Aikido
Comece Gratuitamente
Não é necessário cc

Bem-vindo ao nosso blog.

Em Destaque
Os melhores scanners da OWASP em 2026 para a segurança de aplicações web
Os melhores scanners OWASP de 2026 para a segurança de aplicações web
A maioria dos scanners não abrange a lista completa Top 10 OWASP. Analisamos os melhores scanners da OWASP em 2026 para que possa escolher um que realmente lhe ofereça proteção.
A maioria dos scanners da OWASP não abrange a totalidade do Top 10. Este guia apresenta as principais ferramentas em 2026, o que cada uma delas abrange efetivamente e qual o scanner que oferece uma cobertura completa sem resultados irrelevantes.
Ferramentas DevSec e Comparações
Nicholas Thomson
Implementação de medidas de segurança para programadores numa organização com mais de 5 000 engenheiros
Segurança para programadores em grande escala: um guia de implementação para o CISO
A maioria das iniciativas de segurança implementadas pelos programadores fracassa porque são concebidas como implementações de software, e não como mudanças culturais. Um guia prático para os CISO de empresas.
A maioria das iniciativas de segurança implementadas pelos programadores fracassa porque são concebidas como implementações de software, e não como mudanças culturais. Eis o modelo por fases que os CISOs experientes concordam ser a solução para resolver essa situação.
Guias
Mike Wilkes
Metamorfose da segurança: uma lista de verificação da arquitetura preparada para o Mythos, para ataques de IA autónoma
Metamorfose da segurança: uma lista de verificação da arquitetura preparada para o Mythos, para ataques de IA autónoma
AppSec face à complexidade atual. O Projeto Glasswing e a era Mythos exigem uma abordagem de segurança que acompanhe o ritmo das ameaças que enfrenta.
AppSec face à complexidade atual. O Projeto Glasswing e a era Mythos exigem uma abordagem de segurança que acompanhe o ritmo das ameaças que enfrenta.
Guias e Melhores Práticas
Mike Wilkes
Por que razão as extensões do navegador representam um grande risco de segurança e o que pode fazer a esse respeito
Por que razão as extensões do navegador representam um grande risco de segurança e o que pode fazer a esse respeito
As extensões de navegador apresentam muitos riscos de segurança, mais do que gostaríamos de admitir. Abordamos toda a extensão da ameaça e o que tanto os particulares como as organizações podem fazer para a combater.
Guias e Melhores Práticas
Dania Durnas
Os melhores scanners de CVE em 2026 para identificar vulnerabilidades conhecidas
Os melhores scanners de vulnerabilidades CVE em 2026: comparação em termos de cobertura, inteligência e correção automática
Avaliámos os melhores scanners de CVE de 2026 com base na amplitude da cobertura, nas fontes de informação, na relação sinal-ruído e na capacidade de correção automática. Veja aqui como se comparam e qual é o mais adequado para a sua infraestrutura.
Nem todos os scanners de CVE são iguais. Comparámos as melhores opções de 2026 em termos de amplitude de cobertura, fontes de informação, relação sinal-ruído e capacidade de correção automática, para que possa encontrar a solução mais adequada para a sua infraestrutura.
Ferramentas DevSec e Comparações
Nicholas Thomson
Pacote Lightning do PyTorch, muito utilizado, comprometido pelo Mini Shai-Hulud
Pacote Lightning do PyTorch, muito utilizado, comprometido pelo Mini Shai-Hulud
Foi detetado malware nas versões 2.6.2 e 2.6.3 do popular PyTorch Lightning, que rouba credenciais, carteiras de criptomoedas e configurações de VPN no âmbito da campanha Mini Shai-Hulud.
Foi detetado malware nas versões 2.6.2 e 2.6.3 do popular PyTorch Lightning, que rouba credenciais, carteiras de criptomoedas e configurações de VPN no âmbito da campanha Mini Shai-Hulud.
Vulnerabilidades e Ameaças
Ilyas Makari
Uma lista de verificação prática de segurança para o CTO, para estar preparado para o Mythos
Lista de verificação para o Mythos
Uma lista de verificação prática para diretores técnicos (CTO) de empresas SaaS que enfrentam um mundo marcado por ameaças do tipo Mythos e de IA autônoma. Concebida com base na vantagem do defensor: você dispõe de um contexto que os atacantes têm de se esforçar para obter. Abrange os controlos, as práticas e os hábitos operacionais que determinam se a sua equipa identifica e resolve os problemas antes que outros o façam.
Guias e Melhores Práticas
Dania Durnas
Alguém publicou quatro versões de um pacote falso chamado «tanstack» em 27 minutos para roubar os seus ficheiros .env
Quatro versões publicadas de um pacote falso chamado «tanstack», carregadas em 27 minutos, que pretendem roubar os seus ficheiros .env
Um pacote npm falso chamado «tanstack» publicou hoje quatro versões maliciosas em 27 minutos, extraindo ficheiros .env através de um gancho de pós-instalação. Eis o que aconteceu, quem foi afetado e como atualizar as suas credenciais.
Vulnerabilidades e Ameaças
Charlie Eriksen
Aikido com o AWS Kiro: a deteção de erros na revisão já não é escalável
Aikido Kiro | A deteção de erros na revisão já não é escalável
Agentes de IA a escrever o seu código. Aikido diretamente no fluxo de trabalho baseado em agentes do AWS Kiro para garantir que a segurança está sempre presente, de forma automática, desde a primeira linha. Aikido o primeiro parceiro global de segurança da AWS para o Kiro.
Agentes de IA a escrever o seu código. Aikido diretamente no fluxo de trabalho baseado em agentes do AWS Kiro para garantir que a segurança está sempre presente, de forma automática, desde a primeira linha. Aikido o primeiro parceiro global de segurança da AWS para o Kiro.
Atualizações de Produto e da Empresa
Michiel Denis
O Mini Shai-Hulud ataca pacotes npm da SAP com um programa de roubo de credenciais baseado no Bun
O Mini Shai-Hulud ataca pacotes npm da SAP com um programa de roubo de credenciais baseado no Bun
Os pacotes npm do SAP comprometidos utilizam uma carga pré-instalação baseada no Bun para roubar secrets do GitHub, do npm, da nuvem e da integração contínua (CI), espalhando-se depois através do GitHub com o auxílio do OhNoWhatsGoingOnWithGitHub.
Vulnerabilidades e Ameaças
Raphael Silva
É hora de tratar as extensões do navegador como vetores de ataque à cadeia de abastecimento
É hora de tratar as extensões do navegador como vetores de ataque à cadeia de abastecimento | Lições aprendidas com a violação da Vercel
A falha da Vercel seguiu um padrão bem conhecido no setor da segurança, em que o código de terceiros é implicitamente considerado fiável, mas acaba por ser comprometido a montante. Temos uma estrutura para lidar com isso. Só ainda não a aplicámos às extensões do navegador. (Spoiler: fazemos isso para as dependências de software)
A falha da Vercel seguiu um padrão bem conhecido no setor da segurança, em que o código de terceiros é implicitamente considerado fiável, mas acaba por ser comprometido a montante. Temos uma estrutura para lidar com isso. Só ainda não a aplicámos às extensões do navegador. (Spoiler: fazemos isso para as dependências de software)
Vulnerabilidades e Ameaças
Dania Durnas
O Shai-Hulud está de volta? A CLI do Bitwarden, que foi comprometida, contém um worm npm que se auto-propaga
O Shai-Hulud está de volta? A CLI do Bitwarden, que foi comprometida, contém um worm npm que se auto-propaga
O malware detetado na versão @bitwarden/cli v2026.4.0 rouba chaves SSH, secrets de serviços na nuvem e credenciais de ferramentas de programação de IA, espalhando-se depois através dos próprios pacotes npm das vítimas. No seu interior: um worm que se autodenomina «Shai-Hulud: The Third Coming».
O malware detetado na versão @bitwarden/cli v2026.4.0 rouba chaves SSH, secrets de serviços na nuvem e credenciais de ferramentas de programação de IA, espalhando-se depois através dos próprios pacotes npm das vítimas. No seu interior: um worm que se autodenomina «Shai-Hulud: The Third Coming».
Vulnerabilidades e Ameaças
Ilyas Makari
A porta traseira GPT-Proxy no npm e no PyPI transforma servidores em retransmissores de modelos de linguagem de grande escala chineses
A porta traseira GPT-Proxy no npm e no PyPI transforma servidores em retransmissores de modelos de linguagem de grande escala chineses
Uma campanha de malware recém-descoberta no npm e no PyPI instala proxies LLM ocultos em servidores comprometidos, transformando-os em nós de retransmissão para o tráfego LLM.
Uma campanha de malware recém-descoberta no npm e no PyPI instala proxies LLM ocultos em servidores comprometidos, transformando-os em nós de retransmissão para o tráfego LLM.
Vulnerabilidades e Ameaças
Ilyas Makari
XSS no Roundcube combinado com a manipulação de cookies para obter acesso total à caixa de entrada
XSS no Roundcube combinado com a manipulação de cookies para obter acesso total à caixa de entrada
Descobrimos uma vulnerabilidade XSS armazenada no ponto de extremidade de anexos de rascunhos do Roundcube que, combinada com uma técnica de manipulação de cookies, permite a um atacante obter acesso total à caixa de entrada da vítima. Eis como funciona a cadeia de exploração e como foi corrigida
Descobrimos uma vulnerabilidade XSS armazenada no ponto final de anexos de rascunhos do Roundcube que, combinada com uma técnica de manipulação de cookies, permite a um atacante obter acesso total à caixa de entrada da vítima. Eis como funciona a cadeia de exploração e como foi corrigida.
Vulnerabilidades e Ameaças
Jorian Woltjer
Apresentamos o Endpoint Protection: Segurança para dispositivos de programadores
Aikido : Segurança para dispositivos de programadores | Aikido
ataques à Supply chain os dispositivos dos programadores. Aikido monitoriza todas as instalações no npm, PyPI, extensões do VS Code, extensões de navegador e ferramentas de IA.
Atualizações de Produto e da Empresa
Madeline Lawrence
Várias cross-site scripting no Mailcow
Foram detetadas várias vulnerabilidades XSS no Mailcow, incluindo a apropriação de contas sem autenticação
O agente de testes de penetração AI Aikido detetou três vulnerabilidades XSS no Mailcow, uma das quais permitia que atacantes não autenticados assumissem o controlo de contas de administrador. Todas as falhas foram corrigidas a partir da versão 2026-03b.
pentest de IA Aikido, pentest de IA , identificaram três vulnerabilidades XSS no Mailcow, um servidor de e-mail auto-hospedado amplamente utilizado. A mais grave permitia que atacantes não autenticados injetassem um código malicioso nos registos do Autodiscover, que seria executado quando um administrador os visualizasse, possibilitando a apropriação total da conta. Todas as três vulnerabilidades foram corrigidas a partir da versão 2026-03b.
Vulnerabilidades e Ameaças
Jorian Woltjer
Fontes fiáveis de CVE na era dos cortes no NIST NVD
Alterações ao NIST NVD em 2026: o que as equipas de segurança precisam de saber
O NIST deixará de atualizar a maioria das CVEs. Eis o que muda, o que deixa de funcionar e o que se segue.
Notícias
Sooraj Shah
Axios CVE-2026-40175: um bug crítico que… não é explorável
Axios CVE-2026-40175: um bug crítico que… não é explorável
Axios CVE-2026-40175 é classificado como crítico, mas em ambientes Node.js reais não é praticamente explorável. Veja o porquê.
Axios CVE-2026-40175 é classificado como crítico, mas em ambientes Node.js reais não é praticamente explorável. Veja o porquê.
Vulnerabilidades e Ameaças
Mackenzie Jackson
Bug bounty não está morto, mas o modelo antigo está em colapso
Bug bounty não está morto, mas o modelo antigo está em colapso
O bug bounty está chegando a um ponto de ruptura à medida que a IA sobrecarrega os programas, impulsionando uma mudança para modelos de segurança mais sustentáveis e focados na qualidade.
O bug bounty está chegando a um ponto de ruptura à medida que a IA sobrecarrega os programas, impulsionando uma mudança para modelos de segurança mais sustentáveis e focados na qualidade.
Técnico
Mackenzie Jackson
GlassWorm se torna nativo: Novo dropper Zig infecta todas as IDEs em sua máquina
GlassWorm se torna nativo: Novo dropper Zig infecta todas as IDEs em sua máquina
GlassWorm implanta um dropper nativo baseado em Zig, escondido em uma extensão falsa, comprometendo silenciosamente VS Code, Cursor, VSCodium e outras IDEs.
GlassWorm implanta um dropper nativo baseado em Zig, escondido em uma extensão falsa, comprometendo silenciosamente VS Code, Cursor, VSCodium e outras IDEs.
Vulnerabilidades e Ameaças
Ilyas Makari
Aikido Attack encontra múltiplos 0-days no Hoppscotch
Aikido Attack Encontra 0-Days no Hoppscotch
Os agentes de pentest de IA da Aikido descobriram múltiplas vulnerabilidades de alta severidade no Hoppscotch, incluindo account takeover, XSS armazenado e falhas de controle de acesso. Todos os problemas foram corrigidos.
Aikido Attack identificou três vulnerabilidades de alta gravidade no Hoppscotch: um redirecionamento aberto levando à tomada de conta, XSS armazenado e um problema de controle de acesso quebrado permitindo a injeção de requisições entre equipes.
Vulnerabilidades e Ameaças
Robbe Verwilghen
O alarmismo de cibersegurança em torno do Mythos não corresponde ao que vemos na prática
Riscos de Cibersegurança do Anthropic Mythos: O Que 1.000 Pentests de IA Realmente Revelam
O modelo Mythos vazado da Anthropic desencadeou pânico sobre ciberataques impulsionados por IA. Realizamos 1.000 testes de penetração de IA. Os resultados sugerem que a ameaça é mais nuançada do que as manchetes afirmam.
Notícias
Sooraj Shah
axios comprometido no npm: conta do mantenedor sequestrada, RAT implantado
axios comprometido no npm: conta do mantenedor sequestrada, RAT implantado
Versões maliciosas do axios 1.14.1 e 0.30.4 foram publicadas através de uma conta de mantenedor sequestrada. Uma dependência oculta implanta um RAT multiplataforma. Verifique se você foi afetado e corrija agora.
O Axios foi comprometido. Versões maliciosas do axios 1.14.1 e 0.30.4 foram publicadas no npm após o sequestro da conta do mantenedor principal. A dependência injetada implanta um RAT multiplataforma que se autodestrói após a execução.
Vulnerabilidades e Ameaças
Madeline Lawrence
Pacote popular telnyx comprometido no PyPI pelo TeamPCP
Pacote popular telnyx comprometido no PyPI pelo TeamPCP
O popular pacote telnyx no PyPI, utilizado por grandes empresas de IA, foi comprometido pelo TeamPCP
O popular pacote telnyx no PyPI, utilizado por grandes empresas de IA, foi comprometido pelo TeamPCP
Vulnerabilidades e Ameaças
Charlie Eriksen
Aikido × Lovable: Vibe, Fix, Ship
Lovable Faz Parceria com Aikido para Trazer Pentest para Aplicativos Vibe-Coded
Lovable e Aikido trazem o pentest para a plataforma, permitindo que desenvolvedores simulem ataques do mundo real e corrijam problemas antes do lançamento.
Aikido traz o pentest diretamente para Lovable. Teste seu aplicativo simulando ataques reais e corrija problemas antes de lançar.
Atualizações de Produto e da Empresa
Madeline Lawrence
Obrigado! Seu envio foi recebido!
Ops! Algo deu errado ao enviar o formulário.
30 de abril de 2026
Vulnerabilidades e Ameaças

