O Dirty Frag (CVE-2026-43284 e CVE-2026-43500) não tem condição de corrida. Esse detalhe importa: a maioria dos exploits de privilege escalation no kernel Linux depende de timing, múltiplas threads e sorte. O Dirty Frag não — um usuário local sem privilégio corrompe o page cache via os stacks de IPsec ESP (esp4, esp6) e rxrpc e pivota para root de forma confiável. O pesquisador Hyunwoo Kim foi forçado a publicar antes do schedule coordenado depois que outra parte quebrou o embargo — o PoC saiu no dia 8 de maio, antes de qualquer distribuição ter patches prontos. Ubuntu, AlmaLinux e TuxCare publicaram fixes na sequência. Se você administra servidores Linux e ainda não atualizou o kernel esta semana, esse é o item um da sua quarta.

O Exchange Server on-premises continua sob exploração ativa. O prazo da CISA para agências federais remediarem a CVE-2026-42897 (XSS no OWA) vence hoje — um e-mail especialmente construído, quando aberto no Outlook Web Access, executa JavaScript arbitrário no browser da vítima. Exchange Online não é afetado. Quem tem o EM Service habilitado já recebeu a mitigação automática da Microsoft; os demais precisam aplicar manualmente.

A OpenAI atualizou silenciosamente o model default do ChatGPT em 5 de maio. O GPT-5.5 Instant substitui o GPT-5.3 Instant com 52,5% menos claims alucinados em prompts de alta criticidade — medicina, direito, finanças — e acesso à memória de conversas anteriores e Gmail para usuários Plus e Pro. É a primeira vez que o modelo default lê o seu histórico fora do contexto imediato. Para devs: disponível via API como `chat-latest`, com GPT-5.3 mantido como opção por mais três meses.

O Open-Design do nexu-io chegou a 40 mil estrelas no GitHub em duas semanas — uma das curvas de tração mais rápidas de um dev tool este ano. É uma alternativa local-first ao Claude Design da Anthropic: roda 19 skills, suporta 71 design systems, gera protótipos web, mobile, desktop, slides e vídeos com exportação para HTML, PDF, PPTX e MP4. O diferencial: auto-detecta qual das 16 CLIs de AI agents disponíveis no ambiente usar — Claude Code, Codex, Cursor, Gemini CLI, Copilot, Hermes entre outros. Licença Apache 2.0 e MIT.

Dois itens de ecossistema que fecham a edição: o Bun v1.3.14 chegou com HTTP/3 nativo no servidor, image API embutida e warm installs sete vezes mais rápidos — o runtime adquirido pela Anthropic e base de distribuição do Claude Code continua expandindo o escopo all-in-one. E a Pinterest concluiu a maior migração TypeScript da empresa: 3,7 milhões de linhas de código migradas de Flow para TypeScript em 8 meses. A conclusão deles, publicada este mês: "a indústria convergiu no TypeScript como padrão para type checking em JavaScript." Verdade óbvia pra quem está no ecossistema, mas válida como marco oficial de uma empresa com esse volume de código.