🚀 Một auditor bảo mật đã fine‑tune Qwen3‑14B với >10k trace “bug‑hunting” từ DeepSeek. Kết quả: cải thiện ~20% so với mô hình gốc, giảm chi phí token so với các frontier model siêu lớn. Đây là ví dụ thực tiễn cho việc distill kỹ năng vào mô hình nhỏ để tiết kiệm tài nguyên. #LLM #AI #BugHunting #Security #AnNinh #Mô_hình #Tiết_kiệm #Công_nghệ #Vietnam 🇻🇳

https://www.reddit.com/r/LocalLLaMA/comments/1qj271s/finetuned_qwen314b_on_10k_deepseek_traces_20_on/

Kernel bugs hide for 2 years on average. Some hide for 20

https://pebblebed.com/blog/kernel-bugs

#HackerNews #KernelBugs #HiddenForYears #SoftwareSecurity #TechNews #BugHunting

Анатомия Prompt Injection: Как я вошел в топ-10 глобального рейтинга Lakera Agent Breaker

Как пробить многоуровневую защиту LLM-агента, обученную на 80+ млн атаках? В декабре 2025 я вошел в топ-10 глобального рейтинга Lakera Agent Breaker. В этой статье - не просто обзор решения, а детальный разбор уязвимостей современных LLM-систем и архитектура кастомного фаззинг-пайплайна.

https://habr.com/ru/articles/979476/

#информационная_безопасность #искусственный_интеллект #llm #языковые_модели #хакатон #cybersecurity #ai #leaderboard #ctf #bughunting

Amazon Is Using Specialized AI Agents for Deep Bug Hunting | WIRED https://www.wired.com/story/amazon-autonomous-threat-analysis/ #cybersecurity #AgenticAI #Amazon #BugHunting

🚨BREAKING: Software engineers discover bugs exist in their codebase! 🎉 After a week of bug-hunting, they are shocked—shocked, I say—to learn their roadmap wasn't paved with 189 "Oopsies" all along. Nothing says "progress" like finally realizing your app shouldn't crash on Tuesdays! 🤦‍♂️✨
https://lalitm.com/fixits-are-good-for-the-soul/ #softwareengineering #bughunting #technews #appdevelopment #oopsies #HackerNews #ngated

Hello! I’m building a mentoring platform for aspiring #hackers and security learners who want deeper, non-corporate guidance. It’s for self-taught people and students (OSCP, cybersecurity degrees) who want 1-on-1 help. https://learn2hack.today is almost ready and accounts will open soon. If you're interested, fill this: https://tally.so/r/J9KZkz
#hacking #mentoring #students #hackerculture #hackers #students #cybesecurity #security #redteam #pentesting #hackingisnotacrime #oscp #ctf #bughunting

🚫 403 Forbidden: When your "investigative journalism" turns into a digital knock-knock joke 😆. Apparently, the real bug here is your ability to access anything beyond the error page. 🐞🔍
https://mensfeld.pl/2025/11/ruby-ffi-gc-bug-hash-becomes-string/ #403Forbidden #InvestigativeJournalism #DigitalJoke #AccessIssues #BugHunting #HackerNews #ngated

👽 So, software is the mysterious 'Area 51' of engineering, where developers claim to have seen unicorns (or bugs) no one else can find? 🚀 Apparently, we're all just code conspiracists waiting for our own Roswell moment. 😂
https://codemanship.wordpress.com/2025/11/07/is-software-the-ufology-of-engineering-disciplines/ #softwareengineering #codeconspiracies #techhumor #developerlife #bughunting #HackerNews #ngated

"Aardvark works by monitoring commits and changes to codebases, identifying vulnerabilities, how they might be exploited, and proposing fixes."

https://openai.com/index/introducing-aardvark/

"If your organization or open source project is interested in joining [the Aardvark private beta.], you can apply here⁠."

https://www.openai.com/form/aardvark-beta-signup

#Aardvark @TheAntAndTheAardvark #ThePinkPantherShow #OpenAI #InformationSecurity #InfoSec #BugHunting

OpenAI just released Aardvark, an autonomous research agent that can hunt bugs and generate code fixes as if a human were debugging. Early results show it can speed up error detection on open‑source projects, sparking debate on AI‑assisted development. Could this be the next step for collaborative coding? #OpenSource #AIResearch #BugHunting #MachineLearning

🔗 https://aidailypost.com/news/openai-unveils-aardvark-agentic-researcher-that-hunts-bugs-like-human

🚨 Breaking news: After years of blissful ignorance, our protagonist discovers that #PyTorch is not, in fact, infallible! 😱 Instead of the usual user error, it turns out the culprit was a PyTorch #bug all along—cue the collective gasp of shock and awe. 🎉 Here's to the next few years of bug-hunting instead of actual learning! 🐛🔍
https://elanapearl.github.io/blog/2025/the-bug-that-taught-me-pytorch/ #Discovery #UserError #BugHunting #MachineLearning #HackerNews #ngated

Bug Bounty Course
The art of web reconnaissance bug bounty
#BugBounty #bughunting
https://mega.nz/folder/Qn5CibIC#JRmgMNgy9BqjrVNBq6VyUQ