Pacote Lightning do PyTorch, muito utilizado, comprometido pelo Mini Shai-Hulud

Foi detetado malware nas versões 2.6.2 e 2.6.3 do popular PyTorch Lightning, que rouba credenciais, carteiras de criptomoedas e configurações de VPN no âmbito da campanha Mini Shai-Hulud.

#Malware

30 de abril de 2026
Atualizações de Produto e da Empresa

Aikido com o AWS Kiro: a deteção de erros na revisão já não é escalável

Agentes de IA a escrever o seu código. Aikido diretamente no fluxo de trabalho baseado em agentes do AWS Kiro para garantir que a segurança está sempre presente, de forma automática, desde a primeira linha. Aikido o primeiro parceiro global de segurança da AWS para o Kiro.

#Anúncios

30 de abril de 2026
Guias e Melhores Práticas

Uma lista de verificação prática de segurança para o CTO, para estar preparado para o Mythos

#AI

#Software de Auto-proteção

#Anúncios

2026

O Estado da IA em Segurança e Desenvolvimento em 2026

Nosso novo relatório reúne as vozes de 450 líderes de segurança (CISOs ou equivalentes), desenvolvedores e engenheiros de AppSec na Europa e nos EUA. Juntos, eles revelam como o código gerado por IA já está causando problemas, como a proliferação de ferramentas está piorando a segurança e como a experiência do desenvolvedor está diretamente ligada às taxas de incidentes. É aqui que velocidade e segurança colidem em 2025.

Ler mais
Cartão de título com a inscrição '2026 Estado da IA em Segurança e Desenvolvimento' em um fundo de grade azul escuro.

Assine nossa newsletter.
Sem spam, garantido.

Vulnerabilidades e Ameaças

Elimine o ruído com análises detalhadas de CVEs do mundo real, análise de malware, exploits e riscos emergentes.

Ver todos

Notícias

Nossa perspectiva sobre as histórias que moldam a segurança de software atualmente

Ver todos

Histórias de Clientes

Veja como equipes como a sua estão usando o Aikido para simplificar a segurança e entregar com confiança.

Ver todos

Atualizações de Produto e da Empresa

O que há de novo no Aikido — de lançamentos de produtos a grandes conquistas de segurança.

Ver todos

Guias e Melhores Práticas

Dicas práticas, fluxos de trabalho de segurança e guias práticos para ajudar você a entregar código mais seguro e rápido.

Ver todos

Conformidade

Mantenha-se à frente das auditorias com orientação clara e amigável para desenvolvedores sobre SOC 2, padrões ISO, GDPR, NIS e muito mais.

