Bug Bounty Virou Alvo de Golpistas com IA!
Relatórios falsos gerados por IA estão entupindo plataformas como HackerOne. Criminosos usam ChatGPT e afins pra criar textão técnico cheio de termos fictícios (funções que não existem, patches imaginários) e tentar lucrar com recompensas.
Caso recente: Um "pesquisador" mandou um report pro projeto curl citando commits inexistentes e falhas irreproduzíveis. A equipe do curl, que manja do código, detectou a farsa na hora. Mas outras empresas, sem expertise, pagam pra evitar stress – virou caixa fácil pra golpistas.
O esquema é simples: o relatório parece técnico, mas quando a equipe pede detalhes específicos (ex: "mostre onde tá essa função no código"), o scammer desiste ou inventa mais mentira. É pura enrolação automatizada.
Projetos open-source (Python, urllib3) já tão cansados de perder tempo checando lixo gerado por IA. E se plataformas como HackerOne não banirem esses perfis rápido, a credibilidade do bug bounty vai pro ralo.
Resumo da ópera: IA tá sendo usada pra poluir programas de recompensa com relatórios fake. Empresas precisam de equipes técnicas pra não cair nesse golpe.
Fonte: Sarah Gooding, Socket Security (06/05/2025).
https://socket.dev/blog/ai-slop-polluting-bug-bounty-platforms
Relatórios falsos gerados por IA estão entupindo plataformas como HackerOne. Criminosos usam ChatGPT e afins pra criar textão técnico cheio de termos fictícios (funções que não existem, patches imaginários) e tentar lucrar com recompensas.
Caso recente: Um "pesquisador" mandou um report pro projeto curl citando commits inexistentes e falhas irreproduzíveis. A equipe do curl, que manja do código, detectou a farsa na hora. Mas outras empresas, sem expertise, pagam pra evitar stress – virou caixa fácil pra golpistas.
O esquema é simples: o relatório parece técnico, mas quando a equipe pede detalhes específicos (ex: "mostre onde tá essa função no código"), o scammer desiste ou inventa mais mentira. É pura enrolação automatizada.
Projetos open-source (Python, urllib3) já tão cansados de perder tempo checando lixo gerado por IA. E se plataformas como HackerOne não banirem esses perfis rápido, a credibilidade do bug bounty vai pro ralo.
Resumo da ópera: IA tá sendo usada pra poluir programas de recompensa com relatórios fake. Empresas precisam de equipes técnicas pra não cair nesse golpe.
Fonte: Sarah Gooding, Socket Security (06/05/2025).
https://socket.dev/blog/ai-slop-polluting-bug-bounty-platforms
Socket
AI Slop Is Polluting Bug Bounty Platforms with Fake Vulnerab...
AI-generated slop reports are making bug bounty triage harder, wasting maintainer time, and straining trust in vulnerability disclosure programs.
Saiba mais em: https://boletimsec.com.br/ceo-da-crowdstrike-doa-us-1-bilhao-em-acoes-e-abandona-o-controle-da-empresa/
Nas últimas postagens aqui, temos falado muito de IA e MCP
Esse artigo aqui mostra que os pesquisadores identificaram que você rodando normalmente o Google Chrome, as extensões, mesmo com sandbox ativo, ainda conseguem se comunicar com o localhost e chamar um MCP que você por engano deixou ativo.
O impacto é uma execução remota de código, provavelmente sem você nem se dar conta:
https://www.infosecurity-magazine.com/news/chrome-extension-ai-engine-act-mcp/
Nesse caso aí não foi nenhum bad actor explorando, mas já enxergaram esse vetor. É questão de tempo pra gente ser obrigado a aprender esses security flaws by design para mitigar ataques que estão por vir através do uso do MCP.
Esse artigo aqui mostra que os pesquisadores identificaram que você rodando normalmente o Google Chrome, as extensões, mesmo com sandbox ativo, ainda conseguem se comunicar com o localhost e chamar um MCP que você por engano deixou ativo.
O impacto é uma execução remota de código, provavelmente sem você nem se dar conta:
https://www.infosecurity-magazine.com/news/chrome-extension-ai-engine-act-mcp/
Nesse caso aí não foi nenhum bad actor explorando, mas já enxergaram esse vetor. É questão de tempo pra gente ser obrigado a aprender esses security flaws by design para mitigar ataques que estão por vir através do uso do MCP.
From Day Zero to Zero Day
A Hands-On Guide to Vulnerability Research
https://nostarch.com/zero-day
Ebook, $47.99
Print Book (PREORDER) and EARLY ACCESS Ebook, $59.99
Talk dele:
THREAT CON 2022- Automation for Manual Bug Bounty Hunters By Eugene Lim (spaceraccoonsec)
https://www.youtube.com/watch?v=DlTWet7JcKk&ab_channel=THREATCON
https://spaceraccoon.dev/
https://www.youtube.com/watch?v=8luBKcy6Xjc
Tu pode conferir aqui:
https://www.linkedin.com/posts/activity-7326668848777052160-w1G-
O conteúdo desses caras é muito bom, eu particularmente sou fã.
Saiu episódio novo =)
https://www.youtube.com/watch?v=Ae4cR00P9LU
Saiu episódio novo =)
https://www.youtube.com/watch?v=Ae4cR00P9LU
Vaga para Pleno Application Security Consultant na Conviso.
https://convisoappsec.gupy.io/jobs/8952424
Via Danilo Costa (Linkedin)
https://www.linkedin.com/posts/danilomcosta_vagas-carreira-appsec-activity-7325914146842066945-phji
https://convisoappsec.gupy.io/jobs/8952424
Via Danilo Costa (Linkedin)
https://www.linkedin.com/posts/danilomcosta_vagas-carreira-appsec-activity-7325914146842066945-phji
