← News

NEWS DROP

13 de julho de 2026

7 itens

Segunda-feira, 13 de julho.

O item do dia é uma aula de como usar agente de código sem perder a cabeça, e vem de um lugar improvável: o blog de Terence Tao, possivelmente o maior matemático vivo. Em 1999 ele escreveu, em Java 1.0, uns applets para visualizar objetos de análise complexa e álgebra linear nas aulas — código que apodreceu quando a web parou de suportar aquela versão do Java. Nos últimos dias, Tao apontou um agente para esses applets de 27 anos e pediu o port para JavaScript. O agente fez o trabalho em horas, e o detalhe que viralizou no Hacker News é este: ele encontrou dois bugs no código original que o próprio Tao nunca tinha notado. De brinde, Tao finalmente construiu uma ideia parada desde 1999 — um 'Inkscape, mas no espaço de Minkowski' para visualizar relatividade especial — em algumas horas de vibe coding. O que faz o post valer a leitura não é o 'olha, a IA programa', é o método: ele publicou os transcripts, revisou tudo, testou, e aplicou um critério explícito de risco antes de colocar no ar (consigo revisar? consigo testar? consigo explicar para outros?). É o oposto do vibe coding cego — é engenharia com agente no loop, feita por quem sabe exatamente o que está olhando.

O item de segurança assusta pela idade. Pesquisadores da Nebula Security divulgaram o GhostLock (CVE-2026-43499), um use-after-free no caminho de herança de prioridade do futex/rtmutex do kernel Linux — bug introduzido lá em 2011, no 2.6.39, e que desde então embarca por padrão em praticamente toda distribuição mainstream. Qualquer usuário logado, sem permissão especial, sem rede, sem configuração exótica, vira root. A Nebula transformou isso num exploit 97% confiável que ainda escapa de container, faturou US$ 92.337 do programa kernelCTF do Google — e, o que muda o cálculo de risco de todo mundo, publicou o código. Não há exploração conhecida no mundo real ainda, mas agora qualquer um roda: cinco segundos para root numa máquina não corrigida. Corrigido no kernel 7.1, mas boa parte das LTS do Ubuntu ainda aparecia como vulnerável no começo do mês. Se você opera host multiusuário ou container em kernel antigo, patch hoje.

Para quem programa, duas notas. O Rust 1.97 saiu estável e finalmente ligou o esquema de mangling de símbolos v0 por padrão, encerrando uma migração de oito anos: o formato antigo, herdado do Itanium ABI, escondia as assinaturas genéricas completas nos stack traces; o v0 as torna legíveis. Vêm junto controle de warnings pelo Cargo sem invalidar o cache de build e um novo lint que finalmente mostra as mensagens que o linker escrevia no stderr e o rustc jogava fora. E, encerrando uma era bem maior, Vint Cerf — coautor do TCP/IP e 'pai da internet' — anunciou a aposentadoria do Google depois de mais de 20 anos como chief internet evangelist. No recado de despedida, uma previsão que conversa direto com o resto deste drop: a ascensão dos agentes de IA vai empurrar a indústria de volta para protocolos padronizados, porque agente que coordena com agente precisa de composabilidade e interoperabilidade — as mesmas propriedades que ele passou a vida defendendo.

De volta à segurança, um lembrete de quão frágil é a infra moderna: o XRING, divulgado por Sébastien Féry, da FoxIO, é uma linha errada no XQUIC, a biblioteca de QUIC e HTTP/3 da Alibaba. Cerca de 260 bytes de tráfego QPACK perfeitamente legal derrubam o processo do servidor — sem login, sem pacote malformado. Como o XQUIC é open source e serve de base para o Tengine (o Nginx da Alibaba que fica na frente de Taobao e Alipay), qualquer servidor que o embarque com QPACK no padrão está exposto. Até a v1.9.4 não há correção nem CVE; a mitigação é zerar o SETTINGS_QPACK_MAX_TABLE_CAPACITY ou desligar HTTP/3. Bug de uma linha, superfície de internet inteira.

Do Akita On Rails, o contraponto prático ao entusiasmo do item de abertura: 'Como me precaver pros meus agentes não apagarem minhas coisas?'. Fabio Akita monta a defesa em camadas para quem deixa agente rodar comando de verdade na máquina — sandbox com ai-jail, snapshots de BTRFS, backup automatizado com restic e monitoramento — argumentando resiliência sistemática em vez de confiança cega. É o par perfeito do post do Tao: um mostra o teto do que o agente entrega, o outro mostra a rede de segurança que você precisa ter embaixo antes de soltá-lo.

E do Brasil, o Tecnoblog registra um projeto de lei que interessa a quem preserva software: o PL 3.612/2026 quer obrigar empresas a oferecer modo offline ou ferramentas de servidor quando desligam os servidores de um jogo, em vez de simplesmente 'matar' o produto que o cliente comprou. É a versão legislativa do movimento Stop Killing Games, e a pergunta de fundo é a mesma que rondou o drop da semana passada: o que significa possuir software quando o botão de desligar está do outro lado.

Sete itens. Boa segunda.

01
Terence Tao usa agente de código para portar applets de 27 anos — e a IA acha dois bugs que ele nunca tinha visto
Terence Tao (What's new) / Hacker News#AI#Agents#CodingAgents#Culture

O matemático Terence Tao relatou ter apontado um agente de código para os applets em Java 1.0 que escreveu em 1999 para suas aulas, pedindo o port para JavaScript — feito em horas, com o agente identificando dois bugs no código original que ele desconhecia. Além do port, Tao concluiu em poucas horas de 'vibe coding' uma ferramenta de visualização de relatividade especial ('Inkscape no espaço de Minkowski') idealizada em 1999. O que fez o post liderar o Hacker News não foi o feito em si, mas o método: transcripts publicados, revisão, teste e um critério explícito de risco (revisar, testar, explicar) antes de publicar — engenharia com agente no loop, não confiança cega.