Ver todos
IA
Aikido
Aikido Zen
Pentest com IA
Segurança de IA
Anúncios
API
AppSec
Artigo
ASPM
autocorreção
AutoTriage
AWS
Bazel
CircleCI
Cloud
CNAPP
Qualidade de Código
Codeship
Conformidade
Varredura de Container
Pentest Contínuo
Monitoramento Contínuo de Segurança
CSPM
Lei de Ciber-Resiliência
DAST
Dependências
DevSecOps
Fim de Vida
Cibersegurança Europeia
fintech
Segurança IDE
Vulnerabilidades IDOR
IMDSv1
IMDSv2
Infraestrutura como Código (IaC)
inteligência
Legaltech
Scanners de Licenças
Malware
Monitoramento de Segurança de Rede
NIS2
NPM
open source
OWASP
Pentesting
PyPI
RASP
SAST
SBOM
SCA
Software Auto-seguro
SOC 2
segurança da supply chain de software
Injeções SQL
SSDLC
SSRF
Modelagem de Ameaças
Ferramentas
Triagem
caso de uso
Vibe Coding
VS Code
Vulnerabilidades
Os melhores scanners da OWASP em 2026 para a segurança de aplicações web
Os melhores scanners OWASP de 2026 para a segurança de aplicações web
A maioria dos scanners não abrange a lista completa Top 10 OWASP. Analisamos os melhores scanners da OWASP em 2026 para que possa escolher um que realmente lhe ofereça proteção.
A maioria dos scanners da OWASP não abrange a totalidade do Top 10. Este guia apresenta as principais ferramentas em 2026, o que cada uma delas abrange efetivamente e qual o scanner que oferece uma cobertura completa sem resultados irrelevantes.
Ferramentas DevSec e Comparações
Implementação de medidas de segurança para programadores numa organização com mais de 5 000 engenheiros
Segurança para programadores em grande escala: um guia de implementação para o CISO
A maioria das iniciativas de segurança implementadas pelos programadores fracassa porque são concebidas como implementações de software, e não como mudanças culturais. Um guia prático para os CISO de empresas.
A maioria das iniciativas de segurança implementadas pelos programadores fracassa porque são concebidas como implementações de software, e não como mudanças culturais. Eis o modelo por fases que os CISOs experientes concordam ser a solução para resolver essa situação.
Guias
Metamorfose da segurança: uma lista de verificação da arquitetura preparada para o Mythos, para ataques de IA autónoma
Metamorfose da segurança: uma lista de verificação da arquitetura preparada para o Mythos, para ataques de IA autónoma
AppSec face à complexidade atual. O Projeto Glasswing e a era Mythos exigem uma abordagem de segurança que acompanhe o ritmo das ameaças que enfrenta.
AppSec face à complexidade atual. O Projeto Glasswing e a era Mythos exigem uma abordagem de segurança que acompanhe o ritmo das ameaças que enfrenta.
Guias e Melhores Práticas
Por que razão as extensões do navegador representam um grande risco de segurança e o que pode fazer a esse respeito
Por que razão as extensões do navegador representam um grande risco de segurança e o que pode fazer a esse respeito
As extensões de navegador apresentam muitos riscos de segurança, mais do que gostaríamos de admitir. Abordamos toda a extensão da ameaça e o que tanto os particulares como as organizações podem fazer para a combater.
Guias e Melhores Práticas
Os melhores scanners de CVE em 2026 para identificar vulnerabilidades conhecidas
Os melhores scanners de vulnerabilidades CVE em 2026: comparação em termos de cobertura, inteligência e correção automática
Avaliámos os melhores scanners de CVE de 2026 com base na amplitude da cobertura, nas fontes de informação, na relação sinal-ruído e na capacidade de correção automática. Veja aqui como se comparam e qual é o mais adequado para a sua infraestrutura.
Nem todos os scanners de CVE são iguais. Comparámos as melhores opções de 2026 em termos de amplitude de cobertura, fontes de informação, relação sinal-ruído e capacidade de correção automática, para que possa encontrar a solução mais adequada para a sua infraestrutura.
Ferramentas DevSec e Comparações
Pacote Lightning do PyTorch, muito utilizado, comprometido pelo Mini Shai-Hulud
Pacote Lightning do PyTorch, muito utilizado, comprometido pelo Mini Shai-Hulud
Foi detetado malware nas versões 2.6.2 e 2.6.3 do popular PyTorch Lightning, que rouba credenciais, carteiras de criptomoedas e configurações de VPN no âmbito da campanha Mini Shai-Hulud.
Foi detetado malware nas versões 2.6.2 e 2.6.3 do popular PyTorch Lightning, que rouba credenciais, carteiras de criptomoedas e configurações de VPN no âmbito da campanha Mini Shai-Hulud.
Vulnerabilidades e Ameaças
Uma lista de verificação prática de segurança para o CTO, para estar preparado para o Mythos
Lista de verificação para o Mythos
Uma lista de verificação prática para diretores técnicos (CTO) de empresas SaaS que enfrentam um mundo marcado por ameaças do tipo Mythos e de IA autônoma. Concebida com base na vantagem do defensor: você dispõe de um contexto que os atacantes têm de se esforçar para obter. Abrange os controlos, as práticas e os hábitos operacionais que determinam se a sua equipa identifica e resolve os problemas antes que outros o façam.
Guias e Melhores Práticas
Alguém publicou quatro versões de um pacote falso chamado «tanstack» em 27 minutos para roubar os seus ficheiros .env
Quatro versões publicadas de um pacote falso chamado «tanstack», carregadas em 27 minutos, que pretendem roubar os seus ficheiros .env
Um pacote npm falso chamado «tanstack» publicou hoje quatro versões maliciosas em 27 minutos, extraindo ficheiros .env através de um gancho de pós-instalação. Eis o que aconteceu, quem foi afetado e como atualizar as suas credenciais.
Vulnerabilidades e Ameaças
Aikido com o AWS Kiro: a deteção de erros na revisão já não é escalável
Aikido Kiro | A deteção de erros na revisão já não é escalável
Agentes de IA a escrever o seu código. Aikido diretamente no fluxo de trabalho baseado em agentes do AWS Kiro para garantir que a segurança está sempre presente, de forma automática, desde a primeira linha. Aikido o primeiro parceiro global de segurança da AWS para o Kiro.
Agentes de IA a escrever o seu código. Aikido diretamente no fluxo de trabalho baseado em agentes do AWS Kiro para garantir que a segurança está sempre presente, de forma automática, desde a primeira linha. Aikido o primeiro parceiro global de segurança da AWS para o Kiro.
Atualizações de Produto e da Empresa
O Mini Shai-Hulud ataca pacotes npm da SAP com um programa de roubo de credenciais baseado no Bun
O Mini Shai-Hulud ataca pacotes npm da SAP com um programa de roubo de credenciais baseado no Bun
Os pacotes npm do SAP comprometidos utilizam uma carga pré-instalação baseada no Bun para roubar secrets do GitHub, do npm, da nuvem e da integração contínua (CI), espalhando-se depois através do GitHub com o auxílio do OhNoWhatsGoingOnWithGitHub.
Vulnerabilidades e Ameaças
É hora de tratar as extensões do navegador como vetores de ataque à cadeia de abastecimento
É hora de tratar as extensões do navegador como vetores de ataque à cadeia de abastecimento | Lições aprendidas com a violação da Vercel
A falha da Vercel seguiu um padrão bem conhecido no setor da segurança, em que o código de terceiros é implicitamente considerado fiável, mas acaba por ser comprometido a montante. Temos uma estrutura para lidar com isso. Só ainda não a aplicámos às extensões do navegador. (Spoiler: fazemos isso para as dependências de software)
A falha da Vercel seguiu um padrão bem conhecido no setor da segurança, em que o código de terceiros é implicitamente considerado fiável, mas acaba por ser comprometido a montante. Temos uma estrutura para lidar com isso. Só ainda não a aplicámos às extensões do navegador. (Spoiler: fazemos isso para as dependências de software)
Vulnerabilidades e Ameaças
O Shai-Hulud está de volta? A CLI do Bitwarden, que foi comprometida, contém um worm npm que se auto-propaga
O Shai-Hulud está de volta? A CLI do Bitwarden, que foi comprometida, contém um worm npm que se auto-propaga
O malware detetado na versão @bitwarden/cli v2026.4.0 rouba chaves SSH, secrets de serviços na nuvem e credenciais de ferramentas de programação de IA, espalhando-se depois através dos próprios pacotes npm das vítimas. No seu interior: um worm que se autodenomina «Shai-Hulud: The Third Coming».
O malware detetado na versão @bitwarden/cli v2026.4.0 rouba chaves SSH, secrets de serviços na nuvem e credenciais de ferramentas de programação de IA, espalhando-se depois através dos próprios pacotes npm das vítimas. No seu interior: um worm que se autodenomina «Shai-Hulud: The Third Coming».
Vulnerabilidades e Ameaças
A porta traseira GPT-Proxy no npm e no PyPI transforma servidores em retransmissores de modelos de linguagem de grande escala chineses
A porta traseira GPT-Proxy no npm e no PyPI transforma servidores em retransmissores de modelos de linguagem de grande escala chineses
Uma campanha de malware recém-descoberta no npm e no PyPI instala proxies LLM ocultos em servidores comprometidos, transformando-os em nós de retransmissão para o tráfego LLM.
Uma campanha de malware recém-descoberta no npm e no PyPI instala proxies LLM ocultos em servidores comprometidos, transformando-os em nós de retransmissão para o tráfego LLM.
Vulnerabilidades e Ameaças
XSS no Roundcube combinado com a manipulação de cookies para obter acesso total à caixa de entrada
XSS no Roundcube combinado com a manipulação de cookies para obter acesso total à caixa de entrada
Descobrimos uma vulnerabilidade XSS armazenada no ponto de extremidade de anexos de rascunhos do Roundcube que, combinada com uma técnica de manipulação de cookies, permite a um atacante obter acesso total à caixa de entrada da vítima. Eis como funciona a cadeia de exploração e como foi corrigida
Descobrimos uma vulnerabilidade XSS armazenada no ponto final de anexos de rascunhos do Roundcube que, combinada com uma técnica de manipulação de cookies, permite a um atacante obter acesso total à caixa de entrada da vítima. Eis como funciona a cadeia de exploração e como foi corrigida.
Vulnerabilidades e Ameaças
Apresentamos o Endpoint Protection: Segurança para dispositivos de programadores
Aikido : Segurança para dispositivos de programadores | Aikido
ataques à Supply chain os dispositivos dos programadores. Aikido monitoriza todas as instalações no npm, PyPI, extensões do VS Code, extensões de navegador e ferramentas de IA.
