A runZero divulgou sete vulnerabilidades no FatFs, biblioteca que implementa FAT/exFAT no firmware de câmeras de segurança, drones, controladores industriais e hardware wallets baseados em RTOS. O destaque é o CVE-2026-6682 (CVSS 7.6), integer overflow na montagem de FAT32 que vira corrupção de memória e execução de código via pendrive, cartão SD ou arquivo de update malicioso — em dispositivos sem proteções de memória, 'qualquer acesso físico leva a um jailbreak'. O mantenedor único do projeto não respondeu à runZero nem ao JPCERT/CC: não há fix upstream, e a runZero publicou PoCs e um exploit funcional em QEMU.
NEWS DROP
04 de julho de 2026
7 itens
Sábado, 4 de julho.
O item mais desconfortável do dia não tem patch — e talvez não tenha tão cedo. A runZero divulgou sete vulnerabilidades no FatFs, a biblioteca de filesystem que lê FAT e exFAT e está embutida no firmware de milhões de dispositivos: câmeras de segurança, drones, controladores industriais, hardware wallets — praticamente qualquer coisa construída sobre um RTOS que aceita cartão SD ou pendrive. O pior bug é o CVE-2026-6682 (CVSS 7.6), um integer overflow na montagem de volumes FAT32 que em hardware real vira corrupção de memória e execução de código; o CVE-2026-6687 chega ao mesmo lugar pelo campo de label de volume exFAT. Como a maioria desses dispositivos não tem as proteções de memória de um desktop, a conclusão da runZero é seca: 'qualquer acesso físico leva a um jailbreak'. E aqui vem a parte estrutural do problema: o FatFs é mantido por um único desenvolvedor, que não respondeu nem à runZero nem ao JPCERT/CC do Japão. Não há fix upstream para os bugs de corrupção de memória, não há mailing list de segurança, e a maioria dos produtos que embarcam a biblioteca nem tem como saber que está afetada. A runZero publicou imagens de disco de PoC, harness de teste e um exploit funcional em QEMU. Se o seu produto monta mídia removível com FatFs, o problema agora é seu.
A notícia boa do dia vem da Mistral. O Leanstral 1.5 é um modelo aberto (Apache 2.0) especializado em engenharia de provas no Lean 4 — o proof assistant que virou padrão em matemática formal e verificação de software. Arquitetura MoE com 119 bilhões de parâmetros totais e só 6 bilhões ativos, contexto de 256k tokens, treinado num ambiente de RL multiturn em que o modelo submete a prova, recebe o feedback do compilador Lean e refina a tentativa. Resultado: 587 dos 672 problemas do PutnamBench resolvidos e o miniF2F saturado. Está grátis no tier Labs da Mistral e com pesos no Hugging Face. Depois do ensaio do IEEE Spectrum sobre Terence Tao e a era da 'Big Mathematics' que passou por aqui na semana passada, isto é a infraestrutura dessa era chegando de graça e com licença permissiva.
A Microsoft anunciou a Frontier Company: US$ 2,5 bilhões e cerca de 6 mil engenheiros, especialistas de indústria e consultores técnicos embarcados fisicamente dentro dos clientes enterprise para desenhar, construir e operar sistemas de IA. O contexto que explica o movimento é uma estatística que não sai da cabeça de nenhum CFO: a pesquisa do Project NANDA do MIT achou que 95% dos pilotos de IA generativa enterprise não geram impacto mensurável nenhum em P&L. A unidade será presidida por Rodrigo Kede Lima e, apesar do nome, não é entidade legal separada. O detalhe de corrida armamentista: a Amazon anunciou a sua versão dois dias antes, a OpenAI montou a Deployment Company com mais de US$ 4 bilhões da TPG, e a Anthropic fechou um veículo de US$ 1,5 bilhão com Goldman Sachs, Blackstone e Hellman & Friedman. Forward-deployed engineering deixou de ser tática de startup de defesa e virou o produto que todos os grandes vendem.
Do lado sombrio da semana: o Citizen Lab documentou que um ex-membro do Parlamento Europeu que integrava justamente o comitê de investigação de abusos de spyware foi infectado com Pegasus durante o trabalho do comitê. O alvo era quem investigava a ferramenta — a mensagem de intimidação é o ponto. É o pano de fundo perfeito para a semana em que o Chat Control voltou à mesa na UE.
