br-dev.org @br_dev_org

GitHub detectou um incidente de segurança em que um dispositivo de funcionário foi comprometido por uma extensão maliciosa do VS Code. O ataque resultou na exfiltração de repositórios internos da empresa. O número alegado pelo atacante (~3.800 repositórios) é consistente com a investigação inicial. A GitHub rotacionou imediatamente segredos críticos, isolou o endpoint e iniciou resposta ao incidente. A empresa continua monitorando atividade e deve publicar relatório completo ao fim da investigação. Com base em post do GitHub na rede X. Siga, compartilhe, e comente.

A campanha Shai-Hulud comprometeu centenas de pacotes no npm e PyPI, incluindo projetos da TanStack e Mistral AI, distribuindo malware para roubo de credenciais de desenvolvedores. O ataque usou tokens OIDC legítimos sequestrados para publicar versões maliciosas com atestação de procedência válida, fazendo os pacotes parecerem autênticos. Só na TanStack, foram 84 versões maliciosas em 42 pacotes; fornecedores de segurança registraram entre 160 e 416 artefatos comprometidos. O malware busca tokens GitHub, npm, AWS, Kubernetes, Vault, chaves SSH, arquivos .env e configurações do Claude Code, além de criar persistência em IDEs. A recomendação é verificar versões afetadas, remover persistência e rotacionar credenciais. Com base em: “Shai Hulud attack ships signed malicious TanStack, Mistral npm packages”, do site BleepingComputer. Siga, compartilhe, e comente.

A TanStack publicou um postmortem detalhando um grande ataque de supply chain no npm ocorrido em 11 de maio de 2026, no qual invasores publicaram 84 versões maliciosas em 42 pacotes @tanstack/* em apenas seis minutos. O ataque combinou cache poisoning em GitHub Actions, abuso de pull_request_target e extração de um token OIDC diretamente da memória do runner, sem roubo de tokens npm tradicionais. Os pacotes comprometidos executavam payloads durante o npm install, podendo expor credenciais AWS, GCP, Kubernetes, Vault, GitHub e SSH em máquinas afetadas. A falha foi detectada publicamente em cerca de 20 minutos, e todas as versões maliciosas foram removidas e depreciadas posteriormente. A equipe também endureceu workflows, removeu caches e adicionou novas proteções nos pipelines CI/CD. Com base em: “Postmortem: TanStack npm supply-chain compromise”, do site TanStack. Siga, compartilhe, e comente.

A OpenAI lançou o GPT-5.5 como seu modelo mais avançado até então, com foco em tarefas complexas como programação, análise de dados e pesquisa científica, além de maior eficiência e melhor uso de contexto. O modelo alcança 84,9% no benchmark GDPval (tarefas profissionais), 78,7% no OSWorld-Verified (uso de computador) e 98,0% no Tau2-bench Telecom, indicando avanço em fluxos reais de trabalho. A versão também melhora a capacidade de executar tarefas de ponta a ponta, mantendo coerência em processos longos e reduzindo necessidade de múltiplos prompts. Em testes, usuários relataram respostas mais precisas, estruturadas e úteis, especialmente em áreas como negócios, educação e engenharia. Com base em: “Introducing GPT-5.5”, do site da OpenAI. Siga, compartilhe, e comente.

A Anthropic publicou um postmortem detalhando uma série de incidentes ocorridos ao longo de março, incluindo falhas operacionais, vazamentos de código e problemas de confiabilidade em seus sistemas de IA. O relatório aponta que não houve ataque externo, mas sim uma combinação de erros internos, como configurações incorretas em builds e processos inadequados de revisão, que resultaram, por exemplo, na exposição acidental de mais de 500 mil linhas de código do Claude Code. O documento também destaca lacunas em monitoramento e resposta a incidentes, com detecção tardia em alguns casos e dependência excessiva de ferramentas automatizadas. A empresa afirma ter implementado melhorias em processos de release, controle de acesso e observabilidade, reforçando práticas de engenharia para evitar recorrência. Com base em: “April 23 Postmortem”, do site da Anthropic. Siga, compartilhe, e comente.