Atualizações de Produto e da Empresa
Várias cross-site scripting no Mailcow
Foram detetadas várias vulnerabilidades XSS no Mailcow, incluindo a apropriação de contas sem autenticação
O agente de testes de penetração AI Aikido detetou três vulnerabilidades XSS no Mailcow, uma das quais permitia que atacantes não autenticados assumissem o controlo de contas de administrador. Todas as falhas foram corrigidas a partir da versão 2026-03b.
pentest de IA Aikido, pentest de IA , identificaram três vulnerabilidades XSS no Mailcow, um servidor de e-mail auto-hospedado amplamente utilizado. A mais grave permitia que atacantes não autenticados injetassem um código malicioso nos registos do Autodiscover, que seria executado quando um administrador os visualizasse, possibilitando a apropriação total da conta. Todas as três vulnerabilidades foram corrigidas a partir da versão 2026-03b.
Vulnerabilidades e Ameaças
Fontes fiáveis de CVE na era dos cortes no NIST NVD
Alterações ao NIST NVD em 2026: o que as equipas de segurança precisam de saber
O NIST deixará de atualizar a maioria das CVEs. Eis o que muda, o que deixa de funcionar e o que se segue.
Notícias
Axios CVE-2026-40175: um bug crítico que… não é explorável
Axios CVE-2026-40175: um bug crítico que… não é explorável
Axios CVE-2026-40175 é classificado como crítico, mas em ambientes Node.js reais não é praticamente explorável. Veja o porquê.
Axios CVE-2026-40175 é classificado como crítico, mas em ambientes Node.js reais não é praticamente explorável. Veja o porquê.
Vulnerabilidades e Ameaças
Bug bounty não está morto, mas o modelo antigo está em colapso
Bug bounty não está morto, mas o modelo antigo está em colapso
O bug bounty está chegando a um ponto de ruptura à medida que a IA sobrecarrega os programas, impulsionando uma mudança para modelos de segurança mais sustentáveis e focados na qualidade.
O bug bounty está chegando a um ponto de ruptura à medida que a IA sobrecarrega os programas, impulsionando uma mudança para modelos de segurança mais sustentáveis e focados na qualidade.
Técnico
GlassWorm se torna nativo: Novo dropper Zig infecta todas as IDEs em sua máquina
GlassWorm se torna nativo: Novo dropper Zig infecta todas as IDEs em sua máquina
GlassWorm implanta um dropper nativo baseado em Zig, escondido em uma extensão falsa, comprometendo silenciosamente VS Code, Cursor, VSCodium e outras IDEs.
GlassWorm implanta um dropper nativo baseado em Zig, escondido em uma extensão falsa, comprometendo silenciosamente VS Code, Cursor, VSCodium e outras IDEs.
Vulnerabilidades e Ameaças
Aikido Attack encontra múltiplos 0-days no Hoppscotch
Aikido Attack Encontra 0-Days no Hoppscotch
Os agentes de pentest de IA da Aikido descobriram múltiplas vulnerabilidades de alta severidade no Hoppscotch, incluindo account takeover, XSS armazenado e falhas de controle de acesso. Todos os problemas foram corrigidos.
Aikido Attack identificou três vulnerabilidades de alta gravidade no Hoppscotch: um redirecionamento aberto levando à tomada de conta, XSS armazenado e um problema de controle de acesso quebrado permitindo a injeção de requisições entre equipes.
Vulnerabilidades e Ameaças
O alarmismo de cibersegurança em torno do Mythos não corresponde ao que vemos na prática
Riscos de Cibersegurança do Anthropic Mythos: O Que 1.000 Pentests de IA Realmente Revelam
O modelo Mythos vazado da Anthropic desencadeou pânico sobre ciberataques impulsionados por IA. Realizamos 1.000 testes de penetração de IA. Os resultados sugerem que a ameaça é mais nuançada do que as manchetes afirmam.
Notícias
axios comprometido no npm: conta do mantenedor sequestrada, RAT implantado
axios comprometido no npm: conta do mantenedor sequestrada, RAT implantado
Versões maliciosas do axios 1.14.1 e 0.30.4 foram publicadas através de uma conta de mantenedor sequestrada. Uma dependência oculta implanta um RAT multiplataforma. Verifique se você foi afetado e corrija agora.
O Axios foi comprometido. Versões maliciosas do axios 1.14.1 e 0.30.4 foram publicadas no npm após o sequestro da conta do mantenedor principal. A dependência injetada implanta um RAT multiplataforma que se autodestrói após a execução.
Vulnerabilidades e Ameaças
Pacote popular telnyx comprometido no PyPI pelo TeamPCP
Pacote popular telnyx comprometido no PyPI pelo TeamPCP
O popular pacote telnyx no PyPI, utilizado por grandes empresas de IA, foi comprometido pelo TeamPCP
O popular pacote telnyx no PyPI, utilizado por grandes empresas de IA, foi comprometido pelo TeamPCP
Vulnerabilidades e Ameaças
Aikido × Lovable: Vibe, Fix, Ship
Lovable Faz Parceria com Aikido para Trazer Pentest para Aplicativos Vibe-Coded
Lovable e Aikido trazem o pentest para a plataforma, permitindo que desenvolvedores simulem ataques do mundo real e corrijam problemas antes do lançamento.
Aikido traz o pentest diretamente para Lovable. Teste seu aplicativo simulando ataques reais e corrija problemas antes de lançar.
Atualizações de Produto e da Empresa
CanisterWorm Ganha Dentes: Wiper de Kubernetes do TeamPCP Ataca o Irã
CanisterWorm Ganha Dentes: Wiper de Kubernetes do TeamPCP Ataca o Irã
CanisterWorm Ganha Dentes: Wiper de Kubernetes do TeamPCP Ataca o Irã
CanisterWorm Ganha Dentes: Wiper de Kubernetes do TeamPCP Ataca o Irã
Vulnerabilidades e Ameaças
TeamPCP implanta CanisterWorm no NPM após o comprometimento do Trivy
TeamPCP implanta CanisterWorm no NPM após o comprometimento do Trivy
TeamPCP implanta CanisterWorm no NPM após o comprometimento do Trivy
TeamPCP implanta CanisterWorm no NPM após o comprometimento do Trivy
Vulnerabilidades e Ameaças
Aikido Reconhecido pela Frost & Sullivan com o Prêmio de Liderança em Valor ao Cliente 2026 em ASPM
Aikido Reconhecido pela Frost & Sullivan com o Prêmio de Liderança em Valor ao Cliente 2026 em ASPM
A Frost & Sullivan reconheceu a Aikido com o Prêmio de Liderança em Valor ao Cliente 2026 em ASPM. Analisamos o que os critérios de reconhecimento revelam sobre a maturidade do mercado de AppSec
A Frost & Sullivan reconheceu a Aikido com o Prêmio de Liderança em Valor ao Cliente 2026 em ASPM. Analisamos o que os critérios de reconhecimento revelam sobre a maturidade do mercado de AppSec
Notícias
GlassWorm Esconde um RAT Dentro de uma Extensão Maliciosa do Chrome
GlassWorm RAT Entregue via Extensão Maliciosa do Chrome (Keylogger, Roubo de Cookies)
GlassWorm implanta um RAT multiestágio que força a instalação de uma extensão maliciosa do Chrome para registrar teclas digitadas, roubar cookies e exfiltrar dados via C2 baseado em Solana.
GlassWorm implanta um RAT multiestágio que força a instalação de uma extensão maliciosa do Chrome para registrar teclas digitadas, roubar cookies e exfiltrar dados via C2 baseado em Solana.
Vulnerabilidades e Ameaças
Testes de segurança estão validando software que não existe mais
Por que o Pentesting Não Consegue Acompanhar: O Problema da Velocidade em Testes de Segurança
Equipes modernas entregam mais rápido do que o pentesting consegue acompanhar. Explore a crescente lacuna de velocidade nos testes de segurança — e por que as abordagens tradicionais estão ficando para trás.
Um CISO de uma grande empresa nos disse que a capacidade de segurança mais importante hoje é a velocidade. Mas o que acontece quando os testes não conseguem acompanhar a velocidade com que os sistemas mudam?
Guias e Melhores Práticas
Extensão fast-draft Open VSX Comprometida por BlokTrooper
Extensão fast-draft Open VSX Comprometida por BlokTrooper (RAT & Infostealer)
A extensão fast-draft Open VSX foi comprometida para implantar um RAT e infostealer BlokTrooper via payloads hospedados no GitHub. Múltiplas versões maliciosas foram identificadas.
Uma popular extensão do Open VSX foi comprometida e usada para implantar um RAT e um infostealer a partir de infraestrutura controlada por atacantes. Seu histórico de versões revela a verdadeira história, com lançamentos maliciosos aparecendo entre os limpos.
Vulnerabilidades e Ameaças
Glassworm Atinge Pacotes Populares de Número de Telefone React Native
Glassworm Atinge Pacotes Populares de Número de Telefone React Native em um Novo Ataque à Cadeia de Suprimentos
Pesquisadores da Aikido Security recuperaram e descriptografaram a cadeia completa de payload de dois pacotes React Native maliciosos. Veja o que o malware faz e o que observar.
Dois pacotes npm populares do React Native foram comprometidos com backdoors por supostos atores Glassworm e usados para entregar malware multiestágio. Veja o que o malware faz e o que procurar.
Vulnerabilidades e Ameaças
Glassworm Está de Volta: Uma Nova Onda de Ataques Invisíveis de Unicode Atinge Centenas de Repositórios
Glassworm Retorna: Malware Invisível de Unicode Encontrado em Mais de 150 Repositórios GitHub
O ataque à supply chain do Glassworm está de volta. Pesquisadores descobriram malware oculto em caracteres Unicode invisíveis em mais de 150 repositórios GitHub, além de pacotes npm e extensões do VS Code.
Glassworm está de volta com uma nova onda de ataques invisíveis de Unicode. Estamos rastreando uma nova campanha que está comprometendo silenciosamente repositórios no GitHub, npm e VS Code.
Vulnerabilidades e Ameaças
Melhores Festas, Eventos Paralelos e Encontros de Segurança da RSA 2026
Guia de Festas e Eventos de Segurança da RSA 2026 | Aikido
Guia de Festas e Eventos de Segurança da RSA 2026 | Aikido
Notícias
Como as Equipes de Segurança Combatem Hackers Alimentados por IA
Como as Equipes de Segurança Combatem Hackers Alimentados por IA
A IA reduziu drasticamente a barreira para hackers. Aqui está o que isso significa para os defensores e como o pentest de IA contínuo muda a equação.
Um único hacker e uma assinatura do Claude acabaram de derrubar nove agências governamentais mexicanas. A IA concedeu aos atacantes uma séria atualização de poder. As equipes de segurança precisam de um novo playbook.
Vulnerabilidades e Ameaças
Apresentando Betterleaks, um scanner de Secrets de código aberto pelo autor de Gitleaks
Betterleaks: O Sucessor de Gitleaks Construído para uma Varredura de Segredos Mais Rápida
