

Nowością w tegorocznej edycji Pwn2Own jest osobna kategoria poświęcona narzędziom AI. Jeszcze rok wcześniej praktycznie jej nie było, a dziś to pełnoprawny segment konkursu. Na liście „ofiar” znalazły się takie narzędzia jak Ollama, LM Studio, Claude Desktop, Cursor oraz OpenAI Codex.

Część z nich to aplikacje desktopowe do uruchamiania modeli lokalnie, inne to edytory z wbudowaną sztuczną inteligencją, coraz częściej wykorzystywane w firmach. Problem polega na tym, że takie programy bardzo często działają z szerokimi uprawnieniami i mają dostęp do systemu plików oraz innych zasobów systemu. W praktyce każdy RCE (zdalne wykonanie kodu) w takim narzędziu może oznaczać pełne przejęcie komputera, a nie tylko „zawieszenie się aplikacji z AI”.

Informacje o rozwiązaniach AI Microsoftu znajdziesz m.in. na stronie Microsoft AI.

Jak ważne są takie konkursy dla zwykłego użytkownika?

Z zewnątrz Pwn2Own może wyglądać jak spektakl dla nerdów: sceniczne demonstracje, wysokie czeki, tablice wyników. W praktyce to bardzo poważne przedsięwzięcie, w którym każdy exploit jest dokładnie weryfikowany, a badacze przeprowadzają swoją inżynierię wsteczną i prezentację na oczach jurorów oraz producentów. Od momentu zgłoszenia luki zaczyna się wyścig – firmy muszą przygotować i wypchnąć poprawki zanim podobne błędy zaczną być wykorzystywane na szeroką skalę przez cyberprzestępców.

Dla użytkowników wnioski są proste: jeżeli korzystasz z Windows 11, Microsoft Edge lub Exchange, w najbliższych miesiącach pojawi się seria aktualizacji bezpieczeństwa związanych bezpośrednio z wynikami z Berlina. Warto je instalować możliwie szybko, zamiast odkładać je „na potem”. To samo dotyczy firm używających narzędzi AI, które znalazły się na liście zhakowanych – tam opóźnianie aktualizacji może przełożyć się na realne ryzyko ataków.

Zasady bezpiecznego aktualizowania i konfiguracji Windows 11 opisane są na stronie pomocy technicznej Microsoft.

Co to mówi o kondycji bezpieczeństwa Windows 11 i Edge?

Pwn2Own nie jest pełnym obrazem bezpieczeństwa oprogramowania, ale jest bardzo wyrazistym testem odporności na ataki. Fakt, że w ciągu dwóch dni badaczom udało się znaleźć dziesiątki luk w Windows 11, Edge i Exchange, sugeruje, że powierzchnia ataku tych produktów nadal jest ogromna. Jednocześnie nieudane próby zhakowania Microsoft SharePoint i Apple Safari w wyznaczonym czasie pokazują, że niektóre komponenty są już zdecydowanie trudniejsze do złamania.

Dla Microsoftu to kolejny sygnał, że inwestycje w bezpieczeństwo muszą być stałym procesem, a nie jednorazową kampanią. W ostatnich latach firma mocno podkreśla rozwój zabezpieczeń w Windows 11 i swoich usługach chmurowych, ale wyniki Pwn2Own jasno pokazują, że „idealny” poziom wciąż nie został osiągnięty. Z punktu widzenia użytkownika najważniejsze jest jednak to, że wszystkie te luki zostały odnalezione w kontrolowanym środowisku i trafią do producenta w ramach odpowiedzialnego ujawnienia.

Więcej o ogólnej strategii bezpieczeństwa Microsoftu można przeczytać na stronie Microsoft Security.

Podsumowanie

Pwn2Own Berlin 2026 to bolesny, ale potrzebny sprawdzian dla ekosystemu Microsoftu – Windows 11, Edge i Exchange padły ofiarą dziesiątek nowych exploitów, za które badacze otrzymali prawie milion dolarów nagród. Z punktu widzenia zwykłego użytkownika najważniejsze jest, że te luki zostały wykryte przez etycznych hakerów, a nie przez cyberprzestępców, co daje szansę na szybkie załatanie problemów zanim staną się masowo wykorzystywane.

Analitycznie patrząc, Pwn2Own pokazuje dwie rzeczy naraz: z jednej strony, że nasze codzienne narzędzia – od systemu operacyjnego, przez przeglądarkę, po aplikacje AI – są pełne złożonych, trudnych do wykrycia błędów. Z drugiej strony, że istnieje dobrze funkcjonujący ekosystem odpowiedzialnego ujawniania i nagradzania badań, który realnie poprawia bezpieczeństwo całej branży. Dlatego warto traktować takie wydarzenia nie jako „złe wieści” o dziurawym Windowsie, ale jako przypomnienie, że regularne aktualizacje i podstawowa higiena cyfrowa to dziś absolutna podstawa.