Pwn2Own Automotive 2026은 2026년 1월 21일부터 23일까지 일본 도쿄에서 Trend Micro의 ZDI(Zero Day Initiative) 주관으로 개최됐다. 해커들은 3일 동안 차량용 인포테인먼트(IVI) 시스템, EV 충전기, 차량 운영체제(Automotive Grade Linux) 등을 대상으로 76개의 신규 제로데이 취약점을 시연했다.

대회 첫날에만 37개의 제로데이가 발굴되어 새로운 기록을 세웠다. Tesla 인포테인먼트 시스템, Sony·Alpine 시스템이 1일차부터 해킹에 성공했다. Synacktiv 팀은 정보 유출 취약점과 경계 밖 쓰기(out-of-bounds write) 결함을 연결해 Tesla 인포테인먼트에서 루트 권한을 획득하여 $35,000을 받았다.

EV 충전기 분야에서는 Autel MaxiCharger, Alpitronic HYC50(DC 급속 충전기), ChargePoint, Phoenix Contact, Grizzl-E, EMPORIA 등에 대한 공격이 성공했다. 특히 Synacktiv 팀은 Autel MaxiCharger NFC 카드 태그만으로 충전기에 침투했으며, 핀란드 팀 Juurin Oy는 Alpitronic HYC50에 TOCTOU(Time-of-Check-to-Time-of-Use) 버그를 이용해 충전기 화면에 Doom 게임을 실행하는 독창적인 시연을 선보였다.

우승은 Team Fuzzware.io가 차지했으며, $215,500을 획득해 Master of Pwn 타이틀을 받았다. 국내 보안 기업 78리서치랩과 페토웍스도 참가해 각각 Phoenix Contact 충전 컨트롤러 CHARX SEC-3150 공격 및 차량 IVI 공격을 성공시키며 글로벌 수준의 기술력을 입증했다.