PoC público liberado para o CVE-2026-55200, falha out-of-bounds write em ssh2_transport_read() do libssh2 que permite execução de código remoto a partir de um servidor SSH malicioso — sem credenciais, pré-autenticação, CVSS 9.2. Afeta todas as versões até 1.11.1. O risco real está na distribuição: libssh2 está embutido estaticamente no curl, Git, PHP, agentes de backup e atualizadores de firmware — cópias estáticas não são cobertas por atualizações de pacotes de sistema. Patch disponível desde 12 de junho (PR #2052). CVE-2026-55199 (CVSS 8.2, DoS via loop de CPU) e CVE-2025-15661 (CVSS 8.3, heap over-read SFTP) completam a família.

A JFrog Security Research publicou análise de dois pacotes npm sequestrados (html-to-gutenberg 4.2.11 e fetch-page-assets 1.2.9) e 16 pacotes Go infectados. Técnica nova: os atacantes usam um VS Code task 'eslint-check' com runOn: 'folderOpen' que executa automaticamente ao abrir o workspace no VS Code ou Cursor — contornando o bloqueio de lifecycle scripts do npm. O payload é buscado via TronGrid e Aptos como dead drop em blockchain (resistente a takedown), instala backdoor Socket.io com shell execution e entrega Python infostealer para roubo de credenciais e criptomoedas.

A Polymarket confirmou que ~US$ 3,1 milhões foram drenados de aproximadamente 15 contas: um fornecedor terceirizado comprometido injetou JavaScript malicioso no frontend que forçava usuários a aprovar transações fraudulentas. Os ativos (principalmente ParyonUSD) foram convertidos em ~1.893 ETH e bridgeados para Ethereum. Backend não foi comprometido. A Polymarket removeu a dependência, isolou o script e prometeu reembolso total. Este é um incidente técnico distinto da história de vídeos promocionais falsos coberta em 23 de junho.

Alec Armbruster lançou o IP Crawl, crawler que mapeia continuamente câmeras completamente abertas na internet — sem usuário, senha ou exploit necessário. Permite navegar, filtrar por localização, ISP e marca, e assistir ao vivo. Fabricantes com dispositivos inseguros por padrão incluem Hikvision, Blue Iris, Axis, D-Link, Wyze, Dahua e Sony. O catálogo inclui câmeras em parques com crianças e espaços privados. Tese central: a responsabilidade é dos fabricantes que entregam dispositivos inseguros por default — não dos usuários que não sabem configurar.

Mapeamento da Engadget sobre o sistema Flock Safety: mais de 100 mil câmeras de reconhecimento de placas nos EUA, quase todas da Flock Safety. O sistema vai além da placa — busca por linguagem natural ('sedan verde com adesivo de bandeira americana'), identifica cor, dano na lataria e carga visível. Polícia de outros estados pode buscar no acervo; a ICE acessa via acordos com departamentos locais. Documentados: dezenas de casos de abuso por policiais usando o Flock para monitorar ex-parceiros. Vulnerabilidades anteriores expuseram câmeras ao público, incluindo filmagens de parques com crianças.

Em 29 de junho, Parlamento Europeu, Conselho e Comissão entram em trilogue pela regulamentação permanente do Chat Control (CSAR). A versão mais preocupante ainda em discussão tornaria obrigatório o escaneamento de comunicações E2E criptografadas via client-side scanning — verificação no dispositivo do remetente antes da criptografia, contornando a privacidade sem 'quebrar' tecnicamente a criptografia. O Serviço Jurídico do próprio Conselho emitiu aviso em junho de que a proposta viola o Artigo 7 da Carta dos Direitos Fundamentais da UE. Mais de 500 criptógrafos assinaram carta de oposição.

Desenvolvedor enviou arquivo DICOM de 266 MB ao Claude Opus 4.8 para segunda opinião após diagnóstico de ortopedista. Resultado: diagnósticos contraditórios — médico identificou ruptura parcial de grau III no tendão subescapular; o Opus 4.8 concluiu tendão intacto, sem ruptura. Na arbitragem entre os dois laudos, o modelo favoreceu sua própria análise com 'confiança moderada a alta'. O artigo levanta o que fazer quando IA e especialista humano discordam — e conclui que gerações adicionais de desenvolvimento são necessárias antes que análise de imagens médicas por IA seja rotineiramente confiável.