WEL MEE: Nathan Aké (Manchester City), Brian Brobbey (Sunderland), Memphis Depay (Corinthians), Virgil van Dijk (Liverpool), Denzel Dumfries (Internazionale), Mark Flekken (Bayer Leverkusen), Cody Gakpo (Liverpool), Ryan Gravenberch (Liverpool), Jorrel Hato (Chelsea), Jan Paul van Hecke (Brighton & Hove Albion), Frenkie de Jong (Barcelona), Justin Kluivert (Bournemouth), Teun Koopmeiners (Juventus), Noa Lang (Galatasaray), Donyell Malen (AS Roma), Tijjani Reijnders (Manchester City), Robin Roefs (Sunderland), Marten de Roon (Atalanta), Crysencio Summerville (West Ham United), Guus Til (PSV), Jurriën Timber (Arsenal), Quinten Timber (Olympique Marseille), Micky van de Ven (Tottenham Hotspur), Bart Verbruggen (Brighton & Hove Albion), Wout Weghorst (Ajax) en Mats Wieffer (Brighton & Hove Albion).
NIET MEE: Jeremy Frimpong (Liverpool), Lutsharel Geertruida (Sunderland), Kees Smit (AZ), Eric Viscaal (De Graafschap).
Nou. Zeg het maar. Gaan we hiermee het grootste WK ooit winnen of bent u een landverrader? Zometeen straks om 14:45 persconferentie over TRUMP de selectie (stream hieronder).
We kunnen sterven. Wat valt er nou nog te leven als we niet naar Tim den Besten kunnen kijken en/of luisteren? Hij is ons baken en absolute voorbeeld. Tim, de leidraad. Dankzij zijn werk als kanarie in de kolenmijn durfden we ons gevoel te uiten, beseften we hoezeer de schuld van jarenlang Sinterklaas vieren aan ons kleeft als opgedroogde kontstront, kwamen we erachter dat je ziektes kunt dragen als een heer en leerden we de mogelijkheden van Grindr en ID-fraude kennen. Wat zijn we zonder Tim? Niks. Bekoorlijk is het daarom in het geheel niet dat we nu moeten lezen dat Hij zijn belangrijke werkzaamheden in ieder geval 'niet op korte termijn' zal hervatten en in de luwte blijft, waar we Hem niet kunnen zien. Een regelrechte tragedie voor dit smachtende land, en voor Tim zelf, die maar niet van het ongeluk af lijkt te komen. Wij zijn een week, nee een maand janken onder ons betraande nest, we zullen er wenen, gillen, bibberen, schijten, koken, eten, snoepen snikken en snuiten ter ere van Tim, ónze Tim, de Opperwener. Tim, kanjer, het beste!
De Franse basketballer Victor Wembanyama (22) is met zijn 2,24 meter op weg hét nieuwe gezicht van de NBA te worden. Met zijn team San Antonio Spurs speelt hij deze week de beslissende wedstrijden in de halve finale van de NBA-play-offs. „Zijn geest is uniek.”
Goudjakhalzen zijn aan een opmars bezig vanuit Zuidoost-Europa. De middelgrote hondachtigen gaan wolven uit de weg. Dat vergroot de kans dat ze bewoond gebied opzoeken in regio’s waar ook wolven zijn.
ZWOLLE (ANP) - De rechtbank in Zwolle heeft woensdag de 35-jarige Sana C. uit Woerden veroordeeld tot vier jaar cel, waarvan een jaar voorwaardelijk, voor het verkopen van informatie uit de systemen van de rechtbank in Amsterdam. Zij werkte daar tot aan haar arrestatie in maart vorig jaar. De rechtbank bevond de vrouw ook schuldig aan het afpersen van een man die zij kende van het gokken. C. was gokverslaafd.
Die verslaving heeft haar tot haar daden gedreven, zo heeft C. tijdens haar proces verklaard. De rechtbank heeft bepaald dat zij zich hiervoor moet laten behandelen. De opgelegde straf is gelijk aan de eis van het Openbaar Ministerie.
C. verkocht de informatie aan een man die betrokken zou zijn bij diverse explosies en brandstichtingen in Den Haag en een beschieting van een woning in Waalwijk. Zij kende deze man, die voortvluchtig is, via een nicht. Het OM vervolgt ook haar.
