A CISA adicionou o CVE-2026-45659 ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) após confirmar exploração in-the-wild. A falha é uma execução remota de código no Microsoft SharePoint Server (Subscription Edition, 2019 e Enterprise 2016) originada da desserialização de dados não confiáveis, CVSS 8.8 — qualquer atacante autenticado com permissão mínima de Site Member consegue rodar código no servidor. A Microsoft já havia corrigido em maio de 2026, mas a entrada no KEV impõe às agências federais americanas o prazo de 4 de julho para aplicar o patch. Instâncias on-premises expostas sem o update de maio são o alvo imediato.
NEWS DROP
02 de julho de 2026
7 itens
Quinta-feira, 2 de julho.
Começa com um prazo. A CISA adicionou ontem o CVE-2026-45659 ao catálogo de vulnerabilidades exploradas ativamente (KEV) — uma falha de execução remota de código no Microsoft SharePoint Server que nasce da desserialização de dados não confiáveis. O detalhe que torna isso urgente: já há exploração confirmada in-the-wild. A Microsoft corrigiu em maio para SharePoint Subscription Edition, 2019 e Enterprise 2016, mas a inclusão no KEV obriga as agências federais americanas a aplicar o patch até 4 de julho — este sábado. CVSS 8.8, e o pré-requisito é baixo: qualquer atacante autenticado com permissão mínima de Site Member consegue rodar código no servidor. Se você tem SharePoint on-premises exposto e ainda não aplicou o update de maio, este é o item da semana.
O segundo é cirúrgico e mira exatamente quem lê este drop. A YesWeHack e a Sekoia TDR publicaram em 1º de julho a análise do ChocoPoC — uma campanha que transforma repositórios de proof-of-concept no GitHub em armadilha para pesquisadores de segurança e pentesters. A sofisticação está no vetor: o malware não fica no arquivo do exploit. Ele entra pela lista de dependências. Ao clonar o repo e instalar os requisitos, uma dependência transitiva puxa um pacote trojanizado no PyPI chamado 'frint', e o payload usa datasets do Mapbox como dead-drop de C2 — resistente a takedown, difícil de sinalizar. O RAT rouba senhas, cookies, autofill e histórico de Chrome, Brave, Edge e Firefox, coleta arquivos e histórico de shell, e executa comando shell ou Python arbitrário. A isca é a urgência: cada CVE grave recém-divulgado gera corrida por PoC, e é aí que a vítima clona sem ler. Ativo desde o fim de 2025, e ainda no ar no momento do relatório. É um vetor distinto do ataque via task do VS Code coberto em 28 de junho — mesma lógica de envenenar o ambiente de trabalho, alvo diferente.
Do lado da IA aberta, a Meituan abriu em 30 de junho o LongCat-2.0 — e a manchete não é só o tamanho. São 1,6 trilhão de parâmetros numa arquitetura Mixture-of-Experts que ativa apenas 33 a 56 bilhões por token, com janela de contexto de 1 milhão de tokens (cabe um codebase inteiro de uma vez). O modelo marcou 59,5 no SWE-bench Pro, à frente dos 58,6 do GPT-5.5, e vinha liderando o OpenRouter em coding agêntico. O ponto geopolítico: foi treinado num cluster de 50 mil placas de compute doméstico chinês — sem A100, H100 ou MI300X. Pesos abertos no Hugging Face. É a prova prática de que a stack chinesa de treino já entrega modelo de fronteira sem hardware ocidental.
Três movimentos de dinheiro e poder para fechar o bloco geral. A Together AI levantou US$ 800 milhões numa Série C a US$ 8,3 bilhões de valuation, liderada pela Aramco Ventures e com participação da própria Nvidia — a tese é rodar modelos abertos (DeepSeek, Kimi, MiniMax) a 6x-60x menos que os fechados, e as bookings anuais já cruzaram US$ 1,15 bilhão. Na Europa, o Google perdeu o recurso final contra a multa de € 4,1 bilhões pelas práticas de licenciamento do Android — a corte máxima manteve a decisão, reforçando o DMA como o instrumento mais afiado de regulação de plataforma do mundo. E a Oxmiq, do ex-executivo de Intel e AMD Raja Koduri, saiu do stealth com US$ 35 milhões para licenciar IP de chip no modelo da Arm, prometendo baratear sistemas de IA sem depender do desenho GPU-cêntrico.
