Bem-vindo ao nosso blog.

Mais de 140 pacotes populares do Mastra no npm foram afetados por um ataque à cadeia de abastecimento

141 pacotes npm da Mastra foram comprometidos num ataque à cadeia de abastecimento que injetou uma dependência maliciosa para descarregar e executar silenciosamente uma carga maliciosa no momento da instalação.

Vários plugins para IDEs da JetBrains foram apanhados a roubar chaves de IA

Full Fathom Five: O contexto do lançamento público da classe Mythos da Anthropic

Full Fathom Five: O que significa o lançamento público da classe Mythos da Anthropic

Você nunca precisou do Mythos para encontrar seus IDORs e falhas de lógica de negócios. Uma análise do que a Anthropic lançou com o Fable 5 e por que a infosec continua sendo um problema de pessoas em sua essência.

npm v12 oferece uma das maiores melhorias de segurança em anos

npm v12 torna os scripts de instalação opt-in por padrão, fechando o caminho de execução em tempo de instalação após um ano de "worms" na Supply chain do npm, de Nx a Red Hat.

Aikido x Docker: menos ruído, mais sinal em seus contêineres

Aikido Suporta Docker Hardened Images com VEX

Aikido agora oferece suporte a Docker Hardened Images com integração VEX integrada, ajudando as equipes a reduzir o ruído de CVEs e a focar nas vulnerabilidades de contêineres que realmente precisam de atenção.

Escaneie Imagens Hardened do Docker no Aikido com filtragem VEX automática para CVEs não exploráveis.

O código está sendo escrito em todos os lugares, e o dispositivo é a única constante

O Código É Escrito Em Todos os Lugares e o Dispositivo É a Única Constante | Aikido Security

Desenvolvedores estão codificando em todos os lugares. Agentes de IA, bots do Slack e servidores MCP transformaram o dispositivo do desenvolvedor no maior ponto cego de segurança.

SBOMs em 2026: Todos estão gerando-os, ninguém os está usando

SBOMs em 2026: Todos Estão Gerando-os, Ninguém os Está Usando | Aikido Security

O relatório de adoção de SBOM da ENISA de 2026 abrange 334 organizações e revela uma lacuna consistente entre a geração de SBOMs e o uso efetivo deles. Aqui está o que se destacou.

Crate Rust onering comprometido realiza exfiltração de código

O crate Rust onering v1.4.1 comprometido no crates.io distribuiu um build.rs malicioso que exfiltra o diff do seu último commit para um endpoint Sentry hospedado toda vez que você compila.

Vulnerabilidade crítica de 10 anos no phpBB afetando dezenas de milhões de usuários em milhares de fóruns

Vulnerabilidade Crítica no phpBB: Auth Bypass + RCE Desde 2014

A Aikido Security descobriu um bypass de autenticação não autenticado crítico no phpBB, afetando dezenas de milhões de usuários. Uma única requisição HTTP é tudo o que é necessário para assumir o controle de qualquer conta — uma vulnerabilidade que está presente na base de código desde 2014.

Espere, binding.gyp pode fazer o quê? Explorando o sistema de build mais estranho do npm

Análise aprofundada de binding.gyp, o arquivo de build do npm muitas vezes negligenciado que pode executar código malicioso no momento da instalação através de expansões de shell, Escape de sandbox e sequestro de compilador.

AI SAST está emergindo como uma nova categoria de SAST, mas o significado não está claro. Esclarecemos a diferença entre SAST nativo de IA e SAST assistido por IA, bem como como o AI SAST se posiciona na pilha entre o SAST tradicional e o pentest de IA.

O que é AI SAST?

As 5 melhores alternativas ao Tenable Nessus em 2026

As 5 Melhores Alternativas ao Tenable Nessus em 2026 | Aikido Security

O Tenable Nessus é um scanner poderoso, mas ferramentas poderosas que ninguém usa não tornam o software mais seguro. Compare cinco alternativas construídas para a forma como as equipes de engenharia realmente trabalham.

O Tenable Nessus é um poderoso scanner de infraestrutura, mas ferramentas poderosas que ficam desconectadas dos fluxos de trabalho dos desenvolvedores são ferramentas que ninguém usa. Este guia compara cinco alternativas construídas em torno do ajuste ao fluxo de trabalho do desenvolvedor, amplitude de AppSec, custo e experiência de remediação.

Por que EDR e proxy não vão te salvar de malware de supply chain

EDR e proxies não foram feitos para malware de supply chain. Quando um código malicioso chega via npm install, ele parece um comportamento normal. Veja por que isso importa.

Abra espaço, Mythos. Chegou... praticamente qualquer outro modelo com um bom arcabouço

Abra espaço, Mythos. Chegou qualquer modelo com um bom arcabouço.

Mythos tem vantagens reais na construção de cadeias de exploração. Mas para a maioria dos trabalhos de AppSec, o arcabouço em torno do modelo importa mais do que o modelo que você escolhe.

Pacotes npm da Red Hat Comprometidos para Disseminar um Worm de Roubo de Credenciais

Vários pacotes npm oficiais do @redhat-cloud-services foram comprometidos com um worm de roubo de credenciais derivado do malware de código aberto Mini Shai-Hulud, visando credenciais de Cloud e ferramentas de desenvolvimento em pipelines de CI/CD.

Apresentamos o Code Audit: Descubra vulnerabilidades complexas escondidas no seu código-fonte

SAST padrões. O Code Audit analisa o seu código da mesma forma que um atacante o faria, identificando as falhas lógicas que só se revelam após a implementação.

O que o MDM não consegue proteger em máquinas de desenvolvedores (e o que fazer a respeito)

O que o MDM Não Consegue Proteger em Máquinas de Desenvolvedores

Ferramentas de MDM como Jamf e Kandji são essenciais, mas elas não veem instalações npm, extensões de IDE ou ferramentas de codificação de IA. Aqui está o que realmente está desprotegido em suas máquinas de desenvolvedores e como fechar essa lacuna.