A Vercel confirmou um incidente de segurança envolvendo acesso não autorizado a sistemas internos, afetando um subconjunto limitado de clientes e potencialmente expondo dados como logs, nomes e e-mails. A origem foi atribuída a um comprometimento de um aplicativo OAuth de terceiros ligado a uma ferramenta de IA integrada ao Google Workspace, parte de uma falha mais ampla que impactou múltiplas organizações. A empresa recomendou que usuários rotacionem variáveis de ambiente (tokens e chaves de API) e revisem atividades suspeitas. Também publicou indicadores de comprometimento (IOCs) para auxiliar na detecção. O incidente reforça riscos de dependência de integrações externas em ambientes corporativos e a necessidade de controles mais rigorosos sobre acessos OAuth. Com base em: “Vercel April 2026 Security Incident”, do site da Vercel. Siga, compartilhe, e comente.

A Anthropic lançou o Claude Opus 4.7 em abril de 2026 como evolução direta do Opus 4.6, com melhorias em engenharia de software, análise de imagens e qualidade de respostas, mantendo o mesmo preço de US$ 5 por milhão de tokens de entrada e US$ 25 por saída. O modelo também inclui novas salvaguardas para bloquear solicitações de alto risco, especialmente relacionadas a segurança cibernética, como parte de uma estratégia mais cautelosa de lançamento. Apesar dos avanços, o Opus 4.7 é descrito como menos poderoso que o modelo experimental Mythos, ainda restrito a parceiros devido a riscos potenciais. A versão serve como etapa intermediária para testar capacidades e controles antes de liberar modelos mais avançados. Com base em: “Claude Opus 4.7”, do site Anthropic. Siga, compartilhe, e comente.

A Anthropic decidiu não lançar comercialmente o Claude Mythos Preview, um modelo experimental de alto desempenho que supera versões anteriores como o Claude Opus 4.6 em análise de código, escrita e argumentação. O modelo demonstrou capacidade excepcional para identificar milhares de vulnerabilidades de alto risco e zero-day em navegadores e sistemas operacionais populares, incluindo falhas antigas no Firefox, OpenBSD e FFmpeg. A empresa concluiu que ele poderia trazer mais riscos do que benefícios, ao ser explorado por cibercriminosos para criar ataques sofisticados ou combinado com agentes de IA. Em vez do lançamento aberto, a Anthropic está usando a tecnologia no projeto Glasswing, uma iniciativa de cibersegurança com parceiros como Apple, Google, Microsoft e Amazon. Resumido por LLM com base em "Mythos: por que a nova IA da Anthropic é perigosa para a humanidade?" do site "TecMundo". Siga, compartilhe, e comente.

A ferramenta Cline CLI (v2.3.0) foi comprometida em 17 de fevereiro de 2026 em um ataque de supply chain, no qual um invasor usou um token npm roubado por meio de um ataque de prompt injection em um fluxo com IA, que levou ao vazamento de credenciais de publicação. Durante cerca de 8 horas, aproximadamente 4 000 downloads instalaram automaticamente o pacote OpenClaw via script oculto (postinstall), sem consentimento do usuário. Embora o OpenClaw não seja considerado malware, a instalação não autorizada expôs riscos e evidenciou fragilidades no ecossistema npm. A versão foi removida e substituída pela 2.4.0, com reforços de segurança. Com base em: “Cline CLI 2.3.0 Supply Chain Attack Installed OpenClaw on Developer Systems”, do site The Hacker News. Siga, compartilhe, e comente.

A Lei Felca (PL 2628/22), voltada à proteção de crianças na internet, pode criar obstáculos para sistemas como Linux no Brasil, segundo análise publicada em março de 2026. A legislação exige verificação de idade confiável e controle parental para serviços digitais acessíveis a menores, com multas de até R$ 50 milhões por infração e possibilidade de bloqueio nacional para plataformas que não cumprirem as regras. Projetos de software livre enfrentariam dificuldades técnicas para implementar essas exigências, já que usuários com privilégios administrativos (“root”) podem desativar ou modificar qualquer mecanismo de controle. Além disso, distribuições abertas possuem sistemas de instalação de aplicativos que não conseguem garantir consentimento parental obrigatório, o que poderia gerar conflitos regulatórios com a lei. Com base em: “A Lei Felca pode bloquear o Linux no Brasil?”, do site TecMundo. Siga, compartilhe, e comente.

