OK, OK.
TODO: Testar a AI do Caido

Tem uma parada que eu ando vendo aumentar cada vez mais e to curtindo dar uma lida nesses repositórios do GitHub que é o seguinte:

A galera cria prompts ensinando (skills) as IAs a saberem X assunto.
Eai volta e meia brota umas paradas que para os seres humanos acaba sendo uma fonte muito legal de estudar
Acredito que já já todas essas coisas não vão mais existir por que vai ter linguagem menos legível para plugar nas LLMs

https://github.com/semgrep/skills/tree/main/skills/code-security/rules

Aqui o repositórios do semgrep ensinando os agentes de IA a como achar algumas categorias de vulnerabilidade

GitHub

skills/skills/code-security/rules at main · semgrep/skills

A collection of skills for AI coding agents from Semgrep - semgrep/skills

Pensando aqui em fazer um mini lab de Xs-leaks pra vocês

Itaú web ta abrindo, talvez seja uma alternativa pra quem tá precisando

Bruno Menozzi (Zeroc00I)

https://exame.com/tecnologia/falha-no-amazon-web-services-derruba-pix-e-apps-de-bancos-neste-sabado-7/

https://azure.status.microsoft/en-gb/status

Impact: Starting at 08:00 UTC on 07 February 2026, a subset of customers using Azure services in the West US region may experience intermittent service unavailability or delays in monitoring and log data for some resources hosted in the affected datacenter areas. Impacted customers may observe degraded performance or delayed telemetry as services continue to recover.

Vaga Pentester

https://www.linkedin.com/posts/corsefi_a%C3%AA-rede-a-redwolves-powered-by-cyber-horizon-activity-7425628379762216960-Wh4W

Galera, vídeo maneiro do Eric Fraga pra quem curte infosec mas não sabe nem por qual área atuar. 2 Horas de conteúdo falando sobre as mais diversas áreas:
https://www.youtube.com/watch?v=TCzB94pCojk

Bruno Menozzi (Zeroc00I)

Sim o bilionario anotou a senha do proprio email em um papel e deixou na nuvem

Da serie: ah mas o atacante precisa estar posicionado na rede pra efetuar esse ataque. Mermao, o cara tbm nunca pensou que estar dentro do email dele seria algo possivel. Qualquer um pode ver todos emails dele acessando um site que ta rolando ai. Por isso que muitas vezes quando o ataque é autenticado ou quando ataque exige posicionamento na rede, sim o cvss diminui, mas po, isso não é um item informacional não. Se ligue ai.

O contexto pode sempre mudar, como nesse caso a leitura dos emails dele passou a nao ter autenticacao, um sistema pode perder o firewall, o arquivo sem permissao de leitura pode virar com, o servidor com um fixing pode ser restaurado pra uma versao sem ele. Etc.

Mesma logica pra links de cadastro que nao expiram: ah mas o atacante ja ta no email da vitima pra que vou fazer expirar etc

Bruno Menozzi (Zeroc00I)

Essa era uma das senhas do Epstein

Sim o bilionario anotou a senha do proprio email em um papel e deixou na nuvem

Bruno Menozzi (Zeroc00I)

1Island

Essa era uma das senhas do Epstein

Bruno Menozzi (Zeroc00I)

Photo

Sou mais que pentester
Sou Prompt Injection Engineer Senior

🏦 curl Report
⚠️ Title: Path Traversal Vulnerability in curl via Unsanitized IPFS_PATH Environment Variable
🔍 Reporter: ziad616 (Ziad Salah)

📋 Details:
└ 📊 Status: not-applicable
└ ⚡ Severity: High
└ 🎯 CWE: Path Traversal
└ 🔢 CVE: None

⏰ Timeline:
└ 🔓 Disclosed: 2025-06-28 21:11:42 UTC
└ 📝 Created: 2025-04-18 17:41:19 UTC

HackerOne

curl disclosed on HackerOne: Path Traversal Vulnerability in curl...

A path traversal vulnerability exists in curl versions with IPFS support (7.81.0+). The IPFS_PATH environment variable is not properly sanitized, allowing attackers to read arbitrary files by...

Eaí, lendo o report desse cara, concordam com o CEO da curl ou com o pesquisador

1Island