Betterleaks é um novo scanner de Secrets de código aberto do criador de Gitleaks. Um substituto direto com varreduras mais rápidas, detecção de eficiência de tokens, validação configurável e muito mais.
O criador de Gitleaks está lançando seu sucessor. Betterleaks é um scanner de Secrets de código aberto mais rápido, construído para detectar mais vazamentos e se adequar aos fluxos de trabalho modernos dos desenvolvedores.
Atualizações de Produto e da Empresa
Como o pentest de IA funciona com a conformidade?
Como o pentest de IA funciona com a conformidade?
pentest de IA ser aceites para as certificações SOC 2, ISO 27001 e HIPAA (e é provável que surjam outras). Eis o que os auditores procuram realmente e onde residem as verdadeiras limitações.
O pentest de IA está sendo aceito para SOC 2, ISO 27001, HIPAA e PCI DSS. Aqui está o que os auditores realmente procuram e onde estão as verdadeiras limitações.
Conformidade
Estratégia de cibersegurança de Trump para 2026: Da conformidade à consequência
Estratégia de Cibersegurança de Trump para 2026: Da Conformidade à Consequência
A estratégia de cibersegurança da administração Trump para 2026 muda o foco das listas de verificação de conformidade para consequências reais para cibercriminosos. Aqui está o que os CISOs precisam saber.
Notícias
O que o pentest contínuo realmente exige
Pentest contínuo: como funciona e o que ele exige
O pentest contínuo promete validação de segurança em tempo real, mas a maioria das implementações fica aquém. Aqui está o que o pentest contínuo realmente exige — desde testes sensíveis a mudanças até validação de exploits e ciclos de remediação.
O pentest contínuo é amplamente discutido, mas raramente definido com clareza. Este artigo detalha o que é, o que não é e o que realmente exige.
Guias e Melhores Práticas
Raro, Não Aleatório: Usando a Eficiência de Token para Varredura de Secrets
Raro, Não Aleatório: Usando a Eficiência de Token para Varredura de Secrets
A entropia frequentemente tem dificuldades com Secrets genéricos e strings curtas. Analisamos como a eficiência de token pode identificar melhor strings que não se parecem com texto normal.
A entropia é ótima para detectar aleatoriedade. Mas Secrets nem sempre são aleatórios. São apenas strings que não aparecem em código ou texto normal. Exploramos o uso da tokenização BPE para medir essa diferença.
Guias e Melhores Práticas
Por que o Determinismo Ainda é uma Necessidade na Segurança
Por que o Determinismo Ainda é uma Necessidade na Segurança
A varredura de IA encontra o que as regras perdem. A varredura determinística encontra sempre. Veja por que os melhores pipelines de segurança não escolhem entre eles.
Ferramentas de segurança baseadas em IA estão melhorando na detecção de vulnerabilidades. Mas as ferramentas determinísticas oferecem a consistência da qual pipelines, conformidade e trilhas de auditoria dependem. Analisamos o que a varredura determinística faz bem, onde a IA assume o controle e como as duas trabalham juntas para uma segurança eficaz.
Engenharia
WAF vs. RASP vs. ADR
WAF vs. RASP vs. ADR: Como a Segurança de Aplicações em Runtime Funciona
WAF, RASP e ADR protegem seu aplicativo de maneiras completamente diferentes. Veja o que cada camada realmente faz, onde ela falha e quais você precisa.
WAF, RASP, ADR, eBPF — Estamos esclarecendo a terminologia em torno da segurança de aplicações em runtime. Veja o que cada camada realmente faz, como elas se sobrepõem e como se encaixam.
Guias
Apresentando Aikido Infinite: Um novo modelo de software de auto-segurança
Aikido Infinite: Pentest de IA Contínuo para Cada Lançamento
O Aikido Infinite executa pentest de IA a cada alteração de código, valida a explorabilidade, gera patches e retesta as correções antes que o código chegue à produção, tornando o software autoprotegido uma realidade.
Atualizações de Produto e da Empresa
XSS/RCE persistente usando WebSockets no servidor de desenvolvimento do Storybook
XSS/RCE Persistente usando WebSockets no Storybook (CVE-2026-27148)
CVE-2026-27148 expõe uma falha de sequestro de WebSocket no Storybook que pode escalar para um comprometimento da cadeia de suprimentos. Saiba o caminho do ataque, o impacto e como remediar.
Aikido Attack encontrou uma vulnerabilidade de sequestro de WebSocket no servidor de desenvolvimento do Storybook que pode levar a XSS persistente, execução remota de código e, no pior dos casos, comprometimento da cadeia de suprimentos. Detalhamos como um atacante pode explorar isso sem nenhuma interação do usuário, e um desenvolvedor só precisa visitar o site errado para cair neste ataque.
Vulnerabilidades e Ameaças
Como a Aikido protege agentes de pentest de IA por design
Como a Aikido Protege Agentes de Pentest de IA e Previne o Desvio de Escopo
Saiba como a Aikido protege agentes de pentest de IA com isolamento arquitetural, imposição de escopo em tempo de execução e controles em nível de rede para prevenir o desvio de produção e vazamento de dados.
Agentes de IA são projetados para explorar. Em cibersegurança, essa exploração precisa de limites rigorosos. Este artigo explica como a Aikido protege agentes de pentest de IA através de isolamento arquitetural, imposição de escopo em tempo de execução e controles em camadas que contêm o risco por design.
Atualizações de Produto e da Empresa
SSRF de Leitura Completa no Astro via Injeção de Cabeçalho Host
Vulnerabilidade SSRF no Astro: Injeção de Cabeçalho Host em Páginas de Erro SSR (CVE-2026-25545)
O agente de pentest de IA da Aikido Security descobriu uma vulnerabilidade de Server-Side Request Forgery na implementação SSR do Astro. Saiba como a injeção de cabeçalho Host em páginas de erro pré-renderizadas permitiu acesso total à rede interna.
O agente de pentest de IA do Aikido descobriu uma vulnerabilidade SSRF no adaptador Node.js do Astro. Analisaremos como, ao injetar um cabeçalho Host: malicioso, os atacantes poderiam redirecionar uma requisição interna para qualquer URL na rede local.
Vulnerabilidades e Ameaças
Como Fazer Seu Conselho Se Importar com a Segurança (Antes que uma Violação Force a Questão)
Como Fazer Seu Conselho Se Importar com a Segurança Antes de uma Violação
Conselhos não financiam segurança porque é importante. Eles financiam decisões defensáveis. Veja como enquadrar o risco, reduzir a ambiguidade e obter apoio real antes que uma violação force a questão.
Guias
O que é Slopsquatting? O Ataque de Alucinação de Pacotes por IA Já Está Acontecendo
Slopsquatting: O Ataque de Alucinação de Pacotes por IA Já Está Acontecendo
Modelos de IA alucinam nomes de pacotes npm. Atacantes os registram primeiro. Veja o que é slopsquatting, como ele está se espalhando através de habilidades de agente e como se proteger.
Modelos de IA alucinam nomes de pacotes — e atacantes os estão registrando antes que alguém perceba. Slopsquatting é a evolução do typosquatting na era da IA e, ao contrário de seu predecessor, as proteções existentes do npm não funcionam. Analisamos a pesquisa do mundo real que mostra que isso já está acontecendo, desde pacotes maliciosos confirmados que ainda geram centenas de downloads semanais até um nome de pacote alucinado que se espalhou para 237 repositórios através de arquivos de habilidades de agente de IA.
Guias e Melhores Práticas
As 6 Melhores Alternativas ao Wiz Code
Alternativas ao Wiz Code (2026): 6 Ferramentas Comparadas e Melhor Opção de Segurança Voltada para o Desenvolvedor
Procurando alternativas ao Wiz Code? Compare 6 ferramentas em SAST, DAST, SCA, precificação e experiência do desenvolvedor para encontrar a melhor plataforma AppSec para 2026.
Este guia compara o Wiz Code com seis alternativas: Aikido Security, Snyk, Checkmarx, GitHub Advanced Security, Mend e Veracode, avaliadas em cobertura, experiência do desenvolvedor, triagem com IA, transparência de preços e velocidade de implantação. A Aikido Security se destaca para equipes que buscam uma plataforma de segurança voltada para o desenvolvedor com ampla cobertura, redução de 85% de falsos positivos, AI AutoFix em SAST, IaC e contêineres, DAST nativo e precificação transparente a aproximadamente um décimo do custo do Wiz.
Guias e Melhores Práticas
Aikido reconhecido como Líder de Plataforma no Relatório de Segurança de Aplicações 2026 da Latio Tech
Aikido Nomeado Líder de Plataforma AppSec no Relatório Latio 2026
Aikido Security reconhecido como Líder de Plataforma, Inovador em pentest de IA e Inovador em Cadeia de Suprimentos no Relatório AppSec 2026 da Latio Tech.
O Relatório AppSec 2026 da Latio Tech nomeia a Aikido como Líder de Plataforma e Inovadora em IA. Aqui está o que o relatório revela sobre o futuro da segurança de aplicações.
Notícias
Da detecção à prevenção: Como o Zen impede vulnerabilidades IDOR em tempo de execução
Da Detecção à Prevenção: Zen Impede IDOR em Tempo de Execução | Aikido
As vulnerabilidades IDOR são uma das causas mais comuns de vazamentos de dados entre tenants em SaaS multi-tenant. Saiba como o Zen impõe o isolamento de tenants em tempo de execução, analisando consultas SQL e prevenindo acessos inseguros antes da implantação.
Vulnerabilidades IDOR são uma das principais causas de vazamentos de dados entre tenants em aplicações multi-tenant. Neste post, explicamos como o Zen vai além da detecção e impõe o isolamento de tenants em tempo de execução, tornando o acesso entre tenants impossível de ser enviado por acidente.
Atualizações de Produto e da Empresa
Backdoor npm permite que hackers sequestrem resultados de jogos de azar
Ataque à cadeia de suprimentos npm sequestra backend de jogo para manipular resultados de jogos de azar
Um ataque direcionado à cadeia de suprimentos npm instala um backdoor Express, permite acesso remoto a SQL/arquivos e reescreve saldos de jogos de azar, mantendo os logs consistentes.
Descobrimos pacotes npm maliciosos que podem modificar transações de jogos de azar em produção e manter o banco de dados internamente consistente depois.
Vulnerabilidades e Ameaças
Por que tentar proteger o OpenClaw é ridículo
Por que tentar proteger o OpenClaw é ridículo
Problemas de segurança do OpenClaw explicados: malware no ClawHub, instâncias expostas e por que os guias de hardening perdem o foco. Você consegue usar o agente de IA com segurança??