O NanoClaw, uma ferramenta open source para criar agentes de IA, ganhou grande atenção em cerca de seis semanas e levou a um acordo de integração com a Docker, após viralizar na comunidade de desenvolvedores. O projeto foi criado pelo programador Gavriel Cohen em um fim de semana, como uma alternativa mais simples e segura ao OpenClaw, que possui cerca de 800 mil linhas de código; o NanoClaw foi implementado com cerca de 500 linhas. Depois de um post no Hacker News e de elogios públicos do pesquisador Andrej Karpathy, o projeto alcançou 22 mil estrelas no GitHub, 4,6 mil forks e mais de 50 contribuidores. O acordo permitirá integrar Docker Sandboxes para executar agentes de IA em ambientes isolados e mais seguros. Com base em: “The wild six weeks for NanoClaw’s creator that led to a deal with Docker”, do site TechCrunch. Siga, compartilhe, e comente.

A Meta anunciou em 10 de março de 2026 a aquisição da Moltbook, uma rede social criada para que agentes de IA publiquem e interajam entre si, em um movimento para expandir sua estratégia em sistemas de IA autônomos. A plataforma, semelhante ao Reddit, ganhou atenção após viralizar com posts aparentemente gerados por agentes, embora investigações tenham indicado que muitos dos conteúdos mais populares foram influenciados ou escritos por humanos, levantando dúvidas sobre o grau real de autonomia dos bots. Mesmo assim, a empresa considera a tecnologia da Moltbook — que conecta agentes por meio de um diretório sempre ativo — promissora para futuros ecossistemas de agentes. Os fundadores Matt Schlicht e Ben Parr devem se juntar ao laboratório de IA da Meta, e os termos financeiros da aquisição não foram divulgados. Com base em: “Meta acquired Moltbook, the AI agent social network that went viral because of fake posts”, do site TechCrunch. Siga, compartilhe, e comente.

O Vue Router 5 foi lançado como uma versão de transição que incorpora o plugin unplugin-vue-router diretamente no núcleo da biblioteca, trazendo roteamento baseado em arquivos e melhor suporte a TypeScript sem mudanças incompatíveis para usuários do Vue Router 4. A atualização também introduz recursos experimentais como data loaders, que permitem associar carregamento de dados diretamente às rotas para renderizar componentes apenas quando os dados necessários estiverem disponíveis. Outras melhorias incluem integração com o plugin Volar para melhor suporte em editores e validação de rotas via JSON schema. A versão serve como etapa intermediária antes do Vue Router 6, que será apenas ESM e removerá APIs depreciadas. Com base em: “Vue Router 5: File-Based Routing Into Core with No Breaking Changes”, do site InfoQ. Siga, compartilhe, e comente.

A Apple anunciou o MacBook Neo, um notebook de 13 polegadas a partir de US$ 599, seu laptop mais barato até hoje, com foco em estudantes e usuários básicos. Para atingir esse preço, o modelo usa o chip A18 Pro — originalmente do iPhone 16 Pro — em vez dos chips da linha M, além de configurações mais simples como 8 GB de memória unificada e 256 GB de armazenamento na versão base. O equipamento tem tela IPS de 13″ (2408×1506), dois ports USB-C e até 16 horas de bateria, mas reduz recursos premium como gama de cores P3, True Tone e webcam de maior resolução. A estratégia busca ampliar a base de usuários do macOS e competir com PCs baratos e Chromebooks em segmentos sensíveis a preço. Com base em: “Apple's $599 MacBook Neo is a stylish compromise”, do site The Register. Siga, compartilhe, e comente.

A OpenAI está desenvolvendo uma plataforma de hospedagem de código para competir com o GitHub, segundo fontes citadas em reportagem de março de 2026. A iniciativa teria surgido após interrupções recentes no GitHub que afetaram pipelines de CI/CD e fluxos de desenvolvimento, evidenciando riscos de depender de um único fornecedor para gerenciamento de repositórios. O projeto ainda está em estágio inicial e pode levar meses até um lançamento, mas a empresa considera oferecer o serviço para sua base de clientes. Caso avance, a iniciativa colocaria a OpenAI em competição direta com a Microsoft — que é investidora da própria OpenAI — e poderia incentivar equipes de engenharia a revisar estratégias de alta disponibilidade, backup e redundância de repositórios. Com base em: “OpenAI building GitHub alternative for developer toolchains”, do site Developer-Tech. Siga, compartilhe, e comente.

