Insiden ini bermula ketika seorang peneliti keamanan yang dikenal dengan nama MrBruh menemukan jendela konsol pembaruan AMD yang mencurigakan di PC gaming barunya. Setelah menelusuri kode, ia menemukan celah kritis: meskipun daftar pembaruan diunduh melalui koneksi HTTPS, tautan unduhan file eksekusinya masih menggunakan HTTP biasa. Lebih parah lagi, perangkat lunak tersebut tidak memverifikasi sertifikat atau tanda tangan digital sebelum menjalankan file yang diunduh.
Celah seperti ini memungkinkan serangan man-in-the-middle, di mana peretas yang berada di jaringan yang sama bisa mengganti file pembaruan AMD dengan program jahat. Karena pembaru berjalan dengan hak akses tinggi, akibatnya bisa sangat fatal: eksekusi kode dari jarak jauh.
MrBruh melaporkan temuan ini ke program hadiah AMD pada 6 Februari. Respons AMD mengecewakan: laporan ditutup dengan alasan "di luar cakupan" karena melibatkan serangan man-in-the-middle dan hanya memengaruhi alat opsional. Tidak ada hadiah yang diberikan, meskipun celah ini kemudian mendapat nomor CVE-2026-40677 dengan skor CVSS 4.0 sebesar 7,7 — kategori risiko tinggi.
Setelah MrBruh mempublikasikan temuannya dan artikelnya viral di Hacker News, tim keamanan internal AMD kembali muncul. Mereka meminta peneliti tersebut untuk menurunkan tulisannya, dengan alasan pengungkapan itu tidak sesuai dengan ketentuan program.
Yang lebih kontroversial, menurut laporan Gamers Nexus, AMD kemudian mengubah kata-kata dalam aturan program hadiahnya. Aturan baru menyebutkan bahwa peneliti tidak boleh mengungkap informasi kerentanan tanpa izin tertulis AMD — bahkan jika laporan mereka dinyatakan tidak memenuhi syarat hadiah atau di luar cakupan. Artinya, AMD menuduh MrBruh melanggar aturan yang baru dibuat setelah ia melanggarnya.
Pada 9 Juni, setelah 124 hari sejak laporan pertama, AMD akhirnya merilis tambalan. Pengumuman resmi perusahaan kini mengakui kerentanan tersebut dan memberikan kredit kepada MrBruh. Versi yang diperbaiki mencakup AMD Ryzen Master 2.14.3, AMD µProf 5.3, dan AMD Management Console 14.0.0.
Namun, MrBruh mengungkapkan bahwa meskipun AMD mengklaim semua komunikasi pembaruan kini menggunakan HTTPS, ia hanya menemukan pemeriksaan CRC32 pada file yang diunduh — bukan tanda tangan kriptografi yang sesungguhnya. Ia juga menemukan bug pengalihan terpisah yang membuat pembaru tidak bisa memperbarui dirinya sendiri dengan benar.
Saran MrBruh kepada pengguna: copot sepenuhnya perangkat lunak AMD dan unduh versi terbaru secara manual dari situs resmi perusahaan.