CEVIU News — 29 de April de 2026

Elon Musk afirma que a transição da OpenAI de uma organização de caridade para uma empresa com fins lucrativos é equivocada e cria um precedente preocupante para outras iniciativas filantrópicas. Ele está processando a OpenAI e seus co-fundadores, buscando a anulação da reestruturação que transformou a empresa em um modelo com fins lucrativos. Musk alega que os fundadores da OpenAI se aproveitaram de seu dinheiro, reputação e orientação para alavancar a startup, apenas para depois abandonar seus princípios originais de foco no público e capitalizar o projeto em benefício próprio. Em contrapartida, os advogados da OpenAI argumentam que a ação judicial é, em sua essência, uma tentativa de enfraquecer um concorrente direto da empresa de IA do próprio Musk.

A plataforma de anúncios da OpenAI opera em duas frentes. Nos bastidores do ChatGPT, objetos estruturados são injetados na conversa enquanto o modelo está respondendo. Do lado do comerciante, um tracking SDK é executado no navegador do visitante e reporta as visualizações de produtos de volta para a OpenAI. Essas duas partes são interligadas por tokens de clique criptografados com Fernet. Este artigo detalha cada segmento desse ciclo de distribuição, revelando a mecânica por trás da veiculação de publicidade dentro da plataforma.

Agentes de longa duração se destacam por sua capacidade de manter o progresso contínuo ao longo do tempo, operando através de múltiplas janelas de context e sandboxes. Essa persistência permite que eles se recuperem de falhas, gerem artefatos estruturais importantes e retomem suas tarefas exatamente do ponto onde foram interrompidos. O artigo aborda o estado atual dos agentes de longa duração e demonstra como engenheiros podem implementá-los agora, sem precisar construir todo o sistema do zero, abrindo novas portas para a automação e otimização de fluxos de trabalho.

Praticamente todos os incidentes de cadeia de suprimentos open source registrados nos últimos dezoito meses têm uma conexão direta com funcionalidades do GitHub Actions que operaram exatamente conforme esperado. A questão central é que o Actions se comporta como um gerenciador de pacotes desprovido de lockfile, hashes de integridade e visibilidade transitiva, elementos cruciais para a segurança. Embora o conjunto de recursos oferecidos pelo GitHub Actions seja inegavelmente conveniente, sua arquitetura facilita a criação de combinações perigosas. O GitHub já está ciente da situação e planeja introduzir melhorias, contudo, a empresa adverte que a alteração das configurações padrão pode impactar negativamente os workflows já estabelecidos.

O software revolucionou a distribuição, mas grande parte do trabalho ainda dependia da intervenção humana. A IA muda esse cenário, transformando o próprio trabalho em software. Agentes de IA são capazes de ler, raciocinar, interagir com ferramentas, verificar, revisar e executar tarefas de longa duração. Com a comoditização dos modelos, as aplicações que conseguirem capturar dados operacionais complexos serão as que evoluirão mais rapidamente e sustentarão sua vantagem competitiva por mais tempo.

O universo open source era significativamente menor antes da ascensão do GitHub, e os projetos tinham a responsabilidade de gerenciar toda a sua própria infraestrutura. Este cenário exigia uma abordagem diferente e mais complexa para o desenvolvimento e a colaboração.

O projeto Ghostty anunciou sua saída do GitHub, citando as interrupções frequentes da plataforma. As constantes falhas no GitHub têm se tornado um problema significativo, impactando negativamente a capacidade dos desenvolvedores de realizar seu trabalho de forma eficiente.

Agentes de IA enfrentam desafios com a ambiguidade, tornando APIs estritas um diferencial crucial para o seu desempenho. A clareza e a previsibilidade fornecidas por APIs bem definidas são fundamentais para que esses sistemas operem com maior eficiência e confiabilidade.

Apesar de seus fundadores as definirem como 'máquinas da verdade', os mercados de previsão atendem majoritariamente aos seus traders, e não àqueles que buscam a verdade.