De afpersing strekte zich uit over een periode van twee jaar. C. maakte het slachtoffer zo'n 100.000 euro afhandig.
DEN HAAG (ANP) - Een Nederlandse mijnenjager gaat eind deze week voor een NAVO-inzet naar de Middellandse Zee, zodat het marineschip tijdig naar de Straat van Hormuz kan varen als er overeenstemming is over een missie daar. Verder worden voorbereidingen getroffen om onder meer een gecombineerd search-, duik- en explosievenopruimingsteam (eventueel vanaf een Nederlands ondersteuningsschip) naar de Perzische Golf te sturen.
Dat schrijven ministers Dilan Yeşilgöz (Defensie, VVD) en Tom Berendsen (Buitenlandse Zaken, CDA) aan de Tweede Kamer. Ze bekijken ook of stafcapaciteit kan worden geleverd aan de internationale coalitie. Het kabinet heeft eerder al gezegd een militaire bijdrage te willen leveren aan de inzet. Er is nog geen besluit genomen over de Nederlandse bijdrage, aldus beide bewindslieden.
DEN HAAG (ANP) - De Tweede Kamer wil niet dat de NOS horecaondernemers geld vraagt om wedstrijden van het Nederlands elftal op het WK voetbal op schermen te vertonen. Zolang er niet meer dan 5000 mensen bij zijn, zou dat gratis moeten zijn, vindt een ruime meerderheid.
De NOS brengt hoge tarieven in rekening aan bijvoorbeeld ondernemers, verenigingen en zorginstellingen die wedstrijden voor een groter publiek willen vertonen. VVD-Kamerlid Arend Kisteman vindt dat niet passen bij een publieke omroep die al met belastinggeld is gefinancierd.
Kisteman vraagt het kabinet de NOS daarop aan te spreken en ervoor te zorgen dat het uitzenden van dergelijke grote sportevenementen gratis wordt. Dat moet geregeld zijn voor het WK voetbal in de Verenigde Staten, Mexico en Canada, dat over twee weken begint. Vrijwel alle partijen in de Kamer steunen die oproep.
Het minderheidskabinet van D66, VVD en CDA kende een moeilijke start, maar na enkele maanden lijkt de ploeg van premier Rob Jetten een werkbare meerderheid te hebben gevonden. De coalitie heeft een akkoord gesloten met de groep-Markuszower, de Taliban en Dark Lord Cthulhu.
"We zijn blij dat we nu eindelijk de hervormingen kunnen gaan doorvoeren die Nederland nodig heeft", zei een zichtbaar opgeluchte Jetten, geflankeerd door de Mossad-spion, mollah Haibatullah Akhundzada en de monsterlijke godheid. "Nederland snakt naar stabiel beleid. Ik ben dankbaar dat deze bondgenoten een stap vooruit hebben gezet om dat mogelijk te maken. Met deze meerderheid durf ik te zeggen: het kan wél."
Politiek duiders noemen de gelegenheidscoalitie 'fragiel'. Sommigen vragen zich af waarom Jetten niet gewoon samenwerkt met Progressief Nederland. "Daar wil ik wel antwoord op geven", riep vicepremier Dilan Yeşilgöz, nadat ze zich had losgemaakt uit een innige omhelzing met Cthulhu ('Jíj moet eerst loslaten! Nee jij! Ik ben zo terug, gekkie'). "De club van Jesse Klaver en voorheen Frans Timmermans is veel te radicaal. Wij willen niet samenwerken met de flanken, zowel op links als op de andere kant."
Mona Keijzer sluit zich naar verwachting binnenkort aan bij de Taliban.
Irish writer-director John Carney brilliantly brings together Rudd’s washed up wedding-singer and Jonas’s insecure ex-boyband superstar
Once again, Irish writer-director John Carney delivers an aspartame rush of enjoyment with this terrific comedy of bromance and betrayal in the world of music, starring Nick Jonas (from the Jonas Brothers) as Danny Wilson, a preeningly insecure ex-boyband superstar trying to go solo and searching for a hit single, and Paul Rudd as Rick Power, a washed up wedding-singer who rashly plays Danny a catchy song he’s been working on.