A maioria das equipes de segurança tem o MDM implantado. O problema é que as instalações npm, extensões do VS Code e ferramentas de codificação de IA acontecem completamente fora da visão do MDM. Aqui está o que está realmente desprotegido e como fechar essa lacuna.

Principais alternativas ao GitGuardian para varredura de segredos em 2026

Principais Alternativas ao GitGuardian para Varredura de Segredos em 2026

Compare as Principais Alternativas ao GitGuardian para varredura de segredos em 2026. Veja onde Aikido Security, GitHub Secret Protection, TruffleHog, Gitleaks, Semgrep, Snyk, Cycode, Checkmarx e GitLab se encaixam melhor.

Compare as principais alternativas ao GitGuardian para varredura de segredos em 2026, incluindo Aikido Security, Betterleaks, GitHub Secret Protection, TruffleHog, Semgrep, Snyk, Checkmarx One e GitLab Secret Detection.

UI Remota do Codex com Aparência Legítima Rouba Secretamente Seus Tokens de IA

Uma UI remota do Codex aprimorada, o pacote npm codexui-android, tem desenvolvimento ativo e milhares de usuários semanais. Ele tem exfiltrado silenciosamente tokens de autenticação da OpenAI no último mês.

Aikido vs Xbow: 58% mais vulnerabilidades encontradas em benchmark independente

Aikido vs Xbow comparados em um benchmark independente pela Doyensec. O Aikido encontrou 58% mais vulnerabilidades pelo mesmo preço. Veja o tempo de configuração, taxas de falso positivo e resultados completos.

Nós contratamos a Doyensec para realizar um benchmark cego e independente do Aikido e do XBOW nos mesmos aplicativos, pelo mesmo preço. O Aikido encontrou 58% mais vulnerabilidades verificadas e se destacou em configuração, velocidade e estabilidade.

Por que as máquinas de desenvolvedores são agora o alvo número um para ataques à Supply chain

Por que Máquinas de Desenvolvedores São o Alvo #1 para Ataques à Supply chain | Aikido

Equipes da Omnea, Cognism, Glasswall, Raisin e do setor público do Reino Unido revelam por que EDR e MDM não detectam o que realmente está acontecendo nas máquinas de desenvolvedores.

Equipes de engenharia e segurança da Omnea, Cognism, Glasswall e do setor público do Reino Unido identificaram independentemente o mesmo ponto cego. É isso que eles estão fazendo a respeito.

Ataque à Cadeia de Suprimentos Visa Pacotes Laravel-Lang com Ladrão de Credenciais

Atacantes injetaram um ladrão de credenciais em mais de 200 versões de populares pacotes Laravel-Lang, entregando um ladrão de credenciais que visa chaves da Cloud, chaves SSH, navegadores, carteiras de criptomoedas e muito mais.

5 alternativas ao Gitleaks e por que são melhores

5 Alternativas ao Gitleaks para uma melhor varredura de segredos em 2026

Procurando uma alternativa ao Gitleaks? Comparamos Betterleaks, TruffleHog, Aikido, GitHub Advanced Security e Spectral para que você possa encontrar o melhor scanner de segredos para sua equipe.

Gitleaks não está mais sendo ativamente desenvolvido, e o cenário de varredura de segredos evoluiu rapidamente. Comparamos as cinco alternativas mais fortes em 2026, incluindo Betterleaks, TruffleHog, Aikido, GitHub Advanced Security e Spectral, para que você possa encontrar a solução ideal para sua stack.

O Velho Oeste das extensões do VS Code e como uma extensão envenenada violou o GitHub

Uma extensão envenenada do VS Code violou o GitHub ontem, um dia depois que o Nx Console (2,2 milhões de instalações) foi comprometido por 18 minutos no Visual Studio Marketplace e atingiu todos os usuários com atualização automática ativada.

GitHub violado via uma extensão maliciosa do VS Code: por que os dispositivos dos desenvolvedores são o verdadeiro alvo

GitHub Violado via Extensão do VS Code | Ataque à Supply Chain de Desenvolvedores 2026

O GitHub confirmou que uma extensão envenenada do VS Code comprometeu um dispositivo de funcionário, expondo 3.800 repositórios internos. Por que as estações de trabalho dos desenvolvedores são agora o principal alvo da supply chain.

Pacote durabletask da Microsoft no PyPi Comprometido. Mini Shai Hulud ataca novamente... novamente!

Três versões progressivamente comprometidas de um pacote Python adjacente à Microsoft entregam um infostealer completo que se espalha por AWS e Kubernetes, exfiltra todas as credenciais Cloud que consegue encontrar, e apaga discos em sistemas israelenses e iranianos.

Mini Shai-Hulud ataca novamente: worm npm compromete centenas de pacotes @antv

Mini Shai-Hulud Ataca Novamente: Worm npm Compromete Centenas de Pacotes @antv

O worm npm Mini Shai-Hulud atingiu os pacotes @antv da Alibaba, echarts-for-react e timeago.js. O payload rouba Secrets de CI/CD, instala backdoors no VS Code e Claude Code, e se espalha republicando pacotes comprometidos. Aqui está o que aconteceu e como proteger sua equipe.

O worm npm Mini Shai-Hulud está de volta com sua maior onda até agora, comprometendo centenas de pacotes em todo o ecossistema de visualização de dados da Alibaba. Nossa equipe de malware está rastreando mais de 2.700 repositórios GitHub maliciosos criados com tokens roubados enquanto o worm continua a se espalhar.

Testes de penetração vs. red teaming: qual a diferença?

Pentest vs. Red Teaming: Qual a Diferença?

Não tem certeza se precisa de um pentest ou de um engajamento de red team? Este guia detalha as principais diferenças, quando usar cada um e como a IA está mudando ambos.

