A falha está no database abstraction layer do Drupal core e afeta exclusivamente sites com PostgreSQL — de Drupal 8.9 a 11.3.9. Um atacante sem autenticação pode enviar requisições via JSON:API para injetar SQL arbitrário, com potencial de disclosure de dados, escalada de privilégio e RCE. A Imperva registrou mais de 15 mil tentativas de ataque contra quase 6 mil sites em 65 países. Patches disponíveis: 10.4.10, 10.5.10, 10.6.9, 11.1.10, 11.2.12 e 11.3.10.

O Daybreak é a entrada da OpenAI no mercado de segurança ofensiva, construída sobre três tiers do GPT-5.5: padrão, Trusted Access para equipes verificadas e GPT-5.5-Cyber para red team e penetration testing. O Codex Security analisa repositórios GitHub, constrói modelos de ameaça, valida exploitabilidade em sandbox e gera patches. Lançada com parceiros incluindo CrowdStrike, Palo Alto Networks, Snyk e SentinelOne — o movimento mais explícito da OpenAI em direção ao enterprise security.

Lançado em early beta em 14 de maio para assinantes SuperGrok, o Grok Build é uma CLI de coding agent que não transmite código-fonte para os servidores da xAI — diferencial real para codebases proprietárias e ambientes regulados. Roda até 8 agentes paralelos num workflow plan/search/build, com 70.8% no SWE-Bench Verified, contexto de 256k tokens e preço de entrada em $99/mês. Compite diretamente com Claude Code e Codex.

A Subquadratic lançou o SubQ 1M-Preview em 5 de maio com arquitetura SSA (Subquadratic Sparse Attention) que escala linearmente em vez de quadraticamente — reduzindo o custo de atenção em 1.000x a 12 milhões de tokens. É o primeiro LLM comercial que não é um transformer e tem a maior janela de contexto nativa disponível por API comercial. Disponível em private beta com $29M de seed funding; sem open weights, posicionado exclusivamente como API.

Apresentado no Google I/O e agora em rollout para usuários AI Ultra nos EUA, o Gemini Spark monitora Gmail e Workspace continuamente — criando listas de deadlines, resumindo threads longas e executando tarefas recorrentes. Integra com Canva, OpenTable e Instacart, com mais parceiros chegando. Ainda não envia e-mails ou opera o browser de forma autônoma, mas as features chegam em breve. É a resposta direta do Google ao espaço de agentes pessoais onde OpenAI e Anthropic competem.

Lançado em 20 de maio, o WordPress 7.0 traz DataViews — interface de gestão de conteúdo em React que substitui as list tables server-rendered de 2013. O destaque técnico para devs é a Web Client AI API: interface padronizada e agnóstica de modelo que permite a plugins e temas conectarem qualquer provedor de IA externo sem depender do core. A colaboração em tempo real foi removida por bugs excessivos durante os testes.

O Python 3.14.5 chegou com 113 bugfixes e uma reversão crítica: o coletor de lixo incremental introduzido no 3.14.0 foi revertido ao GC geracional do Python 3.13 após múltiplos reports de consumo anormal de memória em produção. Quem está em qualquer versão da série 3.14 e percebeu pressão inesperada de RAM deve atualizar para 3.14.5 imediatamente.