Curamos 19 fontes por dia — HackerOne, Bugcrowd, Watchtowr, Assetnote, CISA KEV, writeups do Medium — e geramos dois briefings diferentes: um pro hunter caçar, outro pro CISO decidir.
A OpenAI formalizou um programa dedicado de bug bounty para vulnerabilidades de AI safety, com pool de U$1 milhão e recompensas entre U$250 e U$7.500 — sinalizando que prompt injection e vazamento de outputs de modelos proprietários são riscos tangíveis que seu programa de segurança precisa mapear.
OpenAI abriu programa público de bug bounty focado em safety no Bugcrowd com rewards de $250–$7.500, aceitando prompt injection em agentes, exfiltração de dados via hijack e bypass de controles de conta — classes que o programa de segurança tradicional rejeita.
A maior operadora de telecomunicações da Austrália torna público seu programa de recompensas por vulnerabilidades no Bugcrowd — movimento que segue diretamente o maior vazamento de dados da história do país, com 9,5 milhões de clientes afetados e ação judicial regulatória ainda em curso.
eToro, plataforma de social trading com mais de 35M de usuários, abre Managed Bug Bounty no Bugcrowd pagando de $100 a $15.000 — fintech regulada em múltiplas jurisdições é superfície rica pra IDOR, auth bypass e lógica de trading.
Empresas de energia, utilities e supply chain que conectaram contratos inteligentes a sistemas operacionais físicos em 2024-2025 podem ter criado um vetor de execução remota de código não monitorado — exatamente na camada que nenhum pentest cobre.
Assessment em plataforma crypto AI (redacted.gg, fev/2026) encontrou CVSS 9.1 em WebSocket GraphQL sem autenticação — qualquer pessoa acessava feed de sinais pagos sem JWT — e CVSS 7.5 em system prompt leak que expunha 14k tokens de arquitetura proprietária de 9 agentes.
Cada item vem com payload inline, grep pattern pra código alheio, análise da mecânica técnica e checklist de como replicar em outros alvos. Deep dive mostra onde outros hunters vão errar e onde está o pivot pra chain.
Mesmas fontes, outra lente. Breach vira risco de fornecedor, CVE vira priorização de patch, bounty novo vira benchmark de maturidade pro board. Cada item mapeia controle específico: LGPD, SOC 2, ISO 27001, NIST.
Curso do Ofjaaah — metodologia de quem já reportou 3 dígitos de vulns em H1, Bugcrowd e Intigriti.
Ver curso →Escopo, triagem, pagamento e gestão — tudo curado. Segurança contínua sem contratar hunter interno.
Cadastrar empresa →