O número da indústria veio da Crunchbase: US$ 510 bilhões investidos em startups no primeiro semestre de 2026 — mais que 2025 inteiro. OpenAI e Anthropic sozinhas capturaram US$ 217 bilhões, 43% de todo o capital global de startups; mais de 70% do dinheiro do Q2 foi para IA. E no meio do relatório, quase escondido: a SpaceX abriu capital avaliada em US$ 1,77 trilhão e confirmou a intenção de comprar a Anysphere, dona do Cursor, por US$ 60 bilhões. O editor que vos escreve leu essa frase três vezes.
Para fechar, dois itens de bancada. O guia local-llm do jamesob ficou em primeiro no Hacker News — um repositório prático sobre rodar modelos state-of-the-art na sua própria máquina, do hardware ao serving. E o System Design One publicou um deep dive em CDN que vale a leitura de fim de semana: o caminho completo de uma requisição, cache hierárquico e por que a borda da rede continua sendo o upgrade de latência mais barato que existe.
Sete itens. Bom sábado.
A Mistral abriu o Leanstral 1.5, modelo especializado em engenharia de provas formais no Lean 4: MoE de 119B de parâmetros totais (6B ativos), contexto de 256k tokens, treinado em RL multiturn contra o compilador Lean — submete a prova, recebe o erro, refina. Resolveu 587 dos 672 problemas do PutnamBench e saturou o miniF2F, benchmarks de referência em theorem proving automatizado. Licença Apache 2.0, pesos no Hugging Face e uso gratuito no tier Labs — infraestrutura de matemática formal deixando de ser nicho acadêmico.
A Microsoft anunciou em 2 de julho a Frontier Company: US$ 2,5 bilhões e ~6 mil engenheiros e especialistas embarcados fisicamente nos clientes enterprise para desenhar, construir e operar sistemas de IA, sob a presidência de Rodrigo Kede Lima. O gatilho é a estatística do Project NANDA do MIT: 95% dos pilotos de IA generativa enterprise não geram impacto mensurável em P&L. A Amazon anunciou iniciativa similar dois dias antes; OpenAI (Deployment Company, US$ 4B+ da TPG) e Anthropic (veículo de US$ 1,5B com Goldman Sachs e Blackstone) já tinham as suas — forward-deployed engineering virou o produto da vez.
O Citizen Lab documentou que um ex-membro do Parlamento Europeu, integrante do comitê que investigava abusos de spyware na União Europeia, foi ele próprio infectado com o Pegasus da NSO Group durante o trabalho do comitê. O caso — infecções em 2022-2023, descobertas agora — mostra spyware de Estado sendo usado contra quem exerce supervisão democrática sobre spyware de Estado. O timing amplifica o alerta: a descoberta vem na mesma semana em que o Conselho da UE avança com o Chat Control.
Dados da Crunchbase mostram US$ 510 bilhões investidos em startups no primeiro semestre de 2026 — mais que os US$ 440 bilhões de 2025 inteiro. OpenAI e Anthropic capturaram sozinhas US$ 217 bilhões (43% do total global), e mais de 70% do capital do Q2 foi para empresas de IA. No mesmo relatório: 24 aquisições acima de US$ 1 bilhão no trimestre (recorde de US$ 113 bilhões), e a SpaceX abriu capital avaliada em US$ 1,77 trilhão, confirmando a intenção de comprar a Anysphere, criadora do Cursor, por US$ 60 bilhões.
O repositório local-llm de James O'Beirne (jamesob, conhecido pelo trabalho em Bitcoin Core) ficou em primeiro no Hacker News: um guia prático e atualizado sobre rodar modelos de ponta na própria máquina — escolha de hardware, quantização, servidores de inferência e configuração de ponta a ponta. O interesse não é acidente: entre restrições de exportação, modelos gateados por governo e telemetria de assistentes de código, rodar o modelo localmente virou decisão de soberania, não só de custo.
Neo Kim publicou um mergulho em Content Delivery Networks: o caminho completo de uma requisição, resolução via DNS/anycast, cache hierárquico entre edge e origin, e os trade-offs de invalidação e TTL. Leitura útil tanto para entrevista de system design quanto para quem quer entender por que servir da borda continua sendo o upgrade de latência mais barato de uma arquitetura web.
NEWSLETTER
Receba os próximos drops direto no e-mail
Sem frequência forçada. Só quando tiver algo que vale o clique.