Testes de penetração e red teaming são ambas formas de testar a resiliência da sua segurança, mas não são a mesma coisa. Este artigo detalha como cada um funciona, quando usar um em detrimento do outro e como o pentest de IA está mudando a equação.

Chaves de API do Google continuam funcionando após a exclusão

Chaves de API do Google continuam funcionando após a exclusão por tempo suficiente para serem exploradas

Excluir uma chave de API do Google não a revoga imediatamente. Nossos testes encontraram autenticações bem-sucedidas até 23 minutos após a exclusão, e o Google se recusou a corrigir isso.

A Shadow AI é uma resposta ao medo, e proibi-la piora a situação

Por que os riscos da shadow AI começam com o medo (e proibi-la os piora)

Os funcionários não estão usando ferramentas de IA não aprovadas para causar problemas. Eles têm medo de ficar para trás. Veja por que proibir a shadow AI aumenta seu risco de segurança e o que fazer em vez disso.

A Shadow AI é uma resposta ao medo. Funcionários estão escondendo as ferramentas que usam porque estão lendo corretamente um mercado de trabalho que exige habilidades em IA. Aqui está o porquê proibir piora a situação e o que fazer em vez disso.

Mini Shai-Hulud Está de Volta: Worm de npm Atinge mais de 160 Pacotes, incluindo Mistral e Tanstack

Mini Shai-Hulud está de volta, comprometendo 169 pacotes npm em TanStack, UiPath, Squawk e outros para roubar Secrets de desenvolvedores e de CI/CD, e então se espalhar por meio de workflows de publicação confiáveis.

A lista de verificação completa de segurança do GitHub Actions

Checklist de Segurança para GitHub Actions

As configurações incorretas do GitHub Actions estiveram por trás de alguns dos maiores ataques à Supply chain de 2025 e 2026. Veja o que deu errado e como evitar que aconteçam na sua organização.

Configurações incorretas do GitHub Actions estiveram por trás de alguns dos maiores ataques à Supply chain de 2025 e 2026. Aqui está um checklist prático de como se proteger deles.

Os melhores scanners Top 10 OWASP em 2026 para segurança de aplicações web

Melhores Scanners Top 10 OWASP em 2026 para Segurança de Aplicações Web

A maioria dos scanners não cobre o Top 10 OWASP completo. Analisamos os melhores scanners Top 10 OWASP em 2026 para que você possa escolher um que realmente o mantenha protegido.

A maioria dos scanners OWASP não cobre o Top 10 completo. Este guia detalha as principais ferramentas em 2026, o que cada uma realmente cobre e qual scanner oferece cobertura completa sem o ruído.

Implementando segurança para desenvolvedores em uma organização com mais de 5.000 engenheiros

Segurança para Desenvolvedores em Escala: Um Guia de Implementação para CISOs

A maioria das implementações de segurança para desenvolvedores falha porque são projetadas como implantações de software, e não como mudanças culturais. Um guia prático para CISOs corporativos.

A maioria das implementações de segurança para desenvolvedores falha porque são projetadas como implantações de software, e não como mudanças culturais. Aqui está o modelo faseado que CISOs experientes adotam para corrigir isso.

Metamorfose da segurança: um checklist de arquitetura Mythos-ready para ataques de IA autônomos

A AppSec estagnou diante da complexidade moderna. O Projeto Glasswing e a era Mythos exigem uma disciplina de segurança que opere na velocidade das ameaças que enfrenta.

Por que as extensões de navegador são um grande risco de segurança e o que você pode fazer a respeito

Extensões de navegador apresentam muitos riscos de segurança, mais do que gostaríamos de admitir. Discutimos a extensão total da ameaça e o que indivíduos e organizações podem fazer a respeito.

Os melhores scanners de CVE em 2026 para identificar vulnerabilidades conhecidas

Os Melhores Scanners de CVE em 2026: Comparados por Cobertura, Inteligência e Correção Automática

Avaliamos os principais scanners de CVE em 2026 quanto à amplitude de cobertura, fontes de inteligência, relação sinal-ruído e capacidade de correção automática. Veja como eles se comparam e qual é o ideal para sua stack.

Nem todos os scanners de CVE são construídos da mesma forma. Comparamos as principais opções em 2026 quanto à amplitude de cobertura, fontes de inteligência, relação sinal-ruído e capacidade de correção automática, para que você possa encontrar a solução ideal para sua stack.

Malware encontrado nas versões populares 2.6.2 e 2.6.3 do PyTorch Lightning, roubando credenciais, carteiras de criptomoedas e configurações de VPN como parte da campanha Mini Shai-Hulud.

Um checklist de segurança prático para CTOs estarem prontos para Mythos

Checklist Pronta para Mythos

Uma lista de verificação prática para CTOs de SaaS navegando em um mundo com Mythos e ameaças de IA agentic. Construída em torno da vantagem do defensor: você tem o contexto que os invasores precisam se esforçar para obter. Abrange os controles, práticas e hábitos operacionais que determinam se sua equipe encontra e corrige problemas antes que outra pessoa o faça.

Alguém publicou quatro versões de um pacote falso "tanstack" em 27 minutos para roubar seus arquivos .env

Quatro versões publicadas de um pacote falso "tanstack" foram carregadas em 27 minutos e querem roubar seus arquivos .env

Um pacote npm falso "tanstack" publicou quatro versões maliciosas em 27 minutos hoje, exfiltrando arquivos .env via um hook de postinstall. Veja o que aconteceu, quem foi afetado e como rotacionar suas credenciais.

Aikido se integra com AWS Kiro: Detectar em revisão não escala mais

Aikido x Kiro | Detectar em revisão não escala mais

Agentes de IA escrevendo seu código. Aikido se integra diretamente ao fluxo de trabalho agentivo do AWS Kiro para manter a segurança no ciclo, automaticamente, desde a primeira linha. Aikido é o primeiro parceiro global de segurança da AWS para Kiro.

