- TrapDoor mexeu no CLAUDE.md, e a revisão virou a notícia
TrapDoor passou por npm, PyPI e Crates.io roubando segredos e mexendo em CLAUDE.md; a edição também passa por Harness, Node.js VFS, phishing em RCS/iMessage, PostgreSQL, mod_wsgi e llama.cpp.
- Bambu Lab, AGPL e LTS: quem manda na parte chata do software
Hoje a parte pequena decide bastante: Bambu Lab e AGPL entram na briga pelo controle da impressora, Gated DeltaNet-2 mexe na memória longa, LTS ganha tradução para servidor, e os rápidos passam por Bun.Image, wrapt e PostgreSQL client_encoding.
- Megalodon mostrou que GitHub Actions também é produção
O fio da edição da noite é o código que mora nos bastidores: workflows do GitHub Actions, Apple MIE, TencentDB Agent Memory, LiteSpeed cPanel, Drupal/PostgreSQL, Bumblebee e Packagist aparecem como pontos de confiança que merecem revisão.
- Glasswing achou bugs demais; Claude Code lembrou da fatura
Project Glasswing colocou milhares de achados na fila de triagem; FreeBSD mostra o lado patch. Também entram Claude Code, DeepSeek-V4-Pro, Nemotron-Labs Diffusion, CVE-2026-46529, npm stage publish e corecrypto da Apple.
- Laravel-Lang: pare o Composer e confira seu composer.lock
Segundo a StepSecurity, quatro pacotes Laravel-Lang tiveram tags reescritas entre 2026-05-22 22:32 UTC e 2026-05-23 00:00 UTC. O alerta é para quem usa Composer, composer.lock, composer update, composer install e secrets em CI.
- Adeus YOLO, olá Docker Containers. Conheça o Sannux
Usei Docker, VPS, WireGuard e Ollama para isolar agentes de IA sem entregar minha home inteira, chaves, tokens e outras coisas que não deveriam estar no prompt.
- GitHub Actions em alerta: Megalodon, chaves do Google e passkeys
Megalodon colocou workflows do GitHub Actions no centro do vazamento de segredos; Aikido mediu chaves do Google funcionando após exclusão; Microsoft empurra contas pessoais para passkeys. Também entram Gemma local, npm, Kata Containers, Cisco, LVFS e agentes com freio.
- VS Code deixou de ser decoração: GitHub, npm 2FA e MCP na revisão
Nx Console 18.95.0 levou o incidente para dentro do editor, npm staged publishing colocou 2FA antes do publish e o VIPER-MCP achou 106 zero-days em servidores MCP. Também entram OpenAI na matemática, Defender no KEV, Drupal/PostgreSQL, SageMaker e asm.js.
- O pacote roda antes de você olhar: PyPI e ChromaDB no alerta
GitHub investiga alegações do TeamPCP, durabletask apareceu com versões maliciosas no PyPI, Gemini CLI ganhou prazo de migração, ChromaDB recebeu CVE crítico e o DBIR colocou exploração acima de credenciais.
- Quando package.json, GitHub Actions @v1 e agentes pedem menos confiança
Azure Linux, chaves da CISA no GitHub, npm/@antv, tags mutáveis em Actions e o EDIT do antirez mostram por que Codex, Claude Code e Gemini CLI precisam de freios melhores.
Arquivo
Todos os posts
Página 3 de 9. Explorando o acervo de tutoriais e anotações.