Ler na fonte →
02
GhostLock (CVE-2026-43499): falha de 15 anos no kernel do Linux vira root em cinco segundos e escapa de container
The Hacker News / Nebula Security#Security#Linux#Kernel#CVE

Pesquisadores da Nebula Security divulgaram o GhostLock, um use-after-free no caminho de herança de prioridade do futex/rtmutex do kernel Linux, introduzido em 2011 (2.6.39) e presente por padrão em praticamente toda distribuição mainstream desde então. Qualquer usuário local sem privilégio — sem rede, sem configuração especial — consegue root; a Nebula construiu um exploit 97% confiável que também escapa de containers e levou US$ 92.337 do kernelCTF do Google. Com o código de exploração já público, o risco saltou: são cerca de cinco segundos para root em máquina não corrigida. Corrigido no kernel 7.1, mas LTS do Ubuntu ainda constavam vulneráveis no início de julho — hosts multiusuário e containers em kernel antigo devem priorizar o patch.

Ler na fonte →
03
Rust 1.97 sai estável e liga o mangling de símbolos v0 por padrão — fim de uma migração de oito anos
Rust Blog#Rust#Languages#DevTools#Toolchain

O Rust 1.97.0 tornou o esquema de mangling de símbolos v0 o padrão no canal estável, encerrando uma transição iniciada há oito anos: o formato legado, herdado do Itanium ABI, ocultava as assinaturas genéricas completas nos stack traces, enquanto o v0 as torna legíveis. A versão também traz controle de warnings pelo Cargo (allow/warn/deny) sem invalidar o cache de build e um novo lint linker_messages que expõe a saída de stderr do linker que o rustc antes descartava em builds bem-sucedidos. São melhorias de ergonomia de toolchain que aparecem no dia a dia de quem depura binários Rust.

Ler na fonte →
04
Vint Cerf, 'pai da internet', se aposenta do Google e deixa um recado sobre agentes de IA e protocolos
TechCrunch#Internet#Industry#Protocols#Google

Vint Cerf, coautor do TCP/IP e um dos criadores da internet, anunciou a aposentadoria do Google após mais de duas décadas como chief internet evangelist. Em suas observações de despedida, previu que a ascensão dos agentes de IA — software que age de forma autônoma e coordena com outros softwares — vai empurrar a indústria de volta para protocolos padronizados, porque interoperabilidade e composabilidade voltam a ser requisito. É a mesma tese que dá substância ao boom de agentes e padrões (MCP, tool use) que domina o noticiário: sem contrato comum, agentes não se compõem.

Ler na fonte →
05
XRING: uma linha errada no XQUIC deixa qualquer cliente derrubar servidores HTTP/3 com ~260 bytes — e não há patch
The Hacker News / FoxIO#Security#HTTP3#DoS#QUIC

O pesquisador Sébastien Féry, da FoxIO, divulgou o XRING: uma variável incorreta em uma linha do XQUIC — a biblioteca de QUIC e HTTP/3 da Alibaba — permite que um cliente remoto derrube o processo do servidor com cerca de 260 bytes de tráfego QPACK perfeitamente legal, sem login nem pacote malformado. Como o XQUIC é open source e sustenta o Tengine (o Nginx da Alibaba na frente de Taobao e Alipay), qualquer servidor que o embarque com QPACK no padrão está vulnerável. Até a v1.9.4 não havia correção nem CVE; a mitigação é definir SETTINGS_QPACK_MAX_TABLE_CAPACITY como 0 ou desabilitar HTTP/3.

Ler na fonte →
06
Akita On Rails: como se precaver para que os agentes de IA não apaguem suas coisas
Akita On Rails#AI#Agents#Security#DevOps

Fabio Akita aborda um risco prático de deixar agentes de IA executarem comandos de verdade na máquina — a chance de apagar ou corromper arquivos — e propõe defesa em camadas em vez de confiança cega: sandbox com ai-jail, snapshots de BTRFS, backup automatizado com restic e monitoramento adequado. O argumento é de resiliência sistemática: assumir que o agente vai errar em algum momento e garantir que o estrago seja reversível. É o complemento necessário ao entusiasmo com coding agents — antes de soltar o agente, monte a rede de segurança embaixo dele.

Ler na fonte →
07
Tecnoblog: projeto de lei no Brasil quer impedir que empresas 'matem' games ao desligar servidores
Tecnoblog#Policy#Gaming#Preservation#Brazil

O Tecnoblog reporta o PL 3.612/2026, que pretende obrigar publicadoras a oferecer modo offline ou ferramentas de servidor quando encerram os servidores de um jogo, em vez de simplesmente inutilizar o produto que o consumidor comprou. É a versão legislativa brasileira do movimento Stop Killing Games e toca uma questão que interessa a devs e à preservação de software: o que significa 'possuir' um produto digital cujo funcionamento depende de infraestrutura que o fornecedor pode desligar. Se aprovado, criaria obrigações de continuidade que hoje ficam a critério da empresa.

Ler na fonte →

NEWSLETTER

Receba os próximos drops direto no e-mail

Sem frequência forçada. Só quando tiver algo que vale o clique.

Compartilhe este drop

Comentarios