A OpenAI lançou o Patch the Planet como parte do programa Daybreak: o GPT-5.5-Cyber identifica vulnerabilidades em projetos open source largamente usados, escreve PoCs e colabora com os mantenedores no patch — com revisão humana da Trail of Bits antes de qualquer divulgação. Resultados confirmados incluem: UAF de 23 anos no kernel do OpenBSD (escalação local para root), cinco bugs exploráveis no V8 do Chrome, vulnerabilidade WebAssembly no Firefox corrigida dois dias antes do Pwn2Own Berlin (cinco dos seis competidores com entradas Firefox desistiram ao saber), e padrões de quatro de seis CVEs no dnsmasq. Projetos iniciais: cURL, Python, Go, Sigstore, pyca/cryptography. GPT-5.5-Cyber marcou 85,6% no CyberGym (vs. 81,8% do padrão).

O Squidbleed é um heap overread no parser de listagem de diretórios FTP do Squid, rastreado até um commit de janeiro de 1997. Em configuração padrão, o Squid tem FTP habilitado na porta 21: o atacante que controla um servidor FTP acessível pelo proxy pode fazer o Squid ler além do limite de um buffer e retornar dados de requisições HTTP recentes de outros usuários — cabeçalhos Authorization, session tokens, chaves de API. Afeta especialmente ambientes com proxy compartilhado. O patch está no branch de desenvolvimento desde abril e no v7 desde maio, mas o Squid 7.6 não o inclui — vem na 7.7. Mitigação imediata: desabilitar FTP.

A Reflection AI, startup open source que se posiciona como alternativa americana ao DeepSeek e tem US$ 800 milhões investidos pela Nvidia, fechou ontem um deal de US$ 150 milhões por mês com a SpaceX para acessar chips Nvidia GB300 no Colossus 2 em Memphis — totalizando US$ 6,3 bilhões de julho de 2026 até 2029, com opção de cancelamento de 90 dias após os primeiros três meses. O deal é menor que os da Anthropic (US$ 1,25B/mês) e do Google (US$ 920M/mês) com a SpaceX, mas consolida o Colossus como plataforma comercial de compute independente dos projetos internos de Musk.

A Weibo AI (Sina Weibo) lançou o VibeThinker-3B, modelo de 3,1B parâmetros baseado no Qwen2.5-Coder-3B com licença MIT, que cabe em 6,7 GB de VRAM. O paper (arXiv 2606.16140) reporta 96,1% de acerto na primeira tentativa em contests do LeetCode — superando Claude Opus 4.5, GPT 5.2 e outros — e 94,3 no AIME 2026. Todos os números são auto-reportados pelos autores, sem verificação independente. 221 pontos no HN: o debate não é sobre o número em si, mas se benchmarks de LeetCode ainda medem capacidade real de coding ou já se tornaram alvo de overfitting sistemático por treinamento específico nesses formatos.

Investigação do WSJ baseada em 1.100 vídeos e materiais internos: a Polymarket pagou dezenas de criadores para filmar apostas vencedoras em cópias quase perfeitas do site, não na plataforma real. Em 118 vídeos analisados, os ganhos fabricados somavam US$ 900 mil — as mesmas apostas no site real teriam gerado prejuízo de US$ 166 mil. Os criadores foram instruídos a não divulgar o pagamento, e um contratante de marketing amplificava os vídeos via redes sociais. A Polymarket disse que vai auditar o conteúdo promocional ativo.

A RFC 10008 define o método HTTP QUERY: funciona semanticamente como GET (seguro, idempotente, cacheável) mas aceita corpo de requisição — preenchendo a lacuna entre GET (sem corpo padronizado) e POST (não-idempotente, semanticamente errado para buscas). O caso de uso principal são buscas com filtros complexos e estruturas aninhadas que estouram o limite de URL. Limitação importante: não serve para compartilhamento de links, pois a URL não carrega o estado da query. O suporte ainda é incipiente e pode levar anos para se consolidar em proxies, CDNs e bibliotecas HTTP. 146 pontos no HN.

A Valve revelou os preços oficiais da Steam Machine: US$ 1.049 (512 GB), US$ 1.128 (512 GB + controle), US$ 1.349 (2 TB) e US$ 1.428 (2 TB + controle). Lançamento marcado para 29 de junho — o pré-venda abre hoje com sistema de embaralhamento aleatório de reservas para evitar que vantagem de acesso ao site favoreça quem entra mais rápido. O hardware roda SteamOS 3.8 com Wayland como padrão e latência de controles de 100-500µs. É o retorno da Valve ao hardware de salão, cinco anos depois do Steam Deck ter redefinido o segmento de handhelds.

Três casos distintos de prompt injection em petições judiciais chegaram a sanções formais no Brasil esta semana. Na Paraíba, juiz multou advogado em R$ 32,8 mil por inserir comandos ocultos pedindo para a IA 'ignorar imparcialidade'. No TRT-8, duas advogadas foram multadas em R$ 84 mil por esconder prompts para manipular o sistema de IA do tribunal. No Mato Grosso do Sul, a OAB suspendeu dois advogados por 23 dias depois que o mesmo prompt oculto foi encontrado em 28 processos diferentes. Em Minas Gerais, há mais dois casos em investigação pela Polícia Civil. A prática foi classificada como má-fé processual em todas as instâncias.