CVEs que importam, writeups que pagam, programas novos em Bugcrowd e HackerOne, técnicas de research que você pode replicar hoje.
OpenAI abriu programa público de bug bounty focado em safety no Bugcrowd com rewards de $250–$7.500, aceitando prompt injection em agentes, exfiltração de dados via hijack e bypass de controles de conta — classes que o programa de segurança tradicional rejeita.
eToro, plataforma de social trading com mais de 35M de usuários, abre Managed Bug Bounty no Bugcrowd pagando de $100 a $15.000 — fintech regulada em múltiplas jurisdições é superfície rica pra IDOR, auth bypass e lógica de trading.
Assessment em plataforma crypto AI (redacted.gg, fev/2026) encontrou CVSS 9.1 em WebSocket GraphQL sem autenticação — qualquer pessoa acessava feed de sinais pagos sem JWT — e CVSS 7.5 em system prompt leak que expunha 14k tokens de arquitetura proprietária de 9 agentes.
Writeup educacional demonstra como um oracle Ethereum pode ser weaponizado para entregar pickle payload RCE ao backend Web2 de infraestrutura crítica — o ledger imutável vira vetor de ataque.
OX Security divulgou 15+ CVEs em LiteLLM, Flowise, Windsurf e mais 8 projetos AI via falha by-design no STDIO transport do MCP — Anthropic recusou alterar o protocolo, classificando o comportamento como 'expected'.
Atacantes injetam texto de phishing nos campos de nome/sobrenome de uma Apple ID falsa, forçam trigger de notificação de alteração de endereço, e a mensagem chega na caixa da vítima assinada por appleid@id.apple.com — SPF pass, DKIM pass, IP Apple real.
Com 40.000+ CVEs publicados em 2024 (~110/dia), EPSS entrega probabilidade de exploração em 30 dias via XGBoost com 1.400 features — score ≥0.50 já justifica patch urgente, ≥0.90 é incêndio.