A Medtronic confirmou um ataque cibernético pelo grupo ShinyHunters, que alegou ter roubado 9 milhões de registros pessoais e terabytes de dados corporativos. Os atacantes listaram a empresa de dispositivos médicos em seu site de vazamento de dados em 17 de abril, com um prazo de resgate até 21 de abril. A Medtronic foi removida do site, sugerindo um possível pagamento. A empresa afirma que a fabricação, os produtos e a patient safety não foram afetados, mas não confirmou o roubo dos dados.

A Cato Networks documentou uma campanha global de três meses (setembro a novembro de 2025) que atingiu 14.426 PLCs Modbus/TCP expostos à internet em 70 países. O setor de manufatura representou 18% dos alvos, enquanto EUA, França e Japão somaram 61% dos IPs visados. A atividade evoluiu de reconhecimento automatizado de Read Holding Register (0x03) — cerca de 235,5 mil requisições de 233 IPs — para playbooks roteirizados de fingerprint e leitura (0x2B/0x0E pareados com leituras em 0xB414). Posteriormente, observaram-se comportamentos de maior impacto, incluindo leituras em massa de 124 registradores no estilo DoS (uma fonte gerou 158,1 mil leituras contra um único alvo), 3.240 tentativas de Write Multiple Registers (0x10) de um IP a partir de 0x0BB8, e raras sondagens expandidas de identificação de dispositivo (0200) de seis fontes geolocalizadas na China, sinalizadas como infraestrutura com intenção mais elevada. Recomenda-se que defensores mantenham o Modbus totalmente fora da internet pública, implementem segmentação OT/IT com allowlisting de origem rigoroso para qualquer conectividade necessária e bloqueiem gravações 0x10 de entrada não solicitadas por padrão para prevenir manipulação em nível de registrador de processos físicos.

O pesquisador Egor Kovetskiy demonstrou que a exportação de URL .patch do GitHub incorpora a mensagem de commit completa junto com o diff real. Assim, quando um usuário desavisado executa o workflow comum de wget patch, o GNU patch analisa o texto em formato diff inserido na mensagem de commit e o aplica como se fizesse parte da alteração legítima. Em seu reprodutor público, isso criou um arquivo SHOULD_NOT_BE_HERE.md fora do escopo que a UI do GitHub nunca exibe. Testes locais escalaram o impacto: o GNU patch aceitou escritas em .git/hooks/post-applypatch (execução silenciosa de código no próximo git am), enquanto git apply e git am rejeitaram a travessia .git/... mas ainda aplicaram diffs injetados em arquivos comuns da working-tree. Apenas o git cherry-pick, que opera em objetos Git, não foi afetado. Os defensores devem parar de direcionar URLs .patch diretamente para patch -p1, preferir git am ou git cherry-pick de um clone local confiável, inspecionar as mensagens de commit em busca de marcadores diff --git incorporados antes de aplicar, e auditar pipelines de CI e bots que baixam automaticamente arquivos .patch do GitHub para este injection vector.

O pacote Python `elementary-data` foi comprometido para roubar dados de desenvolvedores e carteiras de criptomoedas. `elementary-data` é uma ferramenta popular de data observability utilizada por engenheiros de dados que trabalham com pipelines de dados. Pesquisadores da StepSecurity afirmam que o pacote foi comprometido através de um commit malicioso que explorou uma falha de injeção de script no GitHub Actions.

O Vimeo divulgou que dados de alguns de seus clientes e usuários foram comprometidos após uma violação na empresa de detecção de anomalias Anodot. A empresa afirmou que sua investigação inicial sugere que os dados continham principalmente detalhes técnicos, como títulos e metadados de vídeos. No entanto, em alguns casos, endereços de e-mail de clientes também foram expostos.

