Lembram aquele post que fiz aqui sobre a criação de túneis do Cloudflare que facilitou pra gente expor um serviço local na internet rapidamente usando um domínio trycloudflare.com para testes, como em cenários de SSRF onde precisávamos de um endpoint público sem banners ou restrições de headers?
Pois é, os atacantes estão utilizando essa mesmíssima funcionalidade do Cloudflare para se camuflar na confiabilidade dessa organização para hospedar seus payloads maliciosos e infraestrutura de comando e controle, tornando a detecção e o bloqueio de suas atividades bem mais complicados para as equipes de defesa.
Meta e Yandex foram pegas explorando uma brecha no Android para vincular o histórico de navegação anônimo de usuários aos seus perfis de aplicativos, contornando as proteções de privacidade existentes. Google e outros fabricantes de navegadores estão tomando medidas, mas pesquisadores apontam para a necessidade de mudanças mais profundas no próprio sistema Android.
A notícia do Ars Technica revela que Meta (empresa mãe do Facebook e Instagram) e a empresa russa Yandex estão desanonimizando o histórico de navegação de usuários Android. Elas utilizam códigos de rastreamento (Meta Pixel e Yandex Metrica), embutidos em milhões de websites, para abusar de protocolos legítimos da internet.
A nova ferramenta de IA sem censura, https://venice.ai, está causando alarme na comunidade de segurança cibernética. Oferecendo acesso irrestrito a modelos de linguagem avançados por apenas $18 por mês, ela supera concorrentes como WormGPT e FraudGPT, que custam centenas ou até milhares de dólares.
O design focado na privacidade, que armazena historicos de conversas apenas no navegador do usuário, torna-a atraente para criminosos cibernéticos, que podem desativar filtros de segurança restantes.
Relatórios falsos gerados por IA estão entupindo plataformas como HackerOne. Criminosos usam ChatGPT e afins pra criar textão técnico cheio de termos fictícios (funções que não existem, patches imaginários) e tentar lucrar com recompensas.
Caso recente: Um “pesquisador” mandou um report pro projeto curl citando commits inexistentes e falhas irreproduzíveis. A equipe do curl, que manja do código, detectou a farsa na hora. Mas outras empresas, sem expertise, pagam pra evitar stress – virou caixa fácil pra golpistas.
Nas últimas postagens aqui, temos falado muito de IA e MCP
Esse artigo aqui mostra que os pesquisadores identificaram que você rodando normalmente o Google Chrome, as extensões, mesmo com sandbox ativo, ainda conseguem se comunicar com o localhost e chamar um MCP que você por engano deixou ativo.
O impacto é uma execução remota de código, provavelmente sem você nem se dar conta:
Tempos atrás, eu até criei um script pensando nessa lógica: “E se, quando bots de IA tentassem acessar meu site, eu fizesse eles acharem que encontraram algo útil?” Cheguei a criar umas páginas fake pra prender as requisições, e aquilo até parecia que eu tava ajudando outros sites a não serem escaneados… ou só tava me sentindo um rebelde trollando os crawlers 🤣.
Selecionou uma parte do codigo apk decompilado e pelo jadx, abre uma janela ao lado com interacao de ai. Mandou um “what does the highlighted code do”
[Photo]
Os gray bots (robôs cinzentos) tão bombando com a IA generativa e invadindo sites feito loucos.
Segundo a Barracuda, geram até 500 mil solicitações FALSAS por dia — e tem app que levou 9,7 milhões de requests em 1 mês. Os piores são o ClaudeBot e o Bytespider (do TikTok), que confundem tráfego humano com bot.
Passando pra falar de AI de novo com um conteúdo muito foda.
É galera não tem pra onde correr a onda ta cada vez maior
O video é com o criador do Burp e o diretor de pesquisa
Saiu há algumas horas atras
[Webpage: How Burp AI can elevate your pentesting -