O governo americano emitiu uma diretiva de controle de exportação proibindo a Anthropic de oferecer acesso ao Fable 5 e ao Mythos 5 a qualquer nacional estrangeiro, dentro ou fora dos EUA — incluindo funcionários da própria empresa com visto de trabalho. A justificativa oficial é um jailbreak reportado. A Anthropic desabilitou os dois modelos globalmente para garantir conformidade e publicou declaração discordando: vulnerabilidades desse tipo existem em qualquer modelo frontier, e o padrão aplicado 'interromperia todos os deployments da indústria'. É a primeira vez que Washington força um produto comercial de IA a sair do ar. Todos os outros modelos da Anthropic (Opus 4.8, Sonnet 4.6, Haiku 4.5) continuam disponíveis.

O agente autônomo de segurança da startup depthfirst varreu 1,5 milhão de linhas de código C do FFmpeg e encontrou 21 zero-days a um custo de US$ 1.000. O mais crítico é um heap overflow disparado por um pacote de rede de 183 bytes que leva a RCE. Vários bugs têm entre 15 e 23 anos de idade — o mais antigo data de 2003 e nunca havia sido detectado. O FFmpeg é onipresente em browsers, players, encoders e servidores de streaming. Nove CVEs foram atribuídos (CVE-2026-39210 a CVE-2026-39218); os demais foram corrigidos sem numeração. A demonstração muda o cálculo de custo de security research em código legado de grande escala.

O Kimi K2.7-Code é um modelo de coding de 1 trilhão de parâmetros (32B ativos via MoE), contexto de 256K tokens, lançado sob Modified MIT license com pesos completos no HuggingFace. Marca +21.8% no Kimi Code Bench v2 sobre o K2.6 com 30% menos tokens de raciocínio — melhoria de eficiência relevante para tarefas agenticas de longa duração. Aceita texto, imagem e vídeo como input. API a $0,95/$4,00 por milhão de tokens input/output. É o quinto release principal da Moonshot AI em menos de um ano.

CVE-2026-5027 (CVSS 8.8) no endpoint POST /api/v2/files do Langflow permite escrever arquivos em qualquer local do sistema via path traversal sem autenticação — porque a configuração padrão da plataforma habilita auto-login, fornecendo um token de sessão válido com um único request HTTP. Exploração ativa confirmada em 8 de junho com atividade de escrita de arquivos de teste, precursor padrão de payloads destrutivos. O Censys identificou aproximadamente 7.000 instâncias Langflow publicamente expostas. Patch disponível; atualização imediata recomendada.

O ensaio argumenta que concentrar IA em poucas instituições fechadas cria uma 'economia de assinatura da cognição': acesso à inteligência se torna serviço contínuo, sem possibilidade de inspecionar, modificar ou rodar localmente. O autor defende que IA open source precisa permanecer viável, auditável e economicamente sustentável independente das decisões dos labs frontier — e que isso requer capacidade técnica americana combinada com padrões globais abertos. O timing involuntário é preciso: o post está no ar no mesmo dia em que o governo americano derrubou os dois modelos mais poderosos da Anthropic com uma diretiva.

O H.R. 6028 (Legislative Branch Agencies Clarification Act), aprovado em voice vote na Câmara dos EUA, retira o Copyright Office da supervisão da Library of Congress e torna o Register of Copyrights um cargo nomeado pelo presidente com confirmação do Senado. A EFF critica que a mudança politiza uma entidade que já exerce enorme influência sobre copyright e tecnologia — incluindo pareceres sobre treinamento de modelos de IA, fair use e licenciamento de software. Para a comunidade de software e IA, a identidade política do Register passou a importar mais do que antes.

A Apple migrou o interpretador de hinting de fontes TrueType de C para Swift nos sistemas Fall 2025 e publicou o relato técnico completo hoje. O TrueType parser processa dados de arquivos de fonte não confiáveis, tornando-o superfície crítica de ataque; a reescrita em Swift (memory-safe) produziu código 13% mais rápido na média. O repositório foi publicado como open source. É o caso de uso mais detalhado que a Apple já documentou da sua estratégia de substituição gradual de C por Swift em componentes críticos de segurança na plataforma.

A campanha 'Atomic Arch' comprometeu mais de 900 pacotes no AUR aproveitando projetos abandonados pelos mantenedores originais — os atacantes adotaram os pacotes via o processo padrão do AUR e modificaram os PKGBUILDs para instalar dois pacotes npm maliciosos. O infostealer 'atomic-lockfile' e um rootkit eBPF (que esconde processos e conexões de rede) roubam tokens do GitHub, chaves SSH, credenciais de cloud, cookies de browser e tokens de Slack, Discord e Teams. Usuários que instalaram pacotes AUR com yay, paru, pikaur, trizen ou aurutils após 9 de junho devem revisar o /var/log/pacman.log e trocar todas as credenciais imediatamente.