Mini Shai-Hulud Visa Pacotes npm da SAP Com um Secret Stealer Baseado em Bun

Pacotes npm da SAP comprometidos usam um payload de pré-instalação baseado em Bun para roubar Secrets do GitHub, npm, Cloud e CI, e depois se espalham via GitHub usando OhNoWhatsGoingOnWithGitHub.

É hora de tratar as extensões de navegador como vetores de ataque à supply chain

É hora de tratar as extensões de navegador como vetores de ataque à supply chain | Lições aprendidas com a violação da Vercel

A violação da Vercel seguiu um padrão bem conhecido na indústria de segurança, onde o código de terceiros é implicitamente confiado e, em seguida, comprometido a montante. Temos uma estrutura para isso. Apenas não a aplicamos ainda às extensões de navegador. (Spoiler: Fazemos isso para dependências de software)

Shai-Hulud Está de Volta? CLI do Bitwarden Comprometida Contém um Verme npm Autopropagável

Malware encontrado em @bitwarden/cli v2026.4.0 rouba chaves SSH, Secrets da Cloud e credenciais de ferramentas de codificação de IA, e então se espalha através dos próprios pacotes npm das vítimas. Dentro: um verme que se autodenomina "Shai-Hulud: The Third Coming."

Backdoor GPT-Proxy em npm e PyPI transforma Servidores em Relés LLM Chineses

Uma campanha de malware recém-descoberta em npm e PyPI instala proxies LLM ocultos em servidores comprometidos, transformando-os em nós de retransmissão para tráfego LLM.

Roundcube XSS encadeado com cookie tossing para acesso total à caixa de entrada

Encontramos um XSS armazenado no endpoint de anexo de rascunho do Roundcube que, encadeado com uma técnica de cookie tossing, dá a um invasor acesso total à caixa de entrada de uma vítima. Veja como a cadeia de exploração funciona e como foi corrigida

Apresentando Device Protection: Segurança para Dispositivos de Desenvolvedores

Aikido Device Protection: Segurança para Dispositivos de Desenvolvedores | Aikido

Ataques à Supply chain visam os dispositivos dos desenvolvedores. O Aikido Device Protection monitora cada instalação em npm, PyPI, extensões do VS Code, extensões de navegador e ferramentas de IA.

Múltiplas Vulnerabilidades de cross-site scripting em Mailcow

Múltiplas Vulnerabilidades XSS Encontradas em Mailcow, Incluindo Aquisição de Conta Não Autenticada

O agente de pentest de IA da Aikido encontrou três vulnerabilidades XSS em Mailcow, uma das quais permitiu que atacantes não autenticados assumissem contas de administrador. Todos os problemas foram corrigidos a partir da versão 2026-03b.

Os agentes de pentest de IA do Aikido encontraram três vulnerabilidades XSS no Mailcow, um servidor de e-mail auto-hospedado amplamente utilizado. A mais grave permitia que atacantes não autenticados injetassem um payload nos logs do Autodiscover que seria executado quando um administrador os visualizasse, possibilitando a tomada total da conta. Todas as três foram corrigidas desde a versão 2026-03b.

Fontes CVE confiáveis na era dos cortes da NIST NVD

Mudanças na NIST NVD 2026: o que as equipes de segurança precisam saber

A NIST não irá mais enriquecer a maioria dos CVEs. Veja o que muda, o que quebra e o que vem a seguir.

Um ano de Opengrep: O que construímos e o que vem a seguir

Opengrep SAST Após Um Ano: Análise Estática Mais Rápida e Determinística

Um ano após o fork do Semgrep, o Opengrep está mais rápido, suporta análise de taint mais profunda e produz resultados consistentes e reproduzíveis.

Um ano após o fork do Semgrep, o Opengrep é mais rápido, mais capaz e totalmente aberto. Aqui está o que construímos e o que vem a seguir.

Axios CVE-2026-40175: um bug crítico que… não é explorável

Axios CVE-2026-40175 é classificado como crítico, mas em ambientes Node.js reais não é praticamente explorável. Veja o porquê.

Bug bounty não está morto, mas o modelo antigo está em colapso

O bug bounty está chegando a um ponto de ruptura à medida que a IA sobrecarrega os programas, impulsionando uma mudança para modelos de segurança mais sustentáveis e focados na qualidade.

Técnico

GlassWorm se torna nativo: Novo dropper Zig infecta todas as IDEs em sua máquina

GlassWorm implanta um dropper nativo baseado em Zig, escondido em uma extensão falsa, comprometendo silenciosamente VS Code, Cursor, VSCodium e outras IDEs.

Aikido Attack encontra múltiplos 0-days no Hoppscotch

Aikido Attack Encontra 0-Days no Hoppscotch

Os agentes de pentest de IA da Aikido descobriram múltiplas vulnerabilidades de alta severidade no Hoppscotch, incluindo account takeover, XSS armazenado e falhas de controle de acesso. Todos os problemas foram corrigidos.

Aikido Attack identificou três vulnerabilidades de alta gravidade no Hoppscotch: um redirecionamento aberto levando à tomada de conta, XSS armazenado e um problema de controle de acesso quebrado permitindo a injeção de requisições entre equipes.

O alarmismo de cibersegurança em torno do Mythos não corresponde ao que vemos na prática

Riscos de Cibersegurança do Anthropic Mythos: O Que 1.000 Pentests de IA Realmente Revelam

O modelo Mythos vazado da Anthropic desencadeou pânico sobre ciberataques impulsionados por IA. Realizamos 1.000 testes de penetração de IA. Os resultados sugerem que a ameaça é mais nuançada do que as manchetes afirmam.

axios comprometido no npm: conta do mantenedor sequestrada, RAT implantado

Versões maliciosas do axios 1.14.1 e 0.30.4 foram publicadas através de uma conta de mantenedor sequestrada. Uma dependência oculta implanta um RAT multiplataforma. Verifique se você foi afetado e corrija agora.