Um pesquisador descobriu uma vulnerabilidade de use-after-free (GHSA-w89h-j2xg-c457) corrigida no navegador Ladybird. A falha ocorreu porque o crescimento de um SharedArrayBuffer do WebAssembly gerou dangling pointers no seu JavaScript engine. O fast path do assembly interpreter ignorou a validação, permitindo uma cadeia de exploração que utilizou o FixedArray overlap e TypedArrays falsos para alcançar RCE através da falsificação de vtable e chamadas a libc system(). Profissionais de defesa devem monitorar alocações rápidas de TypedArray, impor verificações de limites (bounds checking) nos fast paths do interpretador e garantir que os pointers em cache sejam invalidados durante realocações de memória.

A Unit 42 da Palo Alto Networks desenvolveu um sistema de segurança ofensivo multiagente, incumbindo-o de tentar explorar uma aplicação web e exportar dados de uma tabela BigQuery com os privilégios obtidos. O sistema era composto por um orquestrador que gerenciava o teste, um agente de infraestrutura responsável por tarefas como port scanning, um agente de segurança de aplicações encarregado de testar a aplicação descoberta, e um agente de segurança da cloud para tarefas relacionadas à nuvem. No teste, o orquestrador iniciou solicitando ao agente de infraestrutura a realização de um network scan. Em seguida, instruiu o agente de segurança de aplicações a encontrar e explorar uma vulnerabilidade SSRF em uma aplicação web descoberta. Por fim, o agente de segurança da cloud foi encarregado de usar as credenciais roubadas na etapa anterior para exfiltrar dados do BigQuery.

Atacantes exploraram uma falha no GitHub Actions do projeto element-data para roubar chaves de assinatura. Em seguida, eles distribuíram uma release maliciosa (versão 0.23.3) que exfiltrava credenciais de warehouse, chaves de cloud, tokens de API, chaves SSH e conteúdos de variáveis de ambiente, antes de ser removida aproximadamente 12 horas depois. Usuários afetados devem instalar a versão 0.23.4, verificar a existência do arquivo marcador 'trinny', limpar caches e rotacionar os segredos expostos.

ShinyHunters alega ter roubado dados da Pitney Bowes, incluindo 8.2 milhões de endereços de e-mail únicos, além de nomes, números de telefone e endereços físicos.

Um cidadão americano-estoniano de 19 anos, ligado ao grupo Scattered Spider, foi preso em Helsinque e enfrenta acusações de fraude eletrônica e invasão de computador.

Promotores alemães estão investigando uma suposta campanha de phishing russa no Signal que comprometeu centenas de contas, incluindo as de militares, diplomatas e da Presidente do Bundestag, Julia Klöckner. A operação explorou QR codes de dispositivos vinculados e técnicas de personificação.

Por uma década, a pergunta dos compradores era: "Integra-se com Salesforce?". Agora, eles querem saber se agentes podem operar seu produto, se suas APIs são limpas e se há um conector MCP. Compradores que fazem essas perguntas estão calculando se vale a pena mantê-lo. A situação piora quando um fornecedor que eles já pagam adiciona uma versão de 60% do que você oferece, porque a IA preenche o restante o suficiente para que cortar seu contrato de US$ 80 mil deixe de parecer uma desvantagem. Contratos anuais têm escondido a frequência com que isso já está acontecendo.

Agentes de IA agora executam o trabalho real como loops de código, em vez de apenas intermediar interfaces, transformando tarefas humanas em chamadas de ferramentas e etapas de verificação. Tarefas baseadas em agentes consomem ordens de magnitude mais tokens do que um chat, pois uma única correção de bug do Claude Code pode consumir cerca de 900 mil tokens, onde quase todo o consumo se destina a replay de contexto e saída de ferramenta, em vez de código visível. Dados da METR mostram que os horizontes de tarefas autônomas estão dobrando a cada 131 dias, saltando de 4 minutos no GPT-4 para aproximadamente 12 horas no Claude Opus 4.6. Isso impulsiona a OpenAI a ultrapassar 15 bilhões de tokens por minuto, enquanto o Google registra um crescimento de 50x ano a ano no consumo de tokens.

