Um bug no modelo de segurança de webviews do VSCode permite roubar o token GitHub armazenado no github.dev com um único link malicioso. O ataque encadeia três falhas: webviews conseguem simular keystrokes do processo principal; um Jupyter notebook malicioso num repositório dispara a instalação de uma extensão de workspace via `.vscode/extensions`; a extensão bypassa as verificações de publisher e exfiltra o token do local storage do github.dev. O token concede leitura e escrita sobre todos os repositórios da vítima, incluindo privados. Defesa imediata: limpar o local storage do github.dev e não abrir repositórios desconhecidos nessa interface.

O MAI-Code-1-Flash começou o rollout hoje para todos os planos do GitHub Copilot, disponível no model picker do VS Code e sob o auto picker padrão. É o primeiro modelo de coding construído end-to-end pela Microsoft sem dados ou dependência da OpenAI — treinado com dados limpos e licenciados. Adaptive thinking que ajusta o orçamento de raciocínio por tarefa; supera o Claude Haiku 4.5 nos principais benchmarks de coding para modelos de pequeno porte. Para usuários do plano Free, é a primeira vez que o picker oferece um modelo especializado em código de origem própria da Microsoft.

A Anthropic depositou um S-1 confidencial na SEC em 2 de junho, abrindo formalmente o processo de IPO. Com $47 bilhões em ARR (maio de 2026) e avaliação de $965 bilhões, a motivação não é capital — é liquidez para funcionários e investidores early-stage, e competição estratégica: um IPO antes da OpenAI reduziria a demanda pelas ações da concorrente no mercado. Nenhuma data está confirmada; o IPO pode acontecer no verão, no outono americano ou não acontecer em 2026. A CFO Krishna Rao está conduzindo o processo.

O Project Glasswing expandiu para ~150 novas organizações em mais de 15 países, adicionando setores ausentes na rodada inicial: energia, água, saúde, telecomunicações e hardware. Desde abril, o Claude Mythos Preview encontrou mais de 10.000 vulnerabilidades de severidade alta ou crítica. A Cloudflare identificou 2.000 bugs em sistemas críticos (400 high/critical); a Mozilla encontrou 271 vulnerabilidades no Firefox 150 durante testes — mais de 10x o número típico de uma versão anterior. Anthropic estima que um ataque bem-sucedido a qualquer parceiro afetaria mais de 100 milhões de pessoas.

O nbd-vram transforma memória GPU NVIDIA ociosa em swap adicional no Linux via o protocolo Network Block Device sobre socket Unix — sem módulo de kernel customizado, portanto sobrevive a atualizações de driver e kernel. Testes num RTX 3070 Laptop mostram latência 27x menor que NVMe para acesso esporádico típico de swap (335µs vs 9ms). Caso de uso principal: laptops híbridos onde a GPU dedicada fica ociosa enquanto a iGPU serve o display — a VRAM disponível vira swap de baixa latência sem custo de acesso PCIe direto.

O Pluto.jl 1.0 marca a maturidade de produção do notebook reativo para Julia: alterar qualquer célula propaga mudanças automaticamente como uma planilha, sem o estado oculto de execução fora de ordem que é o principal problema de notebooks Jupyter em uso científico. A versão 1.0 traz ambientes de pacotes isolados por notebook, exportação para HTML self-contained com código e ambiente embutidos, widgets expandidos via PlutoUI.jl e suporte a 16 idiomas. Para a comunidade Julia, a versão 1.0 sinaliza API estável e pronto para produção.

Post pessoal viral no HN (977 pontos, maior score do dia): o autor abandonou uma conta Gmail de 16 anos depois de sumários automáticos não solicitados, rascunhos gerados sem pedido e prompts recorrentes de reescrita ('Press / for Help me write') que aparecem durante a escrita. O argumento central é de design: forçar features de IA onde não foram requisitadas comunica que você acha que o usuário não é capaz de ler e escrever seus próprios e-mails. A migração foi para Fastmail com domínio próprio. O score no HN confirma que o sentimento é amplamente compartilhado.

O C# 15 (experimental no .NET 11) introduz union types nativos com sintaxe direta: `public union Result<T>(T, Exception)`. O compilador verifica exaustividade no pattern matching — sem default arm obrigatório — e avisa se algum case ficou sem tratamento, fechando o conjunto possível de tipos retornados. Milan Jovanovic explora como o feature encerra cinco anos de workarounds com OneOf, marker interfaces e discriminated unions manuais, tornando as assinaturas de método honestas sobre todos os possíveis retornos.