O Axios foi comprometido. Versões maliciosas do axios 1.14.1 e 0.30.4 foram publicadas no npm após o sequestro da conta do mantenedor principal. A dependência injetada implanta um RAT multiplataforma que se autodestrói após a execução.

Aikido × Lovable: Vibe, Fix, Ship

Lovable Faz Parceria com Aikido para Trazer Pentest para Aplicativos Vibe-Coded

Lovable e Aikido trazem o pentest para a plataforma, permitindo que desenvolvedores simulem ataques do mundo real e corrijam problemas antes do lançamento.

Aikido traz o pentest diretamente para Lovable. Teste seu aplicativo simulando ataques reais e corrija problemas antes de lançar.

CanisterWorm Ganha Dentes: Wiper de Kubernetes do TeamPCP Ataca o Irã

TeamPCP implanta CanisterWorm no NPM após o comprometimento do Trivy

Aikido Reconhecido pela Frost & Sullivan com o Prêmio de Liderança em Valor ao Cliente 2026 em ASPM

A Frost & Sullivan reconheceu a Aikido com o Prêmio de Liderança em Valor ao Cliente 2026 em ASPM. Analisamos o que os critérios de reconhecimento revelam sobre a maturidade do mercado de AppSec

GlassWorm Esconde um RAT Dentro de uma Extensão Maliciosa do Chrome

GlassWorm RAT Entregue via Extensão Maliciosa do Chrome (Keylogger, Roubo de Cookies)

GlassWorm implanta um RAT multiestágio que força a instalação de uma extensão maliciosa do Chrome para registrar teclas digitadas, roubar cookies e exfiltrar dados via C2 baseado em Solana.

Testes de segurança estão validando software que não existe mais

Por que o Pentesting Não Consegue Acompanhar: O Problema da Velocidade em Testes de Segurança

Equipes modernas entregam mais rápido do que o pentesting consegue acompanhar. Explore a crescente lacuna de velocidade nos testes de segurança — e por que as abordagens tradicionais estão ficando para trás.

Um CISO de uma grande empresa nos disse que a capacidade de segurança mais importante hoje é a velocidade. Mas o que acontece quando os testes não conseguem acompanhar a velocidade com que os sistemas mudam?

Extensão fast-draft Open VSX Comprometida por BlokTrooper

Extensão fast-draft Open VSX Comprometida por BlokTrooper (RAT & Infostealer)

A extensão fast-draft Open VSX foi comprometida para implantar um RAT e infostealer BlokTrooper via payloads hospedados no GitHub. Múltiplas versões maliciosas foram identificadas.

Glassworm Atinge Pacotes Populares de Número de Telefone React Native

Glassworm Atinge Pacotes Populares de Número de Telefone React Native em um Novo Ataque à Cadeia de Suprimentos

Pesquisadores da Aikido Security recuperaram e descriptografaram a cadeia completa de payload de dois pacotes React Native maliciosos. Veja o que o malware faz e o que observar.

Dois pacotes npm populares do React Native foram comprometidos com backdoors por supostos atores Glassworm e usados para entregar malware multiestágio. Veja o que o malware faz e o que procurar.

Glassworm Está de Volta: Uma Nova Onda de Ataques Invisíveis de Unicode Atinge Centenas de Repositórios

Glassworm Retorna: Malware Invisível de Unicode Encontrado em Mais de 150 Repositórios GitHub

O ataque à supply chain do Glassworm está de volta. Pesquisadores descobriram malware oculto em caracteres Unicode invisíveis em mais de 150 repositórios GitHub, além de pacotes npm e extensões do VS Code.

Glassworm está de volta com uma nova onda de ataques invisíveis de Unicode. Estamos rastreando uma nova campanha que está comprometendo silenciosamente repositórios no GitHub, npm e VS Code.

Melhores Festas, Eventos Paralelos e Encontros de Segurança da RSA 2026

Guia de Festas e Eventos de Segurança da RSA 2026 | Aikido

Como as Equipes de Segurança Combatem Hackers Alimentados por IA

A IA reduziu drasticamente a barreira para hackers. Aqui está o que isso significa para os defensores e como o pentest de IA contínuo muda a equação.

Um único hacker e uma assinatura do Claude acabaram de derrubar nove agências governamentais mexicanas. A IA concedeu aos atacantes uma séria atualização de poder. As equipes de segurança precisam de um novo playbook.

Apresentando Betterleaks, um scanner de Secrets de código aberto pelo autor de Gitleaks

Betterleaks: O Sucessor de Gitleaks Construído para uma Varredura de Segredos Mais Rápida

Betterleaks é um novo scanner de Secrets de código aberto do criador de Gitleaks. Um substituto direto com varreduras mais rápidas, detecção de eficiência de tokens, validação configurável e muito mais.

O criador de Gitleaks está lançando seu sucessor. Betterleaks é um scanner de Secrets de código aberto mais rápido, construído para detectar mais vazamentos e se adequar aos fluxos de trabalho modernos dos desenvolvedores.

Como o pentest de IA funciona com a conformidade?

pentest de IA está sendo aceito para SOC 2, ISO 27001 e HIPAA (com mais a caminho). Aqui está o que os auditores realmente procuram e onde estão as verdadeiras limitações.

O pentest de IA está sendo aceito para SOC 2, ISO 27001, HIPAA e PCI DSS. Aqui está o que os auditores realmente procuram e onde estão as verdadeiras limitações.