Notícias
Apresentando a Análise de Impacto de Upgrade: Quando as breaking changes realmente importam para o seu código
Análise de Impacto de Upgrade: Quando as Breaking Changes Realmente Importam | Aikido
O Aikido detecta automaticamente breaking changes em upgrades de dependências e analisa sua base de código para mostrar o impacto real, permitindo que as equipes mesclem correções de segurança com segurança.
A Análise de Impacto de Upgrade da Aikido sinaliza mudanças disruptivas em atualizações de dependência e mostra se essas mudanças realmente impactam seu código.
Atualizações de Produto e da Empresa
Claude Opus 4.6 encontrou 500 vulnerabilidades. O que isso muda para a segurança de software?
Claude Opus 4.6 Encontrou 500 Vulnerabilidades: O Que Isso Significa para a Segurança de Software
A Anthropic afirma que o Claude Opus 4.6 descobriu mais de 500 vulnerabilidades de alta gravidade em código aberto. Veja o que isso significa para a descoberta de vulnerabilidades, validação de explorabilidade e fluxos de trabalho de segurança em produção.
Claude Opus 4.6 supostamente encontrou mais de 500 vulnerabilidades de alta gravidade em código aberto. Este artigo examina o que isso realmente muda em produção, onde o raciocínio de LLM ajuda, e por que a validação e a alcançabilidade ainda determinam o impacto real na segurança.
Notícias
Apresentando os Aikido Expansion Packs: Padrões mais seguros dentro da IDE
Aikido Expansion Packs: Padrões Mais Seguros Dentro da IDE
Os Aikido Expansion Packs adicionam controles de segurança focados diretamente dentro da sua IDE. Habilite a proteção de Secrets, verificações de malware na cadeia de suprimentos e segurança de código assistida por IA sem alterar os fluxos de trabalho dos desenvolvedores.
Atualizações de Produto e da Empresa
Relatório Internacional de Segurança de IA 2026: O que isso significa para Sistemas de IA Autônomos
Relatório Internacional de Segurança de IA 2026: Análise da Aikido Security
A análise da Aikido Security sobre o Relatório Internacional de Segurança de IA 2026. Examinamos os controles em tempo de implantação, os requisitos de validação e as linhas de base de segurança práticas para sistemas de IA autônomos.
Mais de 100 especialistas contribuíram para o Relatório Internacional de Segurança de IA 2026, documentando riscos de sistemas de IA autônomos e propondo frameworks de defesa em profundidade. Como uma equipe que opera sistemas de pentest de IA em produção, detalhamos onde o relatório acerta e onde ele precisa de mais especificidade técnica.
Notícias
Software Auto-Seguro: O Que É, Por Que Importa e Como Funciona
O Que É Software Auto-seguro? Um Novo Modelo de Segurança para Software Moderno
Software de auto-proteção é um modelo de segurança onde os sistemas validam e corrigem continuamente riscos reais à medida que mudam. Entenda por que testes periódicos não são mais escaláveis.
Software de auto-proteção trata a segurança como uma capacidade intrínseca do sistema, e não como um processo periódico. Este artigo explica por que o software moderno exige um novo modelo de segurança e o que o torna possível hoje.
Atualizações de Produto e da Empresa
SDLC Seguro para Equipes de Engenharia (+ Checklist)
SDLC Seguro Explicado: Os 5 Pilares de um Ciclo de Vida de Desenvolvimento de Software Seguro
Entenda o que é um SDLC Seguro, por que ele é importante e os cinco pilares que toda equipe precisa. Inclui um checklist prático de SDLC Seguro para CTOs e líderes de engenharia.
Guias e Melhores Práticas
As 10 Melhores Ferramentas de Segurança de IA Para 2026
As 10 Melhores Ferramentas de Segurança de IA para 2026: Recursos, Vantagens e Comparações
Explore as principais ferramentas de segurança de IA para 2026. Compare plataformas para revisão de código com IA, detecção de vulnerabilidades, pentesting e gerenciamento de riscos para proteger aplicações modernas.
Ferramentas DevSec e Comparações
As 10 Melhores Ferramentas de Cibersegurança Para 2026
As 10 Melhores Ferramentas de Cibersegurança para 2026: Detecção, Cloud, XDR & AppSec
Uma análise prática das 10 principais ferramentas de cibersegurança para 2026, abrangendo endpoint, Cloud, identidade, gerenciamento de vulnerabilidades e XDR. Saiba como escolher a ferramenta certa para sua stack e perfil de risco.
Ferramentas DevSec e Comparações
O Que é Pentest Contínuo?
O Que é Pentest Contínuo? Como Equipes Modernas Reduzem o Risco Explorável
O pentest contínuo testa automaticamente caminhos de ataque reais toda vez que o software muda, validando e corrigindo problemas como parte do ciclo de vida de desenvolvimento. Saiba como ele se compara ao pentest de IA e manual.
O pentest contínuo trata a segurança como um sistema vivo, não como um teste único. Saiba como as equipes modernas o utilizam para reduzir o risco explorável à medida que o software muda.
Guias e Melhores Práticas
Confusão com npx: Pacotes que Esqueceram de Reivindicar Seus Próprios Nomes
Confusão com npx: Pacotes que Esqueceram de Reivindicar Seus Próprios Nomes
Reivindicamos 128 nomes de pacotes npm não reivindicados que documentações oficiais instruíam os desenvolvedores a usar npx. Sete meses depois: 121.000 downloads. Todos teriam executado código arbitrário.
A documentação oficial instrui os desenvolvedores a executar `npx package-name`. Mas e se ninguém reivindicou esse nome? Registramos 128 deles e observamos. 121.000 downloads em sete meses. A queda durante o feriado prova que são desenvolvedores reais, não bots.
Vulnerabilidades e Ameaças
Apresentando Aikido Package Health: uma Maneira Melhor de Confiar em Suas Dependências
Aikido Package Health: Health Score para Pacotes Open Source
Veja o quão estável e bem-mantido um pacote open source realmente é. O Aikido Package Health ajuda desenvolvedores a escolher dependências mais seguras com confiança.
Atualizações de Produto e da Empresa
Pentest de IA: Requisitos Mínimos de Segurança para Testes de Segurança
Quando o Pentest de IA é Seguro? Requisitos Mínimos de Segurança para Testes de Segurança
Sistemas de pentest de IA agem autonomamente em ambientes de produção. Saiba quando o pentest de IA é seguro para usar, as salvaguardas técnicas mínimas necessárias e como avaliar ferramentas de teste de segurança de IA de forma responsável.
O pentest de IA já está aqui, mas as expectativas claras de segurança não. Este artigo define um padrão mínimo de segurança para pentest de IA, dando às equipes uma base concreta para avaliar ferramentas emergentes.
Guias e Melhores Práticas
Extensão Falsa do Clawdbot para VS Code Instala ScreenConnect RAT
Extensão Falsa do Clawdbot para VS Code Instala ScreenConnect RAT
Uma extensão maliciosa do VS Code, personificando o Clawdbot, está instalando o ScreenConnect RAT em máquinas de desenvolvedores.
Uma extensão maliciosa do VS Code, personificando o Clawdbot, está instalando o ScreenConnect RAT em máquinas de desenvolvedores.
Vulnerabilidades e Ameaças
As 7 Melhores Ferramentas de Threat Intelligence em 2026
As 7 Melhores Ferramentas de Threat Intelligence em 2026: Reduza o Ruído e Foque no Risco Real
Uma análise aprofundada das principais ferramentas de Threat Intelligence de 2026, comparando como elas reduzem a fadiga de alertas, adicionam contexto e ajudam as equipes a priorizar riscos de segurança do mundo real.
Ferramentas DevSec e Comparações
As 14 Melhores Extensões do VS Code para 2026
As 14 Melhores Extensões do VS Code para 2026: Produtividade, Testes, Segurança e Colaboração
Um guia prático para as melhores extensões do VS Code para 2026, cobrindo ferramentas de produtividade, testes, colaboração e segurança que aprimoram os fluxos de trabalho de desenvolvedores no mundo real.
Ferramentas DevSec e Comparações
G_Wagon: Pacote npm Implanta Stealer Python Visando Mais de 100 Carteiras de Criptomoedas
G_Wagon: Pacote npm Implanta Stealer Python Visando Mais de 100 Carteiras de Criptomoedas
O pacote npm ansi-universal-ui entrega o infostealer GWagon, visando mais de 100 carteiras de criptomoedas, credenciais de navegador e chaves de Cloud. Analisamos todas as 10 versões enquanto o atacante iterava em tempo real.
Vulnerabilidades e Ameaças
Pentest GPT: Como LLMs Estão Remodelando o Teste de Penetração
Pentest GPT: Como a IA está mudando o Teste de Penetração
Explore como o Pentest GPT usa LLMs para automatizar o raciocínio de ataques, simular exploits reais e escalar testes. Veja como a Aikido valida cada descoberta.
Ferramentas DevSec e Comparações
Caindo no Phishing: Pacotes npm Servindo Páginas Personalizadas de Coleta de Credenciais
Caindo no Phishing: Pacotes npm Servindo Páginas Personalizadas de Coleta de Credenciais
Uma campanha de spear-phishing direcionada usou npm packages e jsDelivr como infraestrutura de phishing gratuita, servindo coletores de credenciais personalizados por vítima.
Vulnerabilidades e Ameaças
Pacotes PyPI Maliciosos spellcheckpy e spellcheckerpy Entregam RAT Python
Pacotes PyPI Maliciosos spellcheckpy e spellcheckerpy Entregam RAT Python
Atacantes publicaram pacotes falsos de verificador ortográfico no PyPI com malware escondido à vista. Analisamos o ataque e o que os desenvolvedores precisam observar.
Vulnerabilidades e Ameaças
SvelteSpill: Uma Vulnerabilidade de Decepção de Cache no SvelteKit + Vercel
SvelteSpill: Vulnerabilidade Crítica de Decepção de Cache no SvelteKit + Vercel
SvelteSpill é uma vulnerabilidade de decepção de cache que afeta aplicativos SvelteKit padrão implantados na Vercel. Respostas autenticadas podem ser armazenadas em cache e expostas a diferentes usuários. Saiba como verificar se você está vulnerável e como mitigar o risco.
Nosso sistema de pentest de IA descobriu e reproduziu uma vulnerabilidade de alta severidade em implantações padrão do SvelteKit no Vercel. Veja como ele rastreou uma falha entre camadas em 150.000 linhas de código.
Vulnerabilidades e Ameaças
Habilidades de Agente Estão Espalhando Comandos npx Alucinados
Habilidades de Agente Estão Espalhando Comandos npx Alucinados
As habilidades de agentes de IA estão propagando comandos npx alucinados, criando riscos reais de segurança e confiabilidade para desenvolvedores e cadeias de suprimentos.
