Se você usa nginx — e provavelmente usa — atualize agora. A CVE-2026-42945, apelidada de NGINX Rift, viveu 18 anos em silêncio no rewrite module: um heap buffer overflow no ngx_http_rewrite_module que dá RCE não autenticado com um único HTTP request. Não requer autenticação, não requer condição de corrida — só um request com captures PCRE não nomeados num config que usa rewrite, if ou set. A DepthFirst publicou PoC com ASLR-bypass chain incluso, e o VulnCheck confirmou exploração ativa. Os patches chegaram no nginx 1.30.1 (stable) e 1.31.0 (mainline). A pergunta não é 'você é afetado' — é 'quando você vai atualizar.'

TrapDoor é a campanha desta semana que está abaixo do radar de quem acompanhou o TanStack worm. Atinge três registros ao mesmo tempo — npm, PyPI e Crates.io — com 34 pacotes maliciosos em 384+ versões, focados em comunidades de crypto, DeFi e IA. Mas o detalhe que muda tudo: o payload planta instruções ocultas em arquivos .cursorrules e CLAUDE.md usando zero-width Unicode characters. Quando o dev abre o projeto num AI assistant como Cursor ou Claude Code, o modelo lê as instruções escondidas e executa uma 'rotina de segurança' que é, na prática, exfiltração de dados. É o primeiro ataque supply chain documentado que vai diretamente atrás do assistente de IA, não só do desenvolvedor.

Ainda em CVEs: a LiteSpeed publicou patch emergencial para a CVE-2026-48172 na semana passada — CVSS 10.0, exploração ativa, e o vetor é ridiculamente simples. A função lsws.redisAble do plugin cPanel eleva qualquer usuário autenticado a root com uma única API call malformada. Afeta shared hosting em massa, MSPs e qualquer ambiente com o LiteSpeed User-End para cPanel. Atualiza para v2.4.7+ ou desinstala o plugin imediatamente.

Dois itens fora do campo de batalha de CVEs: o Cloudflare publicou a arquitetura interna de como roda LLMs em escala na rede global. Disaggregated Prefill separa leitura de input e geração de output em máquinas diferentes; o engine customizado Infire gerencia GPUs com mais eficiência; e o Unweight aplica compressão lossless que reduz o footprint dos modelos em até 22%. P90 de time-to-first-token e latência inter-token melhorados significativamente. Leitura técnica densa e vale para quem está ou quer estar nessa camada de infra.

O Gemini 3.5 Flash chegou ao GitHub Copilot na segunda-feira passada — e sumiu do web interface em menos de 24 horas, sem comunicado oficial da Microsoft ou do Google. O modelo continua vivo nos IDEs (VS Code, JetBrains, Xcode, Eclipse) para usuários Pro, Business e Enterprise, com um 14x premium request multiplier. O que aconteceu com a versão web segue sem explicação.

Por fim, quem desenvolve para plataformas Apple: os betas de iOS 26.1, iPadOS 26.1 e macOS 26.1 estão disponíveis para desenvolvedores esta semana. E o WWDC26 tem data confirmada: 8 a 12 de junho. Espere iOS 27, Siri aprimorada e o próximo capítulo do Apple Intelligence.