A X41 D-Sec descobriu durante auditoria patrocinada pela OSTIF que o Starlette (325M downloads semanais) constrói request.url concatenando o header Host com o path da requisição — um atacante injeta um path não autenticado via Host header e bypassa qualquer middleware de auth baseado em path. Afeta FastAPI, vLLM, LiteLLM, o Python MCP SDK e qualquer ASGI app com middleware de path. O ataque é trivialmente automatizável: chaves de API de modelos atrás do middleware valem muito mais do que o custo de um upgrade. Fix: Starlette 1.0.1, lançado em 21 de maio.

O container registry do Gitea não aplicava autenticação em repositórios marcados como privados desde 2021, permitindo que qualquer atacante sem credenciais fizesse pull de imagens de containers. A UK-based Noscope identificou a falha via agente autônomo de pentest e publicou a divulgação em 25 de maio após notificar os mantenedores. Mais de 30 mil deployments em 30 países afetados — incluindo provedores de saúde, manufatura aeroespacial e ISPs. Fix: Gitea 1.26.2 (lançado 20 de maio). Workaround emergencial: REQUIRE_SIGNIN_VIEW=true no config.

Heap overflow no componente DNSAPI.dll responsável por processar respostas DNS em toda instalação Windows moderna. Sem autenticação, sem interação do usuário — um atacante na mesma rede envia uma resposta DNS forjada e obtém execução remota de código. CVSS 9.8. Afeta Windows 11, Server 2022 e Server 2025. Corrigido no Patch Tuesday de 12 de maio. A Microsoft classifica exploração ativa como 'improvável', mas o vetor de acesso é minimal para qualquer atacante com posição de rede.

Anunciada em 19 de maio, a aliança integra o Claude na plataforma Digital Gateway da KPMG usada para serviços de tax, legal e advisory em 138 países. O rollout começa em Tax & Legal, com full deployment no Azure previsto para setembro de 2026. Inclui parceria preferencial em private equity e desenvolvimento conjunto de produtos Claude-powered para portfólios de PE. É o maior deploy de IA no setor de professional services documentado publicamente — superando qualquer iniciativa anterior do setor.

Lançada em 15 de maio em v0.1.1 (Apache-2.0), a Zero é uma linguagem de sistemas experimental com diferencial técnico direto: o compilador emite diagnósticos em JSON estruturado com códigos de erro estáveis e metadata de reparação tipada, permitindo que agentes parsem e ajam sobre erros sem interpretar texto humano (o código NAM003 significará 'unknown identifier' hoje e em qualquer versão futura). Sem GC obrigatório, sem alocador implícito, I/O capability-based, binários abaixo de 10 KB. 900 estrelas em 24 horas.

Postmortem publicado em 13 de maio pelos fundadores do Wasp (framework full-stack React + Node.js, YC): depois de cinco anos e $5M construindo uma linguagem declarativa própria, a conclusão foi direta — 'criar uma nova linguagem foi um erro'. A razão: o ecossistema JS/TS assume que você está dentro dele, e qualquer coisa fora bate num muro de tooling cedo demais. O SDK em TypeScript será lançado como interface principal na próxima Launch Week, eliminando a necessidade de aprender a linguagem .wasp.

Após três anos de investigação conjunta com comissários de Quebec, BC e Alberta, o OPC Canada publicou em 6 de maio que a OpenAI violou a PIPEDA: coletou dados pessoais 'em quantidade desproporcional' sem consentimento válido, sem mecanismo eficaz de deleção e lançou o ChatGPT com riscos de privacidade já identificados. Sem multa — Quebec optou por recomendações. É a primeira decisão de uma comissão nacional endereçando especificamente o problema de dados de treinamento de LLMs, e o precedente deve influenciar investigações similares em outros países.