Hoje é Patch Tuesday, e a Microsoft entregou o maior em volume já registrado: 208 CVEs corrigidos, 33 críticos, 6 zero-days. O que exige ação imediata é a CVE-2026-42897, spoofing no Exchange Server com exploração ativa confirmada — via email especialmente construído, um atacante executa JavaScript arbitrário no browser da vítima sem qualquer clique. A Microsoft ativou mitigações automáticas via Exchange Emergency Mitigation Service enquanto trabalha no patch completo. No mesmo Patch Tuesday, a CVE-2026-45657 é o tipo de coisa que mantém pesquisadores de segurança acordados: use-after-free no kernel na pilha TCP/IP, CVSS 9.8, wormable — execução de código como SYSTEM por atacante remoto não autenticado, enviando pacotes de rede especialmente construídos, sem interação do usuário. Não há exploit ativo ainda, mas cada lab do planeta está revertendo esse patch agora. Para completar, dois bypasses de BitLocker foram corrigidos — YellowKey (CVE-2026-45585) e Bitskrieg (CVE-2026-50507), ambos por acesso físico — e a priv-esc GreenPlasma no CTFMON também. Atualização hoje.

Na semana mais movimentada da OpenAI, dois capítulos simultâneos. O S-1 confidencial foi depositado na SEC, tornando o IPO processo oficial pela primeira vez. A última rodada privada valorizou a empresa em $852 bilhões; analistas projetam mais de $1 trilhão na abertura, com Goldman Sachs, Morgan Stanley e JPMorgan liderando o processo. A OpenAI sinalizou que não decidiu o timing e prefere continuar privada por ora, mas o depósito do S-1 abre a janela formal. No lado de infraestrutura, a Oracle anunciou hoje que clientes podem usar Universal Credits (UCM) do OCI para acessar modelos OpenAI e Codex sem criar um contrato separado — para times que já têm compromissos de cloud na Oracle, é uma forma direta de acessar os modelos frontier dentro do fluxo de compra que já existe.

A Microsoft não está quieta em IA própria: nesta semana lançou sete modelos da família MAI desenvolvidos internamente. Os destaques para devs: MAI-Code-1-Flash com 5 bilhões de parâmetros, embutido no GitHub Copilot e VS Code; MAI-Thinking-1 para raciocínio avançado, competindo com os melhores modelos especializados em benchmarks de engenharia de software; MAI-Transcribe-1.5 em 43 idiomas, 5x mais rápido que o estado da arte anterior; e MAI-Voice-2 para fala natural em 15 idiomas. Todos disponíveis externamente via OpenRouter, Fireworks e Baseten. A diversificação é explícita: a Microsoft quer capacidade de IA que não dependa inteiramente da OpenAI.

Três itens de segurança para completar. O código-fonte do Miasma — o worm que comprometeu mais de 100 repositórios open source — vazou no GitHub e virou toolkit público de crime organizado. O que não estava claro no ataque original agora está documentado: o Miasma usa o próprio mecanismo de search do GitHub como canal de comando e controle, tornando-o invisível a firewalls tradicionais. Tokens comprometidos criam um ciclo auto-propagante de infecção; tentar revogar um token roubado dispara um payload que apaga arquivos do dev. O ShinyHunters comprometeu mais de 100 organizações — universidades como alvos primários — via zero-days no Oracle PeopleSoft, com scripts automatizados para lateral movement por SSH. E no Brasil, o grupo "Buddha" alega ter extraído 1,08 bilhão de registros de 248 milhões de CPFs da Receita Federal, à venda por $1.300: CPFs testados na amostra passam na validação de dígito verificador, os metadados batem com os padrões oficiais. A Receita iniciou investigação mas não confirmou a autenticidade. Se for real, é o maior vazamento de dados da história do país.

Fechando: o Web Summit Rio encerrou hoje com recorde de 40.287 presentes de mais de 100 países e 1.572 startups. O demo mais marcante foi o de abertura — o humanóide Unitree G1 de 132 cm com 43 articulações e o Go2W wheeled-leg robot dog ao vivo no palco, um retrato do estado atual do hardware de robótica. A Revolut sinalizou expansão real no Brasil; a IBM rodou o Sports Tech Challenge como mecanismo real de deal entre startups e corporações, não competição de pitch.