Para terminar, do Brasil: o Tecnoblog reportou que a OpenAI vai lançar um hardware dedicado ao Codex, em parceria com a fabricante de periféricos Work Louder. É a aposta de que o assistente de código merece um dispositivo próprio — macro pads e controles físicos pensados para fluxo de trabalho agêntico. O anúncio saiu em 29 de junho e o reveal completo está marcado para 15 de julho.
Sete itens. Boa quinta.
A YesWeHack e a Sekoia TDR publicaram em 1º de julho a análise do ChocoPoC, campanha que transforma repositórios de proof-of-concept no GitHub em armadilha para pesquisadores de segurança e pentesters. O malware não fica no arquivo do exploit: entra pela lista de dependências — ao clonar e instalar os requisitos, uma dependência transitiva puxa o pacote trojanizado 'frint' do PyPI. O payload usa datasets do Mapbox como dead-drop de C2 (resistente a takedown) e rouba senhas, cookies, autofill e histórico de Chrome, Brave, Edge e Firefox, além de coletar arquivos, histórico de shell e executar comando shell ou Python arbitrário. Ativo desde o fim de 2025 e ainda operante no momento do relatório. A isca é a urgência gerada por cada CVE grave recém-divulgado.
A Meituan abriu em 30 de junho o LongCat-2.0, modelo Mixture-of-Experts de 1,6 trilhão de parâmetros que ativa apenas 33 a 56 bilhões por token e oferece janela de contexto de 1 milhão de tokens — o suficiente para raciocinar sobre um codebase inteiro de uma vez. O modelo marcou 59,5 no SWE-bench Pro, à frente dos 58,6 do GPT-5.5, e vinha liderando o OpenRouter em coding agêntico. O ponto crítico: foi treinado e servido num cluster de 50 mil placas de compute doméstico chinês, sem A100, H100 ou MI300X. Os pesos estão abertos no Hugging Face sob a organização meituan-longcat — evidência prática de que a stack chinesa de treino já entrega modelo de fronteira sem hardware ocidental.
A Together AI anunciou em 1º de julho uma Série C de US$ 800 milhões a US$ 8,3 bilhões de valuation pós-money, liderada pela Aramco Ventures e com participação de Vista Equity, General Catalyst, NVIDIA e outros. A empresa se posiciona como a camada de infraestrutura para rodar modelos open source (DeepSeek, Nemotron, MiniMax, Kimi) a um custo 6x a 60x menor que o dos modelos fechados, com desempenho igual ou melhor. As bookings anuais cruzaram US$ 1,15 bilhão no último trimestre, com uso de modelos abertos triplicando em doze meses. O aporte financia expansão de capacidade de inferência que a empresa projeta crescer ~50x em cinco anos.
A Oxmiq Labs, fundada pelo ex-executivo de Intel e AMD Raja Koduri, saiu do stealth com US$ 35 milhões para desenvolver uma arquitetura de chip unificada voltada a reduzir o custo de sistemas de IA. A estratégia é licenciar o IP do chip de forma semelhante à Arm — em vez de fabricar silício próprio —, mirando alternativas às soluções caras e centradas em GPU. É mais um sinal de que a corrida de hardware de IA está se abrindo para modelos de negócio baseados em propriedade intelectual, e não apenas em fabricação verticalizada.
A corte máxima da União Europeia manteve a multa de € 4,1 bilhões aplicada ao Google por práticas de licenciamento do Android que limitavam a concorrência e reforçavam o domínio de Search e Chrome. Era o último recurso disponível à empresa, encerrando um dos casos antitruste mais longos do bloco. A decisão fortalece a posição da Europa como o regulador de tecnologia mais agressivo do mundo e consolida o Digital Markets Act como instrumento central de enforcement contra plataformas dominantes.
A OpenAI anunciou em 29 de junho um dispositivo físico dedicado ao Codex, seu modelo voltado a programação, em parceria com a fabricante de periféricos Work Louder. A proposta é oferecer controles físicos e macro pads pensados para o fluxo de trabalho com assistente de código agêntico, apostando que o Codex merece um hardware próprio em vez de viver só dentro do editor. Os detalhes técnicos e o preço serão revelados no lançamento oficial, marcado para 15 de julho.
NEWSLETTER
Receba os próximos drops direto no e-mail
Sem frequência forçada. Só quando tiver algo que vale o clique.