Conformidade

Estratégia de cibersegurança de Trump para 2026: Da conformidade à consequência

Estratégia de Cibersegurança de Trump para 2026: Da Conformidade à Consequência

A estratégia de cibersegurança da administração Trump para 2026 muda o foco das listas de verificação de conformidade para consequências reais para cibercriminosos. Aqui está o que os CISOs precisam saber.

O que o pentest contínuo realmente exige

Pentest contínuo: como funciona e o que ele exige

O pentest contínuo promete validação de segurança em tempo real, mas a maioria das implementações fica aquém. Aqui está o que o pentest contínuo realmente exige — desde testes sensíveis a mudanças até validação de exploits e ciclos de remediação.

O pentest contínuo é amplamente discutido, mas raramente definido com clareza. Este artigo detalha o que é, o que não é e o que realmente exige.

Raro, Não Aleatório: Usando a Eficiência de Token para Varredura de Secrets

A entropia frequentemente tem dificuldades com Secrets genéricos e strings curtas. Analisamos como a eficiência de token pode identificar melhor strings que não se parecem com texto normal.

A entropia é ótima para detectar aleatoriedade. Mas Secrets nem sempre são aleatórios. São apenas strings que não aparecem em código ou texto normal. Exploramos o uso da tokenização BPE para medir essa diferença.

Por que o Determinismo Ainda é uma Necessidade na Segurança

A varredura de IA encontra o que as regras perdem. A varredura determinística encontra sempre. Veja por que os melhores pipelines de segurança não escolhem entre eles.

Ferramentas de segurança baseadas em IA estão melhorando na detecção de vulnerabilidades. Mas as ferramentas determinísticas oferecem a consistência da qual pipelines, conformidade e trilhas de auditoria dependem. Analisamos o que a varredura determinística faz bem, onde a IA assume o controle e como as duas trabalham juntas para uma segurança eficaz.

Engenharia

WAF vs. RASP vs. ADR

WAF vs. RASP vs. ADR: Como a Segurança de Aplicações em Runtime Funciona

WAF, RASP e ADR protegem seu aplicativo de maneiras completamente diferentes. Veja o que cada camada realmente faz, onde ela falha e quais você precisa.

WAF, RASP, ADR, eBPF — Estamos esclarecendo a terminologia em torno da segurança de aplicações em runtime. Veja o que cada camada realmente faz, como elas se sobrepõem e como se encaixam.

Guias

Apresentando Aikido Infinite: Um novo modelo de software de auto-segurança

Aikido Infinite: Pentest de IA Contínuo para Cada Lançamento

O Aikido Infinite executa pentest de IA a cada alteração de código, valida a explorabilidade, gera patches e retesta as correções antes que o código chegue à produção, tornando o software autoprotegido uma realidade.

XSS/RCE persistente usando WebSockets no servidor de desenvolvimento do Storybook

XSS/RCE Persistente usando WebSockets no Storybook (CVE-2026-27148)

CVE-2026-27148 expõe uma falha de sequestro de WebSocket no Storybook que pode escalar para um comprometimento da cadeia de suprimentos. Saiba o caminho do ataque, o impacto e como remediar.

Aikido Attack encontrou uma vulnerabilidade de sequestro de WebSocket no servidor de desenvolvimento do Storybook que pode levar a XSS persistente, execução remota de código e, no pior dos casos, comprometimento da cadeia de suprimentos. Detalhamos como um atacante pode explorar isso sem nenhuma interação do usuário, e um desenvolvedor só precisa visitar o site errado para cair neste ataque.

Como a Aikido protege agentes de pentest de IA por design

Como a Aikido Protege Agentes de Pentest de IA e Previne o Desvio de Escopo

Saiba como a Aikido protege agentes de pentest de IA com isolamento arquitetural, imposição de escopo em tempo de execução e controles em nível de rede para prevenir o desvio de produção e vazamento de dados.

Agentes de IA são projetados para explorar. Em cibersegurança, essa exploração precisa de limites rigorosos. Este artigo explica como a Aikido protege agentes de pentest de IA através de isolamento arquitetural, imposição de escopo em tempo de execução e controles em camadas que contêm o risco por design.

SSRF de Leitura Completa no Astro via Injeção de Cabeçalho Host

Vulnerabilidade SSRF no Astro: Injeção de Cabeçalho Host em Páginas de Erro SSR (CVE-2026-25545)

O agente de pentest de IA da Aikido Security descobriu uma vulnerabilidade de Server-Side Request Forgery na implementação SSR do Astro. Saiba como a injeção de cabeçalho Host em páginas de erro pré-renderizadas permitiu acesso total à rede interna.

O agente de pentest de IA do Aikido descobriu uma vulnerabilidade SSRF no adaptador Node.js do Astro. Analisaremos como, ao injetar um cabeçalho Host: malicioso, os atacantes poderiam redirecionar uma requisição interna para qualquer URL na rede local.

Como Fazer Seu Conselho Se Importar com a Segurança (Antes que uma Violação Force a Questão)

Como Fazer Seu Conselho Se Importar com a Segurança Antes de uma Violação

Conselhos não financiam segurança porque é importante. Eles financiam decisões defensáveis. Veja como enquadrar o risco, reduzir a ambiguidade e obter apoio real antes que uma violação force a questão.

Guias

O que é Slopsquatting? O Ataque de Alucinação de Pacotes por IA Já Está Acontecendo

Slopsquatting: O Ataque de Alucinação de Pacotes por IA Já Está Acontecendo

Modelos de IA alucinam nomes de pacotes npm. Atacantes os registram primeiro. Veja o que é slopsquatting, como ele está se espalhando através de habilidades de agente e como se proteger.

Modelos de IA alucinam nomes de pacotes — e atacantes os estão registrando antes que alguém perceba. Slopsquatting é a evolução do typosquatting na era da IA e, ao contrário de seu predecessor, as proteções existentes do npm não funcionam. Analisamos a pesquisa do mundo real que mostra que isso já está acontecendo, desde pacotes maliciosos confirmados que ainda geram centenas de downloads semanais até um nome de pacote alucinado que se espalhou para 237 repositórios através de arquivos de habilidades de agente de IA.

