世界最高峰ハッキング大会「Pwn2Own Berlin 2026」でのIkotas Labsの快挙

株式会社Ikotas Labsが、2026年5月14日から16日にドイツ・ベルリンで開催された世界有数のハッキングコンテスト「Pwn2Own Berlin 2026」において、賞金48,000ドル（約760万円）を獲得しました。この大会では、NVIDIAやOpenAIの製品に対して未発表の脆弱性を利用したエクスプロイトを連続で成功させたことが評価されました。

Pwn2Ownとは？

Pwn2Ownは、Trend Micro傘下のZero Day Initiative（ZDI）が主催する、世界中のトップハッカーが集まるハッキングコンテストです。選ばれたセキュリティリサーチャーたちが未知の脆弱性を実機環境で披露し、成功したエクスプロイトに対して高額賞金やMaster of Pwn Pointsが与えられます。今年の大会では、AIエージェントに関連する新たなカテゴリーが充実し、多くのメディアや研究者が注目を集めました。

Ikotas Labsのエクスプロイト成功に見るハッキング技術

Day 1: NVIDIAとLiteLLMへの攻撃

大会の初日、Ikotas LabsはNVIDIA Megatron Bridgeに対し、無防備なリストを利用した攻撃でリモートからの制御奪取（RCE）を実行しました。続いて、広く使用されているLiteLLMに対しても成功を収めました。これにより、2つのターゲットから合計$28,000を獲得し、3.75ポイントを得ました。

Day 3: OpenAI Codexへの挑戦

大会の最終日、Ikotas LabsはOpenAIのAIコーディングエージェントであるCodexに対し、独自の手法を用いて任意コード実行を遂行しました。この成果は、AIエージェントが今や攻撃対象となり得ることを証明し、4.0ポイントを獲得しました。

なぜIkotas Labsが成功したのか？

Ikotas Labsの成功の背景には、脆弱性発見のアプローチがあります。単なる手動解析やツール使用に頼るのではなく、AIを組み込んだ独自のハイブリッド手法を採用しています。この手法により、より多くの探索幅と深さを兼ね備えた実効性のある攻撃手順を構築しています。

AIエージェントのセキュリティ対策

AI技術の導入が進む中、企業はIkotas Labsの成果を活かして自社のAIエージェントが本当に安全であるか検証する必要があります。Ikotas Labsは、AIエージェントの脆弱性検査を専業とし、企業のエンジニアに向けたセキュリティ診断やコンサルティングを提供しています。

まとめ

Ikotas Labsが「Pwn2Own Berlin 2026」で達成した快挙は、AI時代のセキュリティ研究における重要な一歩となりました。AI製品のセキュリティを確保するためには、これまでとは異なる視点が求められます。Ikotas Labsの取り組みは、企業がAIを安全に利用するためのモデルを示すものです。

さらに、Ikotas Labsはこの大会での経験をもとに、他の未公開脆弱性の報告を進めており、引き続きAIセキュリティの最前線で活動を続けています。