Power Ballad is about making it and dreaming big, about every busker never giving up on hopes of one day being mega. But as so often with Carney, it’s about something else, usually left unacknowledged in movies about music or any sort of showbusiness: the terrible binary of success and failure. For every star there is an invisible army of losers, the sad cases who used to be the star’s home town friends or early collaborators and have a lifelong task ahead of them coming to terms with not making it. In the bitter words of Les McQueen, rhythm guitarist for failed 70s group Crème Brulee on TV’s The League of Gentlemen: “It’s a shit business …”
Their short shelf life might count against them, but even when they’re past their best, strawberries still offer plenty of possibility
This year, I’m an ambassador for Cole & Mason, a British brand that makes some of the best pepper mills I know and for whom I’ve come up with The Art of Seasoning, a recipe series about my approach to seasoning food. It covers both the basics, including the impact of different salts and peppers, as well as innovative ways to use seasoning, such as in Eton mess and today’s posset. Strawberries have a pretty short shelf life, but even when they’re a bit squishy, they can still be turned into something delicious, be that a topping for your morning porridge or this simple, rich and seasonal dessert.
After the initial euphoria of victory, Zoë Garbett prepares to begin running one of England’s most diverse and deprived boroughs
For the first time in decades the person sitting behind the desk in the wood-panelled office of Hackney’s imposing art deco town hall is not a Labour politician.
Zoë Garbett was elected as the east London borough’s first Green party mayor in this month’s local elections, surfing a wave of support which resulted in the party winning more than 500 seats, taking control of five councils and winning two mayoralties.
Agreement shows the latest impact of AI boom as two more chipmakers join $1tn club
Employees at Samsung Electronics’s memory chip division are to receive bonuses averaging about £310,000 each through a landmark profit-sharing agreement, as the AI boom drives up chipmakers’ profits.
Fears of a strike at Samsung were averted on Wednesday after two unions for the world’s largest memory chipmaker said that 74% of the 62,616 workers who cast their votes had backed the deal.
Video appears to show divers discovering group sitting on a rock surrounded by flood water, as search efforts continue for the missing
Five villagers stuck in a flooded cave in central Laos for more than a week have been found alive, rescuers said on Wednesday, but two others are missing.
The villagers entered the cave in Xaisomboun province on 19 May, but heavy rain triggered flash flooding that blocked the exit and trapped seven people, according to Lao and Thai rescue teams involved in the operation.
The face of the Saudi Pro League scored twice in the final game of the season to secure the title with Al-Nassr
Cristiano Ronaldo will report for World Cup duty fresh from winning his first major trophy since moving to Saudi Arabia in 2022, after Al-Nassr became Saudi Pro League champions last Thursday. That’s the good news for Portugal’s coach, Roberto Martínez, but there is more to think about when it comes to his biggest name.
Although the domestic season ended all smiles for Ronaldo, five days earlier there was much doom and gloom around his club. Al-Nassr lost the final of the AFC Champions League Two, Asia’s Europa League, to Gamba Osaka of Japan. It was a poor performance and Ronaldo came in for special criticism. Not only did clips of his lack of movement, lack of pressing, missed chances and blocked shots circulate on social media, there was disappointment that, almost as soon as the final whistle went, he left the field, missing the medals’ and trophy presentations.
RECENSIE - Het is bijna 3000 kilometer van Aden naar Aleppo en ruim 5000 van Casablanca naar Kirkuk. Daar tussen liggen zeeën, steppen, bergen, woestijnen en rivieren. Er is rijk en arm, schatrijk en straatarm. Je hebt soennitische en sjiitische moslims, diverse soorten christenen, sefardische joden, druzen. De havensteden kijken naar de buitenwereld, andere mensen wonen op het platteland; op sommige plekken spreek je alleen gelijkgestemden, andere woonplaatsen zijn heterogeen. De Arabische wereld is heel gevarieerd.
