Noam Shazeer, VP de Engenharia do Google e co-lead do Gemini, anunciou em 18 de junho que está saindo para a OpenAI, onde liderará a Architecture Research. Shazeer é co-autor de "Attention Is All You Need" (2017), paper que introduziu o mecanismo de atenção dos transformers — a base de todos os LLMs atuais. O Google havia pago aproximadamente US$ 2,7 bilhões para trazê-lo de volta da Character.AI menos de dois anos atrás. Sam Altman descreveu o movimento como "10 anos em construção". A contratação é o maior movimento de talento de arquitetura na história recente da IA.

Uma pesquisadora documentou aproximadamente 10 mil repositórios no GitHub distribuindo malware trojan mascarado de software legítimo — ativos por mais de um ano sem detecção. A técnica de evasão: deletar periodicamente o commit mais recente e empurrar um idêntico com mensagem "Update README.md" a cada poucas horas, simulando manutenção de rotina para os algoritmos de segurança do GitHub. Os trojans nos arquivos ZIP passavam em scans automáticos quando submetidos como links, mas eram flagrados quando enviados diretamente como arquivos. A pesquisadora descobriu o padrão em fevereiro ao encontrar um clone quase idêntico do próprio repositório via Bing. 780 pontos no HN.

O projeto Node.js publicou atualizações de segurança para as linhas 22.x, 24.x e 26.x em 18 de junho, corrigindo 12 vulnerabilidades com duas de severidade alta. O CVE-2026-48618 explora separadores Unicode de ponto (ex: U+FF0E) na verificação de hostname em TLS — a checagem aceita o host como válido quando não deveria. O CVE-2026-48931 é uma race condition no HTTP agent que permite envenenamento da fila de respostas (response queue poisoning). Há ainda uma vulnerabilidade na implementação WebCrypto que crasha o processo se o input de subtle.encrypt() for múltiplo de 2GiB. Patches: v22.23.0, v24.17.0 e v26.3.1.

A CISA adicionou o CVE-2026-20253 ao catálogo KEV em 18 de junho com exploração ativa confirmada. A vulnerabilidade está no sidecar PostgreSQL do Splunk Enterprise: o serviço expõe endpoints de operações de arquivo sem qualquer verificação de autenticação — qualquer host que alcance o serviço via rede pode criar ou truncar arquivos arbitrários, o que na prática leva a execução de código remoto. CVSS 9.8. Afeta versões 10.0.x e 10.2.x do Splunk Enterprise, divulgado em 10 de junho. Organizações federais americanas têm três dias para aplicar o patch; para demais, atualização imediata.

A Paradigm Shift publicou o exploit "usbliter8" que compromete o BootROM — o código de inicialização gravado diretamente em silício — dos chips A12 (iPhone XR, XS) e A13 (iPhone 11), além do Apple Watch S4 e S5. A falha combina uma fraqueza no USB controller com um problema de configuração do DART, permitindo injeção de código antes que a verificação de integridade do iOS execute. O A14 e posteriores configuram o DART corretamente — esses chips não são afetados. Como o BootROM não pode ser atualizado via software, os dispositivos afetados permanecem vulneráveis indefinidamente. A única mitigação é migrar para hardware mais recente.

Yann LeCun, cientista-chefe de IA da Meta, disse à CNBC que a xAI é "espécie de um fracasso": todos os 11 co-fundadores não-Musk já saíram, a empresa teve US$ 2,5 bilhões de perda operacional no Q1, e Musk tem dificuldade crescente para contratar talento de topo. LeCun estendeu o diagnóstico para a indústria: labs como OpenAI e Anthropic gastam mais para rodar modelos do que cobram, com o gap coberto por investidores. "Não pode durar muito tempo assim." LeCun levantou US$ 1 bilhão em março para a AMI Labs, que aposta que LLMs são um beco sem saída — ele tem pele no jogo, mas o argumento econômico é independente disso.

O parlamento suíço votou na sessão de verão de 2026 para levantar a proibição de construção de novas usinas nucleares — vigente por quase uma década — por 27 votos a 13 com 2 abstenções. O governo citou metas climáticas, demanda crescente e incertezas de fornecimento energético, com a expansão de data centers e infraestrutura de IA explicitamente no debate. Levantar a proibição não garante novos projetos — licenciamento rigoroso e possíveis referendos populares continuam no caminho. 753 pontos no Hacker News na sessão de hoje.