As 6 Melhores Alternativas ao Wiz Code

Alternativas ao Wiz Code (2026): 6 Ferramentas Comparadas e Melhor Opção de Segurança Voltada para o Desenvolvedor

Procurando alternativas ao Wiz Code? Compare 6 ferramentas em SAST, DAST, SCA, precificação e experiência do desenvolvedor para encontrar a melhor plataforma AppSec para 2026.

Este guia compara o Wiz Code com seis alternativas: Aikido Security, Snyk, Checkmarx, GitHub Advanced Security, Mend e Veracode, avaliadas em cobertura, experiência do desenvolvedor, triagem com IA, transparência de preços e velocidade de implantação. A Aikido Security se destaca para equipes que buscam uma plataforma de segurança voltada para o desenvolvedor com ampla cobertura, redução de 85% de falsos positivos, AI AutoFix em SAST, IaC e contêineres, DAST nativo e precificação transparente a aproximadamente um décimo do custo do Wiz.

Aikido reconhecido como Líder de Plataforma no Relatório de Segurança de Aplicações 2026 da Latio Tech

Aikido Nomeado Líder de Plataforma AppSec no Relatório Latio 2026

Aikido Security reconhecido como Líder de Plataforma, Inovador em pentest de IA e Inovador em Cadeia de Suprimentos no Relatório AppSec 2026 da Latio Tech.

O Relatório AppSec 2026 da Latio Tech nomeia a Aikido como Líder de Plataforma e Inovadora em IA. Aqui está o que o relatório revela sobre o futuro da segurança de aplicações.

Da detecção à prevenção: Como o Zen impede vulnerabilidades IDOR em tempo de execução

Da Detecção à Prevenção: Zen Impede IDOR em Tempo de Execução | Aikido

As vulnerabilidades IDOR são uma das causas mais comuns de vazamentos de dados entre tenants em SaaS multi-tenant. Saiba como o Zen impõe o isolamento de tenants em tempo de execução, analisando consultas SQL e prevenindo acessos inseguros antes da implantação.

Vulnerabilidades IDOR são uma das principais causas de vazamentos de dados entre tenants em aplicações multi-tenant. Neste post, explicamos como o Zen vai além da detecção e impõe o isolamento de tenants em tempo de execução, tornando o acesso entre tenants impossível de ser enviado por acidente.

Backdoor npm permite que hackers sequestrem resultados de jogos de azar

Ataque à cadeia de suprimentos npm sequestra backend de jogo para manipular resultados de jogos de azar

Um ataque direcionado à cadeia de suprimentos npm instala um backdoor Express, permite acesso remoto a SQL/arquivos e reescreve saldos de jogos de azar, mantendo os logs consistentes.

Descobrimos pacotes npm maliciosos que podem modificar transações de jogos de azar em produção e manter o banco de dados internamente consistente depois.

Por que tentar proteger o OpenClaw é ridículo

Problemas de segurança do OpenClaw explicados: malware no ClawHub, instâncias expostas e por que os guias de hardening perdem o foco. Você consegue usar o agente de IA com segurança??

Apresentando a Análise de Impacto de Upgrade: Quando as breaking changes realmente importam para o seu código

Análise de Impacto de Upgrade: Quando as Breaking Changes Realmente Importam | Aikido

O Aikido detecta automaticamente breaking changes em upgrades de dependências e analisa sua base de código para mostrar o impacto real, permitindo que as equipes mesclem correções de segurança com segurança.

A Análise de Impacto de Upgrade da Aikido sinaliza mudanças disruptivas em atualizações de dependência e mostra se essas mudanças realmente impactam seu código.

Claude Opus 4.6 encontrou 500 vulnerabilidades. O que isso muda para a segurança de software?

Claude Opus 4.6 Encontrou 500 Vulnerabilidades: O Que Isso Significa para a Segurança de Software

A Anthropic afirma que o Claude Opus 4.6 descobriu mais de 500 vulnerabilidades de alta gravidade em código aberto. Veja o que isso significa para a descoberta de vulnerabilidades, validação de explorabilidade e fluxos de trabalho de segurança em produção.

Claude Opus 4.6 supostamente encontrou mais de 500 vulnerabilidades de alta gravidade em código aberto. Este artigo examina o que isso realmente muda em produção, onde o raciocínio de LLM ajuda, e por que a validação e a alcançabilidade ainda determinam o impacto real na segurança.

Apresentando os Aikido Expansion Packs: Padrões mais seguros dentro da IDE

Aikido Expansion Packs: Padrões Mais Seguros Dentro da IDE

Os Aikido Expansion Packs adicionam controles de segurança focados diretamente dentro da sua IDE. Habilite a proteção de Secrets, verificações de malware na cadeia de suprimentos e segurança de código assistida por IA sem alterar os fluxos de trabalho dos desenvolvedores.

Relatório Internacional de Segurança de IA 2026: O que isso significa para Sistemas de IA Autônomos

Relatório Internacional de Segurança de IA 2026: Análise da Aikido Security

A análise da Aikido Security sobre o Relatório Internacional de Segurança de IA 2026. Examinamos os controles em tempo de implantação, os requisitos de validação e as linhas de base de segurança práticas para sistemas de IA autônomos.

Mais de 100 especialistas contribuíram para o Relatório Internacional de Segurança de IA 2026, documentando riscos de sistemas de IA autônomos e propondo frameworks de defesa em profundidade. Como uma equipe que opera sistemas de pentest de IA em produção, detalhamos onde o relatório acerta e onde ele precisa de mais especificidade técnica.