En dat was de enige kanttekening die ik heb bij het mooie boek van historicus Roel Meijer, Een moderne geschiedenis van de Arabische wereld. Het is wat lastig te zien wat in een zó gevarieerd gebied het verbindende element is dat de gezamenlijke behandeling rechtvaardigt. Meijer erkent het probleem: hij begint zijn boek met het verdelen van de Arabische wereld in drie deelgebieden, namelijk de Maghreb, het Arabische Schiereiland en het Midden-Oosten. Maar wat er méér is dan de standaardtaal en een Ottomaans verleden dat deze gebieden verbindt, heb ik, om eerlijk te zijn, niet ontdekt.
Dat gezegd zijnde: wauw, wát een goed boek! In 335 bladzijden en vijftig pagina’s nawerk praat Meijer je bij over de geschiedenis van (als ik het goed heb geteld) achttien landen waarvan afgelopen week alleen Tunesië en Irak de Nederlandse kranten niet haalden.noot De Arabische landen zijn voortdurend in het nieuws, en doorgaans om niet al te prettige redenen; als u de achtergronden bij de actualiteit wil begrijpen, is Een moderne geschiedenis van de Arabische wereld verplichte literatuur.
Elite en middenklasse
Meijers verhaal spitst zich toe op de relatie tussen burger en overheid: het steeds wijzigende sociaal contract. Hij onderscheidt negen fases. De eerste daarvan was het traditionele islamitische sociale contract, zoals dat heeft bestaan in het Ottomaanse Rijk, waarin God een verbond had met de moslims, waarin regels bestonden voor de relaties tussen moslims onderling, en ook afspraken waren voor de relaties met niet-moslims. De negentiende-eeuwse hervormingen veranderden dat, en niet iedereen was daarmee gelukkig, al ontstond wel een klasse van schatrijke grootgrondbezitters die ervan profiteerde.
Na de Eerste Wereldoorlog trokken westerse mogendheden de grenzen tussen de diverse Arabischsprekende landen. Het opleggen van een statische orde, zo anders dan het flexibele Ottomaanse systeem, was vanzelfsprekend een uiting van Europese macht en een onderdrukking van het Arabisch-eigene, maar Meijer wijst er terecht op dat de koloniale periode niet zomaar valt te typeren als een Europese overheersing. Ze valt beter te begrijpen als een pact tussen de westerse koloniale mogendheden en de Arabische elites. Dit hoofdstuk was in feite centrum-periferie-theorie voor arabisten.
Wat je ook over de koloniale tijd mag denken, er kwam modern onderwijs en de arbeiders konden zich organiseren. Er ontstond een middenklasse, die na de Tweede Wereldoorlog en de Dekolonisatie een nieuw sociaal contract voorstond en fundamentele hervormingen eiste: gelijke rechten, democratische vertegenwoordiging, antisektarisme en een eerlijker verdeling van de welvaart. Hoewel dit sociale contract nergens werkelijk succes heeft gehad, zijn de idealen sindsdien aanwezig gebleven.
Dictatuur
De middenklasse was echter niet sterk genoeg en de stichting van de staat Israël verkleinde de speelruimte voor de politici in de nieuwe, seculiere republieken. Doorgaans was er een staatsgreep die een dictator aan de macht bracht, waarop een uitruil volgde: in ruil voor meer welvaart, gezondheidszorg, onderwijs en werkgelegenheid zag de bevolking af van politieke rechten. Het is dezelfde uitruil van civiele rechten tegen welvaart die eerder in de twintigste eeuw had plaatsgevonden in de Sovjet-Unie en Duitsland. Democratie was dan een façade.
Extra werkgelegenheid betekende in de Arabische wereld overigens vaak uitbreiding van de bureaucratie. “In feite zijn de enige burgers in de nieuwe staten de ambtenaren,” zoals Meijer het samenvat. Een baantje bij de overheid, met alle privileges en bescherming van dien, was de droom van elke Arabier. Ik herinner me een Egyptische beambte die lang op een feest bleef en op de vraag of hij niet eens naar bed moest, serieus antwoordde dat hij wel zou slapen op kantoor.