Today I updated some of my bug hunting/hacking/pen-testing techniques(some of them ha ha not all I need to keep my job, unfortunately we live in capitalism and I need to pay bills) here is one of the new sections I create with updated techniques https://man.sr.ht/~rek2/Hispagatos-wiki/bughunting/ai_ml_security_2025.md #hacking #hackerculture #hackingIsNotACrime #2600
#2600Madrid #hispagatos check them all here: https://man.sr.ht/~rek2/Hispagatos-wiki/documentos.md look on the #bughunting section open for git-email patches! so send them ;) #htb #hackthebox #ctf

[Перевод] Мой первый P1 на Bugcrowd

На прошлой неделе я решил испытать возможности iScan.today , так как видел о нем много положительных отзывов. Как только мне прислали ответ, я сразу начал тестировать свои цели.

https://habr.com/ru/articles/922264/

#багбаунти #багхантинг #кибербезопасность #пентест #bugbounty #bughunting #pentest

https://github.com/brotheralameen1/Discordforschool/security/advisories/GHSA-63xr-98vc-whx5

Published Security Advisory for OneTrust SDK V6.33.0 Vulnerable to Prototype Pollution causing DoS in the system by editing Prototype Value. Currently, submitted this to MITRE CVE to request publication of my CVE to the National Vulnerability Database and awaiting their response. You can click the link above to learn more about the exploit.

#exploit #javascript #prototype #pollution #ethical #ethicalhacking #penetration #testing #cybersecurity #informationsecurity #infosec #cybersec #bughunting #bugbounty #bugbountyhunting #bughunter #webapplication #webapplicationsecurity #security

[Перевод] Брутфорс телефонного номера любого пользователя Google

Несколько месяцев назад я отключил JavaScript в своем браузере, чтобы проверить, остались ли в современном интернете сервисы Google, которые все еще работают без JS. Как ни странно, форма восстановления имени пользователя все еще работала!

https://habr.com/ru/articles/918414/

#кибербезопасность #информационная_безопасность #bughunting #bugbounty #багбаунти #багхантинг #багхантер

[Перевод] Брутфорс телефонного номера любого пользователя Google

Несколько месяцев назад я отключил JavaScript в своем браузере, чтобы проверить, остались ли в современном интернете сервисы Google, которые все еще работают без JS. Как ни странно, форма восстановления имени пользователя все еще работала!

https://habr.com/ru/articles/918414/

#кибербезопасность #информационная_безопасность #bughunting #bugbounty #багбаунти #багхантинг #багхантер

Why Property Testing Finds Bugs Unit Testing Does Not (2021)

https://buttondown.com/hillelwayne/archive/why-property-testing-finds-bugs-unit-testing-does/

#HackerNews #PropertyTesting #UnitTesting #SoftwareBugs #BugHunting #ProgrammingInsights

[Перевод] Jenkins: Тестирование на проникновение

Jenkins — это open-source сервер автоматизации, используемый для непрерывной интеграции (CI) и непрерывной доставки (CD), написанный на Java. Jenkins автоматизирует задачи, такие как сборка, тестирование и развертывание в процессе разработки ПО. Эта автоматизация ускоряет циклы разработки, повышает качество кода и упрощает релизы. Ключевые возможности — CI/CD, автоматизированное тестирование, интеграция с системами контроля версий, расширяемость за счет плагинов и мощный мониторинг и отчётность. Содержание - Подготовка лаборатории - Установка - Конфигурация - Перебор - Эксплуатация с помощью Metasploit Framework - Ручная эксплуатация (Reverse Shell) - Выполнение команд напрямую - Заключение Подготовка лаборатории В этой статье мы настроим сервер Jenkins на машине с Ubuntu и получим удаленное выполнение кода. Воспользуемся следующими устройствами: Целевая машина: Ubuntu (192.168.1.4) Машина атакующего: Kali Linux (192.168.1.7)

https://habr.com/ru/articles/902300/

#пентест #bugbounty #bughunting #jenkins #ubuntu #pentest

[Перевод] IDOR & UUIDs для утечки PII

Введение Привет, сегодня я поделюсь с вами очередным отчетом. Уязвимость, о которой мы поговорим, это IDOR. С помощью которой, я смог раскрыть личную идентификационную информацию (сокращенно PII). Быстро объясню, что такое IDOR и PII. Что такое IDOR Это сокращение от Insecure Direct Object Reference (небезопасная прямая ссылка на объект). Что это значит? Проще говоря, это уязвимость, которая позволяет злоумышленнику выполнять CRUD операции (создание, чтение, обновление, удаление) от имени других пользователей, так как приложение не проверяет, действительно ли пользователь, получающий доступ к ресурсу, является его владельцем. Что такое PII Это любая личная идентификационная информация, которой может обладать пользователь и которая может позволить создать копию профиля конкретного человека (включая электронные почты, номера телефонов, номера социального страхования и так далее). Теперь перейдем к делу

https://habr.com/ru/articles/897794/

#bugbounty #bughunting #кибербезопасность #багхантинг #багбаунти #idor