Domingo, 24 de maio.
O fim de semana não foi silencioso. O ataque ao Laravel-Lang começou na sexta e ainda está quente: mais de 700 versões de pacotes PHP do ecossistema laravel-lang foram reescritas com tags maliciosas apontando para um fork controlado pelo atacante — sem um único commit nos repos oficiais. Quando instalados via Composer, o código roda automaticamente via autoload e varre chaves de cloud (AWS, GCP, Azure, DigitalOcean), tokens Docker, perfis Kubernetes, chaves SSH, histórico de shell e senhas de browser. O Packagist reagiu e removeu as versões afetadas. Se você rodou composer install com qualquer pacote laravel-lang entre 22 e 23 de maio: pare tudo e audite o ambiente.
No front de infraestrutura de IA, a CISA adicionou o Langflow ao catálogo de vulnerabilidades exploradas ativamente. A CVE-2025-34291 combina misconfiguration de CORS com cookie SameSite=None — na prática, permite que um site malicioso faça requisições autenticadas cross-origin na instância do Langflow e execute código remoto com as permissões do serviço, que costumam ser elevadas. Quem hospeda Langflow para orquestrar agentes em produção precisa aplicar o patch agora.
A Anthropic fechou uma aquisição que ninguém esperava: comprou a Stainless por mais de $300M. A startup automatizava geração e manutenção de SDKs para APIs, e seus clientes incluíam OpenAI, Google e Cloudflare simultaneamente. Os produtos hospedados vão fechar, mas os SDKs gerados ficam com os clientes. É mais uma peça de developer tooling sendo internalizada por quem está construindo a maior plataforma de IA do mercado.
Dois itens menores mas vale registrar: a Microsoft admitiu e corrigiu no Edge 148 um comportamento que mantinha todo o cofre de senhas em plaintext na RAM durante toda a sessão — enquanto o Chrome sempre fez decriptografia on-demand. E a Oracle anunciou que vai complementar os patches trimestrais com atualizações mensais focadas em CVEs de alta prioridade, com o primeiro chegando em 28 de maio.
Cinco itens. Bom domingo.