Vulnerabilidades e Ameaças
Compreendendo o Risco de Licenças de Código Aberto em Software Moderno
Compreendendo o Risco de Licenças de Código Aberto em Software Moderno
O risco de licenças de código aberto se esconde em dependências e imagens de Container. Saiba o que é, por que é importante e como identificar problemas precocemente.
O código aberto se move rápido, mas suas licenças ainda têm regras. Este artigo detalha o que é o risco de licença de código aberto, por que as equipes continuam perdendo isso em árvores de dependência modernas e como permanecer em conformidade sem transformar isso em um exercício legal de emergência.
Guias e Melhores Práticas
O Checklist de Vibe Coding do CISO para Segurança
Checklist de Vibe Coding do CISO: Protegendo Aplicativos Construídos por IA
Uma checklist de segurança prática para CISOs que gerenciam aplicações de IA e 'vibe-coded'. Abrange salvaguardas técnicas, controles de IA e políticas organizacionais.
'Vibe coding' impulsionado por IA permite que qualquer pessoa implante software. Este post descreve os riscos de segurança que os CISOs estão enfrentando e apresenta uma checklist prática, informada por CISOs da Lovable e da Supabase.
Guias e Melhores Práticas
De “Segurança Sem Besteira” a US$ 1 bilhão: Acabamos de levantar nossa Série B de US$ 60 milhões
Aikido Security Arrecada US$ 60 milhões com uma avaliação de US$ 1 bilhão
Aikido anuncia financiamento Série B de US$ 60 milhões com uma avaliação de US$ 1 bilhão, acelerando sua visão para software de auto-segurança e testes de penetração contínuos.
Aikido se torna uma das empresas de cibersegurança mais rápidas a atingir o status de unicórnio globalmente, e a mais rápida de todos os tempos na Europa.
Atualizações de Produto e da Empresa
Vulnerabilidade Crítica no n8n Permite Execução Remota de Código Não Autenticada (CVE-2026-21858)
Vulnerabilidade Crítica do n8n (CVE-2026-21858) | RCE Não Autenticado Explicado
Uma vulnerabilidade crítica no n8n (CVE-2026-21858) permite a execução remota de código não autenticada em instâncias auto-hospedadas. Saiba quem é afetado e como remediar.
Vulnerabilidades e Ameaças
Teste de penetração orientado por IA da Coolify: sete CVEs identificados
Sete CVEs no Coolify Identificados Através de pentest de IA | Aikido
O teste de penetração orientado por IA da Coolify identificou sete CVEs, incluindo vulnerabilidades de escalonamento de privilégios e execução remota de código. As descobertas foram divulgadas e corrigidas de forma responsável.
Aikido
JavaScript, MSBuild e Blockchain: Anatomia do Ataque à Cadeia de Suprimentos npm NeoShadow
Ataque à Supply-Chain npm NeoShadow: JavaScript, MSBuild & Blockchain
Uma análise técnica aprofundada do ataque à cadeia de suprimentos npm NeoShadow, detalhando como as técnicas de JavaScript, MSBuild e blockchain foram combinadas para comprometer desenvolvedores.
Vulnerabilidades e Ameaças
SAST vs SCA: Protegendo o Código que Você Escreve e o Código do Qual Você Depende
SAST vs SCA Explicado: Protegendo Seu Código e Dependências
Aprenda como SAST e SCA diferem, quais riscos cada um aborda e por que equipes AppSec modernas precisam de ambos para proteger código e dependências.
Técnico
As 6 Melhores Ferramentas de pentest contínuo em 2026
As 6 Melhores Ferramentas de pentest contínuo em 2026
Descubra as principais ferramentas de pentest contínuo que oferecem testes de segurança em tempo real, com IA, para aplicações modernas.
Ferramentas DevSec e Comparações
Como Equipes de Engenharia e Segurança Podem Atender aos Requisitos Técnicos da DORA
Requisitos Técnicos DORA para Equipes de Engenharia e Segurança
Compreenda os requisitos técnicos da DORA para equipes de engenharia e segurança, incluindo testes de resiliência, gestão de riscos e evidências prontas para auditoria.
Conformidade
Vulnerabilidades IDOR Explicadas: Por Que Elas Persistem em Aplicações Modernas
Vulnerabilidade IDOR Explicada: Por que as Referências Diretas Inseguras a Objetos Persistem
Aprenda o que é uma vulnerabilidade IDOR, por que referências diretas a objetos inseguras persistem em APIs modernas e por que as ferramentas de teste tradicionais têm dificuldade em detectar falhas reais de autorização.
Aprenda o que é uma vulnerabilidade IDOR, por que referências diretas a objetos inseguras persistem em APIs modernas e por que as ferramentas de teste tradicionais têm dificuldade em detectar falhas reais de autorização.
Vulnerabilidades e Ameaças
Shai Hulud ataca novamente - O caminho dourado
Shai Hulud ataca novamente - O caminho dourado
Uma nova cepa de Shai Hulud foi observada em ambiente real.
Vulnerabilidades e Ameaças
MongoBleed: Vulnerabilidade Zlib do MongoDB (CVE-2025-14847) e Como Corrigi-la
MongoBleed: Vulnerabilidade Zlib do MongoDB (CVE-2025-14847)
MongoBleed, rastreado como CVE-2025-14847, permite a divulgação de memória não autenticada no MongoDB via compressão zlib. Veja o impacto e a remediação.
Vulnerabilidades e Ameaças
Primeiro Malware Sofisticado Descoberto no Maven Central via Ataque de Typosquatting em Jackson
Malware no Maven Central: Typosquatting Jackson Entrega Payload Cobalt Strike
Descobrimos a primeira campanha de malware sofisticada no Maven Central: um pacote Jackson com typosquatting entregando payloads multiestágio e beacons Cobalt Strike via autoexecução do Spring Boot.
Vulnerabilidades e Ameaças
O Fork Desperta: Por que as Redes Invisíveis do GitHub Quebram a Segurança de Pacotes
O Fork Desperta: Por que as Redes Invisíveis do GitHub Quebram a Segurança de Pacotes
Uma análise aprofundada de uma falha de segurança no GitHub onde commits bifurcados permitiam que invasores falsificassem dependências. Entenda o problema do commit SHA e por que os gerenciadores de pacotes precisam de proteção em nível de API.
Vulnerabilidades e Ameaças
SAST na IDE agora é gratuito: Levando o SAST para onde o desenvolvimento realmente acontece
Varredura SAST Grátis na Sua IDE
Execute varreduras SAST gratuitas diretamente em sua IDE com feedback em tempo real e visibilidade em todo o projeto. Use as mesmas regras e motor SAST do Aikido, com AutoFix opcional para achados suportados.
Atualizações de Produto e da Empresa
Pentest de IA em Ação: Um Resumo TL;DV da Nossa Demonstração ao Vivo
Aikido AI Pentesting: Resumo da Demonstração ao Vivo & FAQ
Um resumo da demonstração ao vivo de pentest de IA da Aikido. Veja como agentes autônomos testam aplicações reais, validam descobertas, geram relatórios e permitem retestes.
Guias
As 7 Principais Vulnerabilidades de segurança na nuvem
As 7 Principais Vulnerabilidades de segurança na nuvem e Como Preveni-las
Descubra as sete principais vulnerabilidades de segurança na nuvem que afetam ambientes modernos. Saiba como atacantes exploram IMDS, Kubernetes, configurações incorretas e muito mais, e explore estratégias para proteger sua infraestrutura Cloud de forma eficaz.
Guias e Melhores Práticas
Como Cumprir o Projeto de Lei de Cibersegurança e Resiliência do Reino Unido: Um Guia Prático para Equipes de Engenharia Modernas
Em Conformidade com a Lei de Cibersegurança e Resiliência do Reino Unido | Guia de Segurança
Aprenda a atender aos requisitos do Projeto de Lei de Cibersegurança e Resiliência do Reino Unido, desde práticas de segurança por design até a transparência de SBOM, segurança da cadeia de suprimentos e conformidade contínua.
Conformidade
Vulnerabilidade de DoS em React e Next.js (CVE-2025-55184): O Que Você Precisa Corrigir Após o React2Shell
Vulnerabilidade DoS em React & Next.js (CVE-2025-55184) Explicada
CVE-2025-55184 é uma falha de DoS em React Server Components relacionada ao React2Shell. Saiba quem é afetado, como funciona e como corrigi-la completamente.
Vulnerabilidades e Ameaças
Principais Vulnerabilidades de Segurança da Supply Chain de Software Explicadas
Vulnerabilidades de Segurança da Supply Chain de Software
Entenda as maiores vulnerabilidades de segurança da supply chain de software, desde pacotes maliciosos até ataques de confusão de dependências.
Guias e Melhores Práticas
As 10 Principais Vulnerabilidades de Segurança em JavaScript em Aplicações Web Modernas
Vulnerabilidades de Segurança em JavaScript | Principais Riscos
Conheça as vulnerabilidades de segurança em JavaScript mais frequentes que afetam aplicações frontend e backend, incluindo vetores de ataque do mundo real.
Guias e Melhores Práticas
As 10 Principais Vulnerabilidades de Segurança em Python que Desenvolvedores Devem Evitar
Vulnerabilidades de Segurança em Python | Principais Problemas
Uma visão prática das vulnerabilidades de segurança em Python mais comuns, padrões inseguros e riscos relacionados a dependências.
Guias e Melhores Práticas
As 10 Principais Vulnerabilidades de Segurança de Código Encontradas em Aplicações Modernas
Vulnerabilidades de Segurança de Código | Riscos Comuns
Explore as vulnerabilidades de segurança de código mais comuns que desenvolvedores introduzem, por que elas acontecem e como as equipes podem detectá-las mais cedo.
Guias e Melhores Práticas
As 9 Principais Vulnerabilidades e Má-configurações de segurança Kubernetes
Vulnerabilidades de segurança Kubernetes | Principais Riscos
Aprenda as vulnerabilidades de segurança Kubernetes mais críticas, configurações incorretas comuns e por que os clusters são frequentemente expostos por padrão.
Guias e Melhores Práticas
As 10 Principais Vulnerabilidades de Segurança em Aplicações Web Que Toda Equipe Deve Conhecer
Vulnerabilidades de Segurança em Aplicações Web | Principais Riscos
Descubra as vulnerabilidades de segurança de aplicações web mais comuns, exemplos reais e como equipes modernas podem reduzir riscos precocemente.
Guias e Melhores Práticas
Top 10 OWASP para Aplicações Agênticas (2026): O que Desenvolvedores e Equipes de Segurança Precisam Saber
Top 10 OWASP para Aplicações Agênticas (2026): Guia Completo sobre Riscos de Segurança de Agentes de IA
Aprenda o Top 10 OWASP para Aplicações Agênticas. Entenda os principais riscos de segurança de agentes de IA, exemplos reais e como fortalecer seu ambiente.
Guias e Melhores Práticas
Obrigado! Seu envio foi recebido!
Ops! Algo deu errado ao enviar o formulário.
6 de maio de 2026
Guias