Cloudflare anunciou o vinext, um substituto drop-in para Next.js reimplementado sobre Vite, criado em cerca de uma semana com auxílio de IA e projetado para rodar em Cloudflare Workers com um único comando (vinext deploy). Em benchmarks iniciais, o vinext compila aplicações de produção até 4× mais rápido que Next.js e produz bundles de navegador até 57 % menores, mantendo compatibilidade com a maior parte da API do Next.js (rota, renderização de servidor, middleware, etc.). A migração de um projeto Next.js envolve basicamente trocar next por vinext nos scripts, com app/ e next.config.js funcionando como antes. O projeto ainda é experimental e focado em desempenho e portabilidade para ambientes sem Node tradicional. Com base em: “How we rebuilt Next.js with AI in one week”, do blog da Cloudflare. Siga, compartilhe, e comente.

O provedor de hospedagem Hetzner anunciou um ajuste generalizado de preços que entrará em vigor em 1 de abril de 2026 para novos pedidos e produtos existentes, refletindo aumento “drástico” nos custos de operação e aquisição de hardware, incluindo RAM e SSDs, segundo comunicado oficial. A mudança acomete serviços como servidores em nuvem e dedicados, balanceadores de carga, armazenamento e certificados SSL, com aumentos visíveis em várias categorias de produtos. A empresa afirmou que otimizou custos o máximo possível e que o ajuste é necessário para manter a qualidade e sustentabilidade do serviço. Com base em: “Statement on price adjustment as of April 1st 2026”, do site da Hetzner. Siga, compartilhe, e comente.

A Anthropic revelou ter descoberto e bloqueado três grandes campanhas chinesas de destilação ilícita do Claude, realizadas por DeepSeek, Moonshot AI e MiniMax. Usando mais de 24.000 contas fraudulentas, os laboratórios extraíram cerca de 16 milhões de interações para copiar capacidades avançadas como raciocínio agentic, uso de ferramentas e codificação. DeepSeek priorizou evasão de censura e raciocínio; Moonshot focou em agentic reasoning e programação; MiniMax concentrou-se em orquestração e codificação agentic. A escala e a sofisticação dos ataques mostram como a destilação se tornou uma forma barata e agressiva de contornar investimentos em pesquisa própria. A Anthropic respondeu com classificadores mais robustos, fingerprinting comportamental e novas salvaguardas em produto, API e modelo. A empresa alerta que essa proliferação sem controles pode acelerar riscos sérios, inclusive em segurança nacional. Com base em "Detecting and preventing distillation attacks" do site "Anthropic". Siga, compartilhe, e comente.

A Cloudflare anunciou o Code Mode, uma técnica que permite a agentes de IA acessar toda a API da empresa (mais de 2.500 endpoints, incluindo DNS, Zero Trust, Workers e R2) consumindo apenas cerca de 1.000 tokens — uma redução de 99,9% em relação ao uso tradicional via MCP (Model Context Protocol). O Code Mode faz o agente escrever e executar código JavaScript seguro contra a especificação OpenAPI da Cloudflare, usando apenas duas ferramentas: search() para descobrir endpoints relevantes e execute() para realizar chamadas, lidar com paginação e encadear operações. A execução ocorre em um sandbox isolado (Dynamic Worker isolate), sem acesso a sistema de arquivos ou fetches externos por padrão. Sem Code Mode, um servidor MCP equivalente consumiria 1,17 milhão de tokens. O novo servidor MCP da Cloudflare está disponível agora em mcp.cloudflare.com/mcp, com suporte a OAuth 2.1 para permissões limitadas. A empresa deixou o SDK do Code Mode open-source. Com base em "Code Mode: give agents an entire API in 1,000 tokens" do blog da "Cloudflare". Siga, comente, e compartilhe.

Effect lançou a versão 4.0 em beta em 18 de fevereiro de 2026, apresentando mudanças profundas na biblioteca e no ecossistema para TypeScript após anos de feedback e iteração da comunidade. A nova versão traz um núcleo de runtime reescrito com memória mais eficiente e execução mais rápida, reduções significativas no tamanho de bundles (por exemplo, um programa mínimo pode cair de ~70 kB para ~20 kB) e unificação de todas as dependências sob uma única versão, simplificando gestão de pacotes. Módulos “instáveis” podem evoluir rapidamente durante o beta, e o Effect v3 continuará sendo mantido até a estabilidade da v4, com guias de migração disponíveis. Com base em: “Effect v4 Beta”, do site da biblioteca Effect. Siga, compartilhe, e comente.