O grupo TeamPCP comprometeu um dispositivo de funcionário do GitHub através de uma extensão do VS Code envenenada (Nx Console v18.95.0, publicada em 18 de maio). A ação permitiu a exfiltração de aproximadamente 3.800 repositórios internos da plataforma. O GitHub confirmou que dados de clientes não foram afetados, mas o incidente é um alerta real sobre ataques via supply chain de extensões de editores — qualquer dev que use extensões de terceiros está no mesmo vetor de risco.

No Google I/O 2026, o Google lançou o Gemini 3.5 Flash, que supera o Gemini 3.1 Pro em benchmarks de código e raciocínio multimodal rodando 4x mais rápido. Para devs, os destaques são os Managed Agents (agente completo com uma chamada de API, rodando num Linux isolado), o WebMCP (padrão aberto para expor ferramentas estruturadas a agentes no browser via Chrome 149) e migração automática de apps React Native ou iOS para Kotlin nativo diretamente no Android Studio.

A Anthropic está prestes a fechar uma rodada de US$ 30 bilhões que valorizaria a empresa acima de US$ 900 bilhões — superando a OpenAI (US$ 852 bilhões) pela primeira vez. A empresa revelou crescimento de receita de 80x ano a ano no Q1 2026, com ARR acima de US$ 44 bilhões. O número de clientes gastando mais de US$ 1 milhão por ano dobrou de 500 para mais de 1.000 em apenas dois meses.

O TypeScript 6.0 será o último release construído sobre o codebase original; o TS 7.0, previsto para meados de 2026, usará o compilador reescrito em Go pela Microsoft. A mudança promete ganhos expressivos de velocidade de build, mas vem com breaking changes. O time escolheu Go pela similaridade estrutural com o codebase em TypeScript e pela eficiência do garbage collector ao lidar com estruturas de AST de grande porte.

O repositório 'everything-claude-code' saltou do 14º para o 4º lugar no GitHub Trending da semana. Frameworks de skills para agentes — como 'obra/superpowers' e 'multica-ai/andrej-karpathy-skills' — ocupam as primeiras posições. A Anthropic também lançou o diretório oficial de plugins do Claude Code, marcando uma virada no ecossistema de dev tools em direção à automação por agentes.

O DevOps Threat Unwrapped Report 2026 revela que a média de vulnerabilidades open source por aplicação chegou a 581 — alta de 107% em relação ao ano anterior. 93% dos codebases auditados contêm componentes sem manutenção ativa há pelo menos dois anos. Em 2025, foram registrados 68 incidentes de segurança ligados a IA em plataformas de desenvolvimento, com risco crescente de prompt injection e execução remota de código via assistentes integrados.

Em 11 de maio de 2026, a OpenAI formalizou a 'The Deployment Company', uma joint venture controlada majoritariamente pela OpenAI que captou US$ 4 bilhões de 19 investidores. O objetivo é acelerar a entrega de IA para o mercado corporativo, funcionando como braço de serviços gerenciados separado da operação de pesquisa da OpenAI — sinalizando uma divisão clara entre P&D e comercialização.

Um novo relatório aponta que 43% do código gerado por ferramentas de IA requer correção manual em produção, mesmo após passar por QA e staging. O dado vem acompanhado de alertas sobre a explosão de dependências open source não mantidas em projetos modernos — a velocidade do desenvolvimento assistido por IA está criando débitos de qualidade e segurança que as equipes ainda não têm processos para absorver.