De dictaturen verloren de controle toen in de jaren zeventig de globalisering inzette. De bureaucratieën bleken inert; maatschappelijke organisaties vulden de gaten die de overheid liet vallen; de informele economie groeide; de veiligheidsdiensten werden repressief. De overheden waren gedwongen tot liberalisering en moesten ambtenaren ontslaan, waardoor de onvrede groeide, waarop de overheden antwoordden met deelpacten met aparte sociale groepen. Steeds meer mensen vielen buiten de boot. Hier had ik wel een vergelijking met Iran en Turkije willen zien, of Henk Beckers Generaties en hun kansen, dat zo aardig beschrijft hoe de overheid in Nederland een deelpact sloot met de generatie die was geboren tussen 1945 en 1960.
Na de dictatuur
Niet alle Arabische landen zijn republieken: Marokko, Jordanië, Saoedi-Arabië en de Golfstaten zijn monarchieën. Het sociaal contract in deze landen is met één woord te typeren: paternalisme. Koningen kunnen flexibeler opereren en zeker in de rijke Golfstaten hebben de overheden de mogelijkheid het klassieke sociale contract in stand te houden. Toen de Arabische Lente in 2011 aanbrak, kon die worden geabsorbeerd.
Voor de republieken lag dat anders. Als reactie op het falen van de autoritaire stelsels ontstond hier een nieuw islamitisch sociaal contract. Dit islamisme was geen terugkeer naar het oude pact, maar was gericht op het overnemen van het in de twintigste eeuw gegroeide staatsapparaat. Daarbij onderscheidt Meijer een maximalistisch programma en een liberaler, minimalistisch programma. Intrigerend is zijn observatie dat islamistische bewegingen zich ervan bewust waren dat ze de façadedemocratieën alleen konden omzetten in een beter systeem met westerse hulp.
Het Arabische heden
De Arabische Lente begon in het voorjaar van 2011. De slagzinnen waren zó algemeen dat seculiere en islamistische partijen zich erin konden vinden: vrijheid, brood, rechtvaardigheid. En de overheid moest gewoon d’r werk eens gaan doen. Feitelijk greep men terug op de democratische ambities van na de Dekolonisatie. Meijer beschrijft het als een proces van zeven fasen, die bijna elk land doorliep, zij het niet in hetzelfde tempo: mobilisatie en eenheid, de eerste reactie van het regime, de verdeeldheid van het regime, de verdeeldheid van de sociale beweging, verkiezingen, stagnatie en repressie. Zelfs Tunesië, dat de democratische transitienoot heeft weten te maken, is inmiddels terug bij af.
Meijers verklaring voor het falen van het nieuwe Arabische sociale contract is dat er teveel mensen waren (ambtenaren, soldaten, medewerkers van de veiligheidsdiensten…) die belang hadden bij het voortbestaan van de oude orde. De democraten hadden ook maar weinig competente leiders. Secularisten en islamisten konden bovendien samenwerken tot een bepaald punt, maar raakten daarna verdeeld.
Gelukkig vormt deze mislukking niet het laatste woord. Meijer ontwaart een Tweede Arabische Lente in 2019, waarbij de opstandelingen hebben geleerd van de fouten van de Eerste Arabische Lente: ze wantrouwen het leger, ze schrijven niet voortijdig verkiezingen uit en zijn zich bewust van het gevaar van verdeeldheid. De tegenkrachten die ik noemde in de vorige alinea zijn er echter nog altijd, en helaas was er ook Covid-19.
Milities
Het laatste hoofdstuk van Meijers boek is het meest grimmig, en u raadt al waarover het gaat. Er zijn autoritaire staten zoals Algerije en Egypte; er zijn flexibele maar repressieve monarchieën; en er zijn conservatieve landen waar de overheid alleen een pact heeft met een klein deel van de ingezetenen. Hier functioneert de overheid nog. Elders, in wat Meijer de periferie noemt, nemen milities de macht over.
Die milities zijn vaak sektarisch van aard, zoals de sjiitische Hezbollah in Libanon en de soennitische Islamitische Staat in Irak en Syrië. Andere verdedigen een regio, zoals in Libië, Koerdistan of Soedan. Ze halen hun inkomsten uit olie (Libië), smokkel en afpersing (Al Qaeda), of de verkoop van eten aan de onderdrukte bevolking (Hamas). Om draagvlak te behouden, moet tussen de militie en de bevolking op een of andere manier een nieuw sociaal contract ontstaan.
