Ta rolando uma revolta da comunidade com um novo serviço da H1 de um agente de IA treinado, e estao cogitando que foi treinado com todos relatórios da plataforma. Os bughunters tão p* da vida.
Eu to na correria mas tem um clip/short de 30 segundos dele falando sobre o impacto das IAs no bugbounty e que isso ta arruinando com o processo de triagem das plataformas. Quem quiser pegar o link e colocar nos comentários eu agradeço 🙏🏻🙏🏻🙏🏻
Uhhhhh saiu aqueles episodios que eu fico: ESSE TENHO QUE VER
https://youtu.be/XluCgXH1usY?si=aY4vvQtatzC8L9ed
Hoje ta correria pra variar, quando eu tiver tempo vou ver!!! dawgyg tem muita aura (giria da nova geracao) de hacker. Dá-me um pouco!
https://youtu.be/XluCgXH1usY?si=aY4vvQtatzC8L9ed
Hoje ta correria pra variar, quando eu tiver tempo vou ver!!! dawgyg tem muita aura (giria da nova geracao) de hacker. Dá-me um pouco!
Genial
https://spaceraccoon.dev/discovering-negative-days-llm-workflows/
https://spaceraccoon.dev/discovering-negative-days-llm-workflows/
spaceraccoon.dev
Discovering Negative-Days with LLM Workflows
It’s no longer just about reverse-engineering n-days. You can detect vulnerabilities in open-source repositories before a CVE is published - or even if they’re never published. Here’s how I built an LLM workflow to detect “negative-days” and “never-days”.
https://www.linkedin.com/posts/imthedaniels_cybersec-falhaseguranca-pentest-activity-7425916268173582337-8SAC
Tem uma parada que eu ando vendo aumentar cada vez mais e to curtindo dar uma lida nesses repositórios do GitHub que é o seguinte:
A galera cria prompts ensinando (skills) as IAs a saberem X assunto.
Eai volta e meia brota umas paradas que para os seres humanos acaba sendo uma fonte muito legal de estudar
Acredito que já já todas essas coisas não vão mais existir por que vai ter linguagem menos legível para plugar nas LLMs
https://github.com/semgrep/skills/tree/main/skills/code-security/rules
Aqui o repositórios do semgrep ensinando os agentes de IA a como achar algumas categorias de vulnerabilidade
A galera cria prompts ensinando (skills) as IAs a saberem X assunto.
Eai volta e meia brota umas paradas que para os seres humanos acaba sendo uma fonte muito legal de estudar
Acredito que já já todas essas coisas não vão mais existir por que vai ter linguagem menos legível para plugar nas LLMs
https://github.com/semgrep/skills/tree/main/skills/code-security/rules
Aqui o repositórios do semgrep ensinando os agentes de IA a como achar algumas categorias de vulnerabilidade
GitHub
skills/skills/code-security/rules at main · semgrep/skills
A collection of skills for AI coding agents from Semgrep - semgrep/skills
https://azure.status.microsoft/en-gb/status
Impact: Starting at 08:00 UTC on 07 February 2026, a subset of customers using Azure services in the West US region may experience intermittent service unavailability or delays in monitoring and log data for some resources hosted in the affected datacenter areas. Impacted customers may observe degraded performance or delayed telemetry as services continue to recover.
Impact: Starting at 08:00 UTC on 07 February 2026, a subset of customers using Azure services in the West US region may experience intermittent service unavailability or delays in monitoring and log data for some resources hosted in the affected datacenter areas. Impacted customers may observe degraded performance or delayed telemetry as services continue to recover.
https://exame.com/tecnologia/falha-no-amazon-web-services-derruba-pix-e-apps-de-bancos-neste-sabado-7/
Exame
Falha na Amazon Web Services derruba Pix e apps de bancos neste sábado, 7 | Exame
Instabilidade em serviços da Amazon Web Services gerou dificuldades no Pix e em aplicativos bancários, segundo relatos de usuários e dados do DownDetector
https://www.youtube.com/watch?v=TCzB94pCojk
Da serie: ah mas o atacante precisa estar posicionado na rede pra efetuar esse ataque. Mermao, o cara tbm nunca pensou que estar dentro do email dele seria algo possivel. Qualquer um pode ver todos emails dele acessando um site que ta rolando ai. Por isso que muitas vezes quando o ataque é autenticado ou quando ataque exige posicionamento na rede, sim o cvss diminui, mas po, isso não é um item informacional não. Se ligue ai.
O contexto pode sempre mudar, como nesse caso a leitura dos emails dele passou a nao ter autenticacao, um sistema pode perder o firewall, o arquivo sem permissao de leitura pode virar com, o servidor com um fixing pode ser restaurado pra uma versao sem ele. Etc.
Mesma logica pra links de cadastro que nao expiram: ah mas o atacante ja ta no email da vitima pra que vou fazer expirar etc
O contexto pode sempre mudar, como nesse caso a leitura dos emails dele passou a nao ter autenticacao, um sistema pode perder o firewall, o arquivo sem permissao de leitura pode virar com, o servidor com um fixing pode ser restaurado pra uma versao sem ele. Etc.
Mesma logica pra links de cadastro que nao expiram: ah mas o atacante ja ta no email da vitima pra que vou fazer expirar etc