A Chainguard agora espera que seus gerentes de engenharia estejam no percentil 50 de uso de tokens entre seus subordinados diretos. Gerentes que utilizam poucos tokens carecem do contexto necessário para gerenciar e impulsionar resultados. Por outro lado, gerentes que usam tokens em excesso precisam focar em aumentar o uso de tokens por suas equipes. Estar no meio termo significa que tanto os gestores quanto suas equipes compreendem plenamente o potencial das ferramentas que utilizam.

Uma prosa lapidada costumava exigir esforço. Hoje, qualquer fundador pode produzir um comunicado de lançamento de funcionalidade claro em dez minutos, mas a maioria deles soa como o mesmo anúncio. Faça o teste: troque o nome da sua empresa pelo de um concorrente e releia sua última publicação. Se ela ainda fizer sentido, você escreveu apenas um comunicado de imprensa genérico. Para ir além, não entregue ao modelo uma especificação de funcionalidade e peça um texto lapidado. Em vez disso, forneça o ticket do cliente, a discussão no Slack e o áudio em que você explica por que essa funcionalidade realmente importa, garantindo autenticidade e relevância.

É ingênuo supor que o Total Addressable Market (TAM) para inteligência artificial será simplesmente igual ao tamanho atual do mercado de trabalho humano global. Esta publicação propõe um novo framework para dimensionar os mercados de IA, baseado na equação econômica clássica de Preço multiplicado por Quantidade (TAM = TAM do Trabalho Humano × Fator de Compressão de Preço × Fator de Expansão de Volume).

Durante a maior parte da história do software, era possível simular produtividade entregando muito. A IA quebrou essa fachada, pois protótipos são baratos, as especificações se escrevem sozinhas, e a entrega parece a mesma, quer você esteja construindo a coisa certa ou a errada. Isso exige equipes menores de quatro ou cinco pessoas, com o PM mais próximo do trabalho, especialmente em funcionalidades de IA onde a pergunta 'isso é bom?' não pode ser respondida por uma métrica. O modelo pode construir a coisa para você, mas ainda não consegue dizer por que alguém deveria se importar.

Um cliente pediu uma funcionalidade em uma chamada. A equipe a construiu, lançou rapidamente e seguiu em frente. Ninguém realmente a utilizou. A velocidade só ajuda se você entender o problema antes de começar a construir. Analise suas últimas cinco funcionalidades lançadas e conte quantos clientes ainda estavam usando cada uma delas um mês depois.

Aquilo que você mais precisa saber geralmente são as coisas que ninguém pensou em perguntar.

Atualmente, os ganhos de mercado da IA favorecem fornecedores como a Nvidia, enquanto os benefícios mais amplos de produtividade permanecem subavaliados.

Estamos caminhando para uma estrutura de preços baseada em token e o fim das camadas de preço fixo.

O Departamento de Justiça (DOJ) dos EUA não investigará nem acusará desenvolvedores de blockchain por crimes cometidos por terceiros que utilizem seus softwares, desde que o desenvolvedor não tenha envolvimento intencional nesses crimes. Essa nova política reverte diretamente a postura de fiscalização que levou à condenação de Roman Storm em agosto de 2025 e à acusação de Roman Semenov em 2023, ambos relacionados ao Tornado Cash. Observadores legais do setor cripto, contudo, destacam que o padrão de "knowingly helping" permanece indefinido. Isso deixa em aberto questões sobre onde termina o poder discricionário da promotoria e onde começa o desenvolvimento de código aberto protegido.

As stablecoins onchain geram uma velocidade econômica anual de 122x por dólar implantado, comparado ao volume de negócios de ~40x do PayPal e 1,4x do M2 dos EUA. Cada US$ 1 bilhão em oferta de stablecoins produz aproximadamente US$ 19 milhões em receita anualizada de protocolo (excluindo o float do emissor). A oferta cresceu 60 vezes desde 2020, atingindo cerca de US$ 300 bilhões, o que ainda representa apenas 1,4% do M2 dos EUA. Enquanto isso, os RWAs (Real World Assets) tokenizados triplicaram para aproximadamente US$ 25 bilhões em dois anos, impulsionados pelo BUIDL da BlackRock, que ultrapassou US$ 2 bilhões. O efeito flywheel agora se manifesta no deslocamento durante o horário de mercado: durante a escalada no Irã, traders direcionaram volume para perps onchain em plataformas como Hyperliquid, em vez de esperar a reabertura de mercados tradicionais.

