Eae, o que vocês estudaram hoje?
Parem de mirar ferramentas de auto exploit para os sites do governo BR.
Sim, talvez essa promoção de API que você ta vendo fazem 3 meses valha a pena.
Pare de desfocar no que você estava estudando por que fulano postou x coisa no linkedin ou z no x.com e parece ser o segredo pra ser o melhor bug hunter.

E essas são as reflexões de hoje.
Cheers,

A projeção é que até novembro desse ano atinjamos 1000 inscritos aqui no canal =) 🔥

Bruno Menozzi (Zeroc00I)

Outro sobre o Molt https://x.com/galnagli/status/2018340152779718840?s=20

Resumo em 10 segundos:
Molt usava supabase, Nagli achou chave de api no frontend (JS), colou no claude e gerou uma tabela revelando que com o token tinha permissão de leitura e escrita. Boa noite

Outro sobre o Molt
https://x.com/galnagli/status/2018340152779718840?s=20

¯\_(ツ)_/
https://ethiack.com/news/blog/one-click-rce-moltbot

Ethiack

One-click RCE on Clawd/Moltbot in under 2 hours with an Autonomous Hacking Agent | Ethiack — Autonomous Ethical Hacking for continuous…

Our AI pentester, Hackian, found a RCE on Clawdbot/Moltbot by hacking it fully autonomously in under 2 hours. Learn how and read the logs in this blog.

Para aqueles que já estão mais avançados, o cara fala nos comentários como ele conseguiu explorar a google e alcançar uma recompensa alta.

Cara, não foi nada super complexo, ele só, por muito mérito dele, conhecia muito bem a estrutura da google.

Já vi outros pesquisadores foda que nem ele conseguir um impacto igual a ele só por manjar muito daquela empresa. Inspiração demais esses caras que vão a fundo no contexto, nas tecnologias, na regra de negócio

https://x.com/omer_asfu/status/2018370967571943455?s=46

Finalizei o ano de 2025 na 6º posição do ranking de bugbounty da Microsoft focado na categoria Office do Q4!

Por 1 relatório não fico em 3º, quem sabe no próximo Quarter =)

Tive uma ótima experiência com o time de triagem, sem nenhum problema na reprodução dos itens de bypasses encontrados em fixings feitos, bem como a elevação da criticidade quando contestei em primeiro momento. E os bountys são bem generosos.

Link do ranking: https://www.microsoft.com/en-us/msrc/blog/2026/01/congratulations-to-the-top-msrc-2025-q4-security-researchers

Eu não costumo divulgar essas coisas, inclusive faz mais de 1 mês que tenho essa info, mas também precisamos celebrar pequenas conquistas.

Caramba que reflexão foda e vai muito de encontro com o que publiquei uma vez sobre engenharia social não ser vista como hacking de verdade etc (eu ainda tenho um pouco desse preconceito), por mais que critico isso nos meus artigos:

Fecharam o parquinho 😂

Amanhã vou ver essa parada ai, ta muito em hype esse moltbook

https://x.com/moltbook/status/2017177460203479206?s=46

Moltbook: https://www.moltbook.com/u

Botnet for freeeeeee

Esse artigo parece promissor

https://lab.ctbb.show/research/parse-and-parse-mime-validation-bypass-to-xss-via-parser-differential

Saiu faz pouco