A Permiso Security descobriu que o chatgpt.com renderiza links e imagens de páginas resumidas como elementos live e clicáveis dentro da interface confiável do assistente — sem validação. Qualquer página que o usuário pede pro ChatGPT sumarizar pode carregar instruções maliciosas que injetam URLs de phishing, alertas falsos ou QR codes na resposta. A OpenAI foi notificada em 29 de abril via Bugcrowd com o relatório 'Untrusted Markdown Rendering Leads to XSS, Phishing, and Data Exfiltration'. A vulnerabilidade não foi totalmente corrigida até o momento da publicação.

A package 'Sicoob.Sdk' (versões 2.0.0–2.0.4), publicada em 5 de maio no NuGet, exfiltrava certificados PFX, client IDs e senhas de autenticação bancária para um endpoint Sentry hardcoded. O código malicioso existia somente na DLL compilada — o repositório GitHub público estava limpo, tornando revisão de código ineficaz. Quase 500 downloads antes de ser bloqueada. Agravante: o Google Search AI Mode surfaceou o pacote como uma biblioteca legítima para APIs do Sicoob, amplificando o ataque passivamente para devs que buscavam a integração.

Falha de controle de acesso inadequado (CVSS 9.1) no FortiClient EMS permite que atacantes não autenticados bypassem a API de autenticação e enviem requisições privilegiadas. Após ganhar acesso ao EMS, os atacantes modificam o Remote Access Profile e a política de endpoint para injetar scripts on_connect maliciosos, que executam em todos os devices gerenciados ao estabelecer o túnel VPN. O payload — o EKZ Infostealer — extrai credenciais de Chrome e Firefox, incluindo técnicas de bypass do armazenamento criptografado do Chrome. Zero-day confirmado desde março; patch liberado em abril.

Lançado em 20 de maio no Alibaba Cloud Summit, o Qwen3.7-Max tem contexto de 1M de tokens, fechado, focado em workloads agentic. Em testes internos, rodou autonomamente por 35 horas numa tarefa de otimização de kernel: 1.158 tool calls, 432 kernels avaliados, 10x de speedup sobre a referência em Triton. Benchmarks: 92.4 no GPQA Diamond (vs 91.3 do Claude Opus 4.6 Max), 60.6 no SWE-Bench Pro (vs 57.3 do Claude Opus 4.6), 69.7 no Terminal Bench 2.0. O detalhe prático: suporta o protocolo de API da Anthropic nativamente — dá pra usar como backend em ferramentas como Claude Code sem mudança de código. Preço: $2.50/$7.50 por 1M tokens.

Análise de Gergely Orosz com 906 engenheiros e líderes de engenharia mapeando o impacto real da IA no trabalho de software em 2026. Conclusão central: a IA amplifica padrões preexistentes — quem construía mais rápido constrói ainda mais rápido, mas também lida com mais 'AI slop'. 30% dos respondentes já atingiram limites de uso. Existe uma divisão geográfica evidente: empresas no Reino Unido e Europa resistem a gastos de $30-50/mês por engenheiro bem mais do que empresas americanas, com times de finance questionando o ROI mesmo quando o impacto é demonstrado.

Fabio Akita publicou ontem um guia passo a passo para backup local de Gmail em formato Maildir no Linux, cobrindo autenticação OAuth2 via Google Cloud Console, configuração do offlineimap com suporte a token refresh automático e automação via cron. É uma solução de portabilidade de dados sem dependência de serviços de terceiros — útil para devs que querem controle local e backup offline do e-mail sem perder funcionalidade de indexação.