A DeFi United, uma coalizão de participantes do ecossistema, publicou o plano de implementação técnica completo para restaurar o lastro de rsETH da KelpDAO, após o exploit de bridge ocorrido em 18 de abril. Na ocasião, um pacote de entrada forjado na rota Unichain-para-Ethereum liberou 116.500 rsETH sem uma queima correspondente. O explorador distribuiu o rsETH por múltiplos endereços, fornecendo partes como colateral na Aave V3 (nas redes Ethereum e Arbitrum) e no Compound, com sete endereços ainda mantendo posições ativas lastreadas em rsETH. O plano detalha o caminho completo para reconstituir o rsETH e retomar as operações normais de mercado, representando um teste crítico da capacidade do DeFi de coordenar a recuperação pós-exploit em larga escala.

O EPOS CRYPTO Card, uma iniciativa da bitbank, é um cartão de crédito Visa que possibilita aos usuários liquidar pagamentos mensais através da venda de BTC de suas holdings na bitbank, utilizando uma taxa predeterminada. Este é o primeiro produto desse tipo lançado no Japão. O cartão oferece recompensas de 0,5% em cripto, que podem ser pagas em BTC, ETH ou ASTR, e não possui taxa anual. Adicionalmente, inclui um bônus de boas-vindas de ¥2.000 em cripto. É um produto de consumo significativo que estabelece uma ponte entre as holdings de cripto e o gasto diário com cartão no mercado regulado do Japão, servindo como um modelo potencial para produtos análogos em outras jurisdições.

Existem mais de 160 startups, protocolos e instituições no ecossistema de crédito onchain, categorizados em quatro camadas principais: Emissão de Crédito, Alocação de Capital, Infraestrutura e Gestão de Risco, com 19 subcategorias. A camada de Emissão de Crédito abrange fundos de crédito institucional, crédito offchain tokenizado e modelos de originação onchain, incluindo empréstimos supercolateralizados, P2P, InfraFi e PayFi. Este relatório oferece um modelo mental útil para quem busca entender quem são os players, quais categorias são relevantes e onde as lacunas persistem no stack de crédito onchain.

A IA reduziu o custo de produção de pesquisas cripto medianas a quase zero, resultando em uma inundação do mercado com conteúdo de baixa qualidade e corroendo a influência na movimentação de preços que empresas pioneiras como Messari e Delphi Digital outrora detinham. Apesar disso, a demanda por consultoria institucional acelerou até 2026, visto que organizações que ingressam no blockchain buscam discernimento e perspectiva, em vez de simples agregação de dados. Em resposta, a Four Pillars está se reestruturando em cinco divisões (Cripto, Ásia, Instituições, Investimentos e Tecnologia) e anunciando uma rodada de financiamento Série A para se reposicionar com uma cobertura focada em perspectiva e alta convicção.

A Block (anteriormente Square) divulgou 28.355 BTC em seu documento de prova de reservas do 1º trimestre de 2026, juntamente com a receita preliminar do ecossistema Bitcoin do Cash App, mantendo a política da empresa de investir 10% dos lucros do Bitcoin em compras de BTC a cada mês.

Carry é uma plataforma de gestão de liquidez voltada para alocadores de capital institucionais, permitindo que operadores criem facilidades de liquidez de RWA com precificação configurável, parâmetros de risco e implementação multiativos e multivários a partir de um único dashboard.

A Circle Ventures anunciou a aquisição de tokens AAVE, uma ação que se alinha com a campanha 'DeFi United' liderada por Stani Kulechov.

A confiança nos modelos DeFi de pool/hub colapsou, com as instituições exigindo controles de risco isolados e flexibilidade de conformidade no nível do código.