Hier is Hezbollah het beste voorbeeld: de beweging steunt op een gemarginaliseerde sjiitische bevolking, heeft een duidelijke ideologie, biedt de eigen leden bestaanszekerheid en is bereid tot samenwerking met andere groepen, zowel binnen Libanon als internationaal (“Axis of Resistance”). Door staatstaken als de medische zorg, onderwijs en nutsbedrijven over te nemen, wordt zo’n militie een alternatief voor de staat. Dat klinkt heel aardig, maar zulke strijdgroepen bestaan bij de gratie van de permanente staat van oorlog. In landen waar milities de macht overnemen, is grote sterfte onder de burgerbevolking en vluchten degenen die geen lid zijn van de militie. Als ze de kans al krijgen.
Aanrader
U merkt dat ik me heb beperkt tot een samenvatting van Meijers boek, maar ik heb er ook een oordeel over: dit is een aanrader. Mijn eigen ervaring in de Arabische wereld is dat ik er minder van begrijp naarmate ik er meer over lees en ik meer mensen spreek. Voor mij is het als met een foto waarop je inzoomt: je ziet steeds meer interessante details maar herkent het totaalplaatje niet langer. Het boek van Meijer biedt weer wat hoofdlijnen.
Natuurlijk ontbreken perspectieven. Zou een Irakees dit boek hebben geschreven, dan zou de nadruk wat meer hebben gelegen op de familiebanden tussen de diverse leiders, zoals de fascinerende As-Sadrs. Elk boek vertegenwoordigt de keuzes van de auteur, en de keuzes van Meijer zijn verhelderend. Hij toont dat dezelfde processen plaatsvinden in de drie door hem onderscheiden regio’s, en dat de daar al bestaande sociale, religieuze en geografische verschillen verklaren waarom de uitkomsten steeds anders zijn. Er zijn in de ogenschijnlijk verwarde geschiedenis wel degelijk patronen aan te wijzen.
Meijer ordent. Ik denk dat ik daarin de docent van de Radbouduniversiteit herken, want Een moderne geschiedenis van de Arabische wereld is heel goed gestructureerd, en wel volgens het beproefde didactische principe dat je eerst vertelt wat je gaat vertellen, dat je het vervolgens vertelt en dat je tot slot, bij Meijer aan het einde van elk hoofdstuk, nog eens vertelt wat je hebt verteld. Als hij van een bepaald verschijnsel enkele aspecten wil noemen, geeft hij eerst aan hoeveel dat er zijn en nummert hij ze ook. Het boek eindigt met een overzichtelijke bibliografie. De opbouw is daardoor wat schools, maar ik las zelden zo’n helder boek over zo’n complex, zo’n actueel en zo’n interessant thema.
[Full disclosure: Roel Meijer was een van de meelezers bij mijn boek over Libanon.]