Implementação de medidas de segurança para programadores numa organização com mais de 5 000 engenheiros

A maioria das iniciativas de segurança implementadas pelos programadores fracassa porque são concebidas como implementações de software, e não como mudanças culturais. Eis o modelo por fases que os CISOs experientes concordam ser a solução para resolver essa situação.

Tags/

#Vulnerabilidades

#AppSec

#Modelagem de Ameaças

#SCA

#SAST

5 de maio de 2026
Guias e Melhores Práticas

Metamorfose da segurança: uma lista de verificação da arquitetura preparada para o Mythos, para ataques de IA autónoma

AppSec face à complexidade atual. O Projeto Glasswing e a era Mythos exigem uma abordagem de segurança que acompanhe o ritmo das ameaças que enfrenta.

Tags/

#Segurança de IA

#Segurança da Supply Chain de Software

29 de abril de 2026
Vulnerabilidades e Ameaças

O Mini Shai-Hulud ataca pacotes npm da SAP com um programa de roubo de credenciais baseado no Bun

Tags/

#Malware

#NPM

23 de abril de 2026
Vulnerabilidades e Ameaças

O Shai-Hulud está de volta? A CLI do Bitwarden, que foi comprometida, contém um worm npm que se auto-propaga

O malware detetado na versão @bitwarden/cli v2026.4.0 rouba chaves SSH, secrets de serviços na nuvem e credenciais de ferramentas de programação de IA, espalhando-se depois através dos próprios pacotes npm das vítimas. No seu interior: um worm que se autodenomina «Shai-Hulud: The Third Coming».

Tags/

#Malware

17 de abril de 2026
Vulnerabilidades e Ameaças

Várias cross-site scripting no Mailcow

pentest de IA Aikido, pentest de IA , identificaram três vulnerabilidades XSS no Mailcow, um servidor de e-mail auto-hospedado amplamente utilizado. A mais grave permitia que atacantes não autenticados injetassem um código malicioso nos registos do Autodiscover, que seria executado quando um administrador os visualizasse, possibilitando a apropriação total da conta. Todas as três vulnerabilidades foram corrigidas a partir da versão 2026-03b.

Tags/

#Vulnerabilidades

#open-source

14 de abril de 2026
Vulnerabilidades e Ameaças

Axios CVE-2026-40175: um bug crítico que… não é explorável

Axios CVE-2026-40175 é classificado como crítico, mas em ambientes Node.js reais não é praticamente explorável. Veja o porquê.

Tags/
Nenhum item encontrado.
13 de abril de 2026
Técnico

Bug bounty não está morto, mas o modelo antigo está em colapso

O bug bounty está chegando a um ponto de ruptura à medida que a IA sobrecarrega os programas, impulsionando uma mudança para modelos de segurança mais sustentáveis e focados na qualidade.

Tags/

#AI

#Testes de Penetração com IA

#Ferramentas

#Vulnerabilidades

8 de abril de 2026
Vulnerabilidades e Ameaças

Aikido Attack encontra múltiplos 0-days no Hoppscotch

Aikido Attack identificou três vulnerabilidades de alta gravidade no Hoppscotch: um redirecionamento aberto levando à tomada de conta, XSS armazenado e um problema de controle de acesso quebrado permitindo a injeção de requisições entre equipes.

Tags/

#Malware

#Testes de Penetração com IA

#open-source

18 de março de 2026
Vulnerabilidades e Ameaças

Extensão fast-draft Open VSX Comprometida por BlokTrooper

Uma popular extensão do Open VSX foi comprometida e usada para implantar um RAT e um infostealer a partir de infraestrutura controlada por atacantes. Seu histórico de versões revela a verdadeira história, com lançamentos maliciosos aparecendo entre os limpos.

Tags/

#Malware

#open-source

16 de março de 2026
Vulnerabilidades e Ameaças

Glassworm Atinge Pacotes Populares de Número de Telefone React Native

Dois pacotes npm populares do React Native foram comprometidos com backdoors por supostos atores Glassworm e usados para entregar malware multiestágio. Veja o que o malware faz e o que procurar.

Tags/

#Malware

#NPM

12 de março de 2026
Vulnerabilidades e Ameaças

Como as Equipes de Segurança Combatem Hackers Alimentados por IA

Um único hacker e uma assinatura do Claude acabaram de derrubar nove agências governamentais mexicanas. A IA concedeu aos atacantes uma séria atualização de poder. As equipes de segurança precisam de um novo playbook.

Tags/

#AI

#pentest contínuo

#Software de Auto-proteção

9 de março de 2026
Notícias

Estratégia de cibersegurança de Trump para 2026: Da conformidade à consequência

Tags/

#Compliance

Atualizações de Produto e da Empresa
Ver todos
Ver todos
30 de abril de 2026
Atualizações de Produto e da Empresa

Aikido com o AWS Kiro: a deteção de erros na revisão já não é escalável

Agentes de IA a escrever o seu código. Aikido diretamente no fluxo de trabalho baseado em agentes do AWS Kiro para garantir que a segurança está sempre presente, de forma automática, desde a primeira linha. Aikido o primeiro parceiro global de segurança da AWS para o Kiro.

#
Anúncios
24 de março de 2026
Atualizações de Produto e da Empresa

Aikido × Lovable: Vibe, Fix, Ship

Lovable e Aikido trazem o pentest para a plataforma, permitindo que desenvolvedores simulem ataques do mundo real e corrijam problemas antes do lançamento.

#
Anúncios
#
Pentest com IA
12 de março de 2026
Atualizações de Produto e da Empresa

Apresentando Betterleaks, um scanner de Secrets de código aberto pelo autor de Gitleaks

Betterleaks é um novo scanner de Secrets de código aberto do criador de Gitleaks. Um substituto direto com varreduras mais rápidas, detecção de eficiência de tokens, validação configurável e muito mais.

Vulnerabilidades e Ameaças
Ver todos
Ver todos
30 de abril de 2026
Vulnerabilidades e Ameaças

Pacote Lightning do PyTorch, muito utilizado, comprometido pelo Mini Shai-Hulud

Foi detetado malware nas versões 2.6.2 e 2.6.3 do popular PyTorch Lightning, que rouba credenciais, carteiras de criptomoedas e configurações de VPN no âmbito da campanha Mini Shai-Hulud.

#
Malware
29 de abril de 2026
Vulnerabilidades e Ameaças

O Mini Shai-Hulud ataca pacotes npm da SAP com um programa de roubo de credenciais baseado no Bun

Os pacotes npm do SAP comprometidos utilizam uma carga pré-instalação baseada no Bun para roubar secrets do GitHub, do npm, da nuvem e da integração contínua (CI), espalhando-se depois através do GitHub com o auxílio do OhNoWhatsGoingOnWithGitHub.

#
Malware
#
NPM
29 de abril de 2026
Vulnerabilidades e Ameaças

Alguém publicou quatro versões de um pacote falso chamado «tanstack» em 27 minutos para roubar os seus ficheiros .env

Um pacote npm falso chamado «tanstack» publicou hoje quatro versões maliciosas em 27 minutos, extraindo ficheiros .env através de um gancho de pós-instalação. Eis o que aconteceu, quem foi afetado e como atualizar as suas credenciais.

#
Malware
Ferramentas DevSec e Comparações
Ver todos
Ver todos
19 de agosto de 2025
Ferramentas DevSec e Comparações

As 12 Principais Ferramentas de Testes Dinâmicos de Segurança de Aplicações (DAST) em 2026

Descubra as 12 melhores ferramentas de Testes Dinâmicos de Segurança de Aplicações (DAST) em 2026. Compare recursos, prós, contras e integrações para escolher a solução DAST certa para seu pipeline DevSecOps.

#
Ferramentas
#
DAST
18 de julho de 2025
Ferramentas DevSec e Comparações

As 13 Melhores Ferramentas de Varredura de Container em 2026

Descubra as 13 melhores ferramentas de Varredura de Contêineres em 2026. Compare recursos, prós, contras e integrações para escolher a solução certa para seu pipeline DevSecOps.

#
Ferramentas
#
Varredura de Container
17 de julho de 2025
Ferramentas DevSec e Comparações

As 10 Melhores Ferramentas de Análise de Composição de Software (SCA) em 2026

As ferramentas SCA são nossa melhor linha de defesa para a segurança de código aberto; este artigo explora os 10 principais scanners de dependências de código aberto para 2026.

#
Ferramentas
#
SCA
Guias e Melhores Práticas
Ver todos
Ver todos
30 de abril de 2026
Guias e Melhores Práticas

Uma lista de verificação prática de segurança para o CTO, para estar preparado para o Mythos

Uma lista de verificação prática para diretores técnicos (CTO) de empresas SaaS que enfrentam um mundo marcado por ameaças do tipo Mythos e de IA autônoma. Concebida com base na vantagem do defensor: você dispõe de um contexto que os atacantes têm de se esforçar para obter. Abrange os controlos, as práticas e os hábitos operacionais que determinam se a sua equipa identifica e resolve os problemas antes que outros o façam.

#
IA
#
Software Auto-seguro
#
Anúncios
19 de março de 2026
Guias e Melhores Práticas

Testes de segurança estão validando software que não existe mais

Equipes modernas entregam mais rápido do que o pentesting consegue acompanhar. Explore a crescente lacuna de velocidade nos testes de segurança — e por que as abordagens tradicionais estão ficando para trás.

#
Pentest com IA
#
Pentest Contínuo
#
Pentesting
6 de março de 2026
Guias e Melhores Práticas

O que o pentest contínuo realmente exige

O pentest contínuo promete validação de segurança em tempo real, mas a maioria das implementações fica aquém. Aqui está o que o pentest contínuo realmente exige — desde testes sensíveis a mudanças até validação de exploits e ciclos de remediação.

Fique seguro agora

Proteja seu código, Cloud e runtime em um único sistema centralizado.
Encontre e corrija vulnerabilidades rapidamente de forma automática.

Iniciar Análise
Não é necessário cc
Agendar uma demonstração
Não é necessário cartão de crédito | Resultados da varredura em 32 segundos.