A security researcher found a foolproof way to guarantee tech conferences accept his speaker submissions: hack their systems. CVE-2026-41241 is a stored cross-site scripting (XSS) vulnerability in pretalx, a popular open source tool that conference organizers use to manage speaker submissions and schedules, that could allow attackers to effectively take over an organizer's session. Any user controlling searchable fields – including submission titles, speaker display names, and user names or email addresses – could inject arbitrary HTML or JavaScript. When an organizer's search query matched the malicious record, the payload would execute in the organizer interface. "Once triggered, the injected script executed in the context of the pretalx organiser interface and could read the page's [Cross-Site Request Forgery] CSRF token, submit authenticated requests on the victim's behalf (including requests modifying data due to access to the CSRF token), or exfiltrate data visible to the victim," according to pretalx's security advisory. Project maintainers patched the flaw in April, and it has been fixed in pretalx 2026.1.0. Elad Meged, founding engineer and security researcher at AI penetration-testing and offensive-security startup Novee, found and disclosed the flaw when he was preparing conference speaker submissions. He noticed the exact same call for proposals (CFP) submission form appearing underneath all of these different hacker conferences and academic symposiums' logos. 'One codebase serving them all' While the events are unique, with different parent companies and organizers, "underneath, it is one codebase serving them all," Meged said in research published on Wednesday and shared in advance with The Register. Meged then used the flaw to auto-apply for 40 conferences - and got accepted to present his proposed talk, "Securing Modern Web Apps," at every single one of them. While Meged did submit real entries, he did not submit a live exploit payload into the conference systems. The Novee team validated all of their findings on a local instance. They didn't do any testing on pretalx.com or a third-party-hosted instance. "The goal was to validate the vulnerable workflow in the exact real-world setup while avoiding unnecessary harm," Meged told The Register. "So, we used realistic, normal-looking talk submissions and then validated exploitability through controlled, version-specific testing." Some of the events that use pretalx-based CFP infrastructure include OffensiveCon, TROOPERS, FOSDEM, HEXACON, and Recon, he told us, stressing that this does not mean any of these conferences were actively exploited or compromised. For any conferences that used pretalx for talk submissions, but weren't accepting submissions at the time, Meged followed up with them via responsible disclosure. And yes, Meged admits that he could have had more fun with the talk title, but he wanted to make it "intentionally boring and plausible," to blend in with other proposals. "I agree something outrageous would have been funnier, but it would also have been less responsible," he said. Human led, AI agent assist Meged described the research as "human-led vulnerability research, agent-assisted at internet scale." Once they understood the type of vulnerability, any "capable web security researcher" could reproduce the exploit, he said, adding "this would not require nation-state-level skill." Scaling the attack, reliably reproducing it, and adjusting the attack chain to each real-world pretalx deployment, however, benefited from an agentic AI assist – and this wasn't "a one-off script or a prank CFP submission," he told us. "Different pretalx versions, deployment choices, and enabled features can change the behavior," Meged said. "Something that works on one instance may fail on another or require a different validation path." Plus, some conferences use hosted infrastructure, while others run their own self-hosted instances. So the security shop built an agentic fingerprinting and validation system to scan the internet for public-facing, vulnerable systems, learn as much as possible about the version and configuration, and find the best way to exploit them. 'This type of work does not scale manually' "This type of work does not scale manually," Meged said. "A human can find the core idea, understand the primitive, and make the responsible disclosure decisions. But mapping internet-wide exposure, fingerprinting many deployments, comparing versions, modeling behavior, adjusting validation logic, and organizing disclosure steps is exactly where AI agents become useful. The agents helped with discovery, fingerprinting, version comparison, environment modeling, controlled validation, note-taking, and disclosure workflow management." After finding and fingerprinting public pretalx deployments, and identifying version-specific behavior, the agents selected the best non-destructive validation path for each one. While there's no indication that attackers found and exploited the security issue before Novee's team, it's serious in that it could have granted organizer-level access to the conference call-for-proposal and scheduling system - these typically contain speaker identities, submissions, acceptance decisions, and private communications between conference organizers and speakers. Gaining access to this type of information could have allowed for targeted phishing or other trust-based attacks impersonating a well-known industry event. "With organizer-level access, an attacker could potentially read or modify submissions, interfere with the review process, impersonate conference staff, alter CFP data, or communicate with speakers and submitters from a trusted conference context," Meged said. "The most realistic abuse case is targeted phishing or lateral movement through trust. If a speaker, sponsor, reviewer, or attendee receives a link or request from what appears to be a legitimate conference system, they are much more likely to trust it," he added. "So the story is not just: Someone could get a fake talk accepted. The bigger risk is that a trusted conference platform could become a launchpad for attacks against the entire event ecosystem." Tobias Kunze, a developer who created pretalx, told The Register that Meged reported 11 security findings on April 14, he assessed all of these and classed one as a serious vulnerability and five as non-vulnerability bugs – but with fixes – and five more as non-critical or intended behavior. "Contact with Elad was very positive and professional," Kunze told us. "We discussed the severity and impact of his findings, and it was as good a report as a small open source project like pretalx can hope to receive." ®
/s3/static.nrc.nl/wp-content/uploads/2026/05/26092345/270526SPO_2033973913_victor2.jpg)
/s3/static.nrc.nl/wp-content/uploads/2026/05/27135054/270526WET_2033980473_jackal.jpg)