Software Auto-Seguro: O Que É, Por Que Importa e Como Funciona

O Que É Software Auto-seguro? Um Novo Modelo de Segurança para Software Moderno

Software de auto-proteção é um modelo de segurança onde os sistemas validam e corrigem continuamente riscos reais à medida que mudam. Entenda por que testes periódicos não são mais escaláveis.

Software de auto-proteção trata a segurança como uma capacidade intrínseca do sistema, e não como um processo periódico. Este artigo explica por que o software moderno exige um novo modelo de segurança e o que o torna possível hoje.

SDLC Seguro para Equipes de Engenharia (+ Checklist)

SDLC Seguro Explicado: Os 5 Pilares de um Ciclo de Vida de Desenvolvimento de Software Seguro

Entenda o que é um SDLC Seguro, por que ele é importante e os cinco pilares que toda equipe precisa. Inclui um checklist prático de SDLC Seguro para CTOs e líderes de engenharia.

As 10 Melhores Ferramentas de Segurança de IA Para 2026

As 10 Melhores Ferramentas de Segurança de IA para 2026: Recursos, Vantagens e Comparações

Explore as principais ferramentas de segurança de IA para 2026. Compare plataformas para revisão de código com IA, detecção de vulnerabilidades, pentesting e gerenciamento de riscos para proteger aplicações modernas.

As 10 Melhores Ferramentas de Cibersegurança Para 2026

As 10 Melhores Ferramentas de Cibersegurança para 2026: Detecção, Cloud, XDR & AppSec

Uma análise prática das 10 principais ferramentas de cibersegurança para 2026, abrangendo endpoint, Cloud, identidade, gerenciamento de vulnerabilidades e XDR. Saiba como escolher a ferramenta certa para sua stack e perfil de risco.

O Que é Pentest Contínuo?

O Que é Pentest Contínuo? Como Equipes Modernas Reduzem o Risco Explorável

O pentest contínuo testa automaticamente caminhos de ataque reais toda vez que o software muda, validando e corrigindo problemas como parte do ciclo de vida de desenvolvimento. Saiba como ele se compara ao pentest de IA e manual.

O pentest contínuo trata a segurança como um sistema vivo, não como um teste único. Saiba como as equipes modernas o utilizam para reduzir o risco explorável à medida que o software muda.

Confusão com npx: Pacotes que Esqueceram de Reivindicar Seus Próprios Nomes

Reivindicamos 128 nomes de pacotes npm não reivindicados que documentações oficiais instruíam os desenvolvedores a usar npx. Sete meses depois: 121.000 downloads. Todos teriam executado código arbitrário.

A documentação oficial instrui os desenvolvedores a executar `npx package-name`. Mas e se ninguém reivindicou esse nome? Registramos 128 deles e observamos. 121.000 downloads em sete meses. A queda durante o feriado prova que são desenvolvedores reais, não bots.

Apresentando Aikido Package Health: uma Maneira Melhor de Confiar em Suas Dependências

Aikido Package Health: Health Score para Pacotes Open Source

Veja o quão estável e bem-mantido um pacote open source realmente é. O Aikido Package Health ajuda desenvolvedores a escolher dependências mais seguras com confiança.

Pentest de IA: Requisitos Mínimos de Segurança para Testes de Segurança

Quando o Pentest de IA é Seguro? Requisitos Mínimos de Segurança para Testes de Segurança

Sistemas de pentest de IA agem autonomamente em ambientes de produção. Saiba quando o pentest de IA é seguro para usar, as salvaguardas técnicas mínimas necessárias e como avaliar ferramentas de teste de segurança de IA de forma responsável.

O pentest de IA já está aqui, mas as expectativas claras de segurança não. Este artigo define um padrão mínimo de segurança para pentest de IA, dando às equipes uma base concreta para avaliar ferramentas emergentes.

Extensão Falsa do Clawdbot para VS Code Instala ScreenConnect RAT

Uma extensão maliciosa do VS Code, personificando o Clawdbot, está instalando o ScreenConnect RAT em máquinas de desenvolvedores.

Obrigado! Seu envio foi recebido!

Ops! Algo deu errado ao enviar o formulário.

12 de junho de 2023

•

Guias e Melhores Práticas

Como Fechar Negócios Mais Rápido com um Relatório de Avaliação de Segurança

Tags/

#AppSec

#DevSecOps

5 de junho de 2023

•

Guias

Automatize o Gerenciamento de Vulnerabilidades Técnicas [SOC 2]

Como alcançar a conformidade sem sobrecarregar sua equipe de desenvolvimento

Tags/

Nenhum item encontrado.

1º de junho de 2023

•

Guias e Melhores Práticas

Prevenindo a poluição de protótipos em seu repositório

Tags/

#AppSec

16 de maio de 2023

•

Guias

Como um CTO de startup SaaS equilibra velocidade de desenvolvimento e segurança?

Tags/

Nenhum item encontrado.

10 de abril de 2023

•

Engenharia

Como a Cloud de uma startup foi comprometida por um formulário simples de envio de e-mails

Como a Cloud de uma startup foi comprometida por um formulário simples que envia um e-mail

Tags/

#AWS

#SSRF

#IMDSv1

#Cloud

#IMDSv2

19 de janeiro de 2023

•

Atualizações de Produto e da Empresa

Aikido Security levanta €2 milhões em rodada pré-seed para construir uma plataforma de segurança de software developer-first

A startup SaaS belga Aikido Security levantou €2 milhões em financiamento pré-seed de renomados investidores anjo que apoiam sua missão de simplificar a segurança de software para desenvolvedores.

Tags/

#AppSec

#Vulnerabilidades

•

Vulnerabilidades e Ameaças

Roundcube XSS encadeado com cookie tossing para acesso total à caixa de entrada

Tags/

Nenhum item encontrado.

12 de maio de 2026

•

Atualizações de Produto e da Empresa

Um ano de Opengrep: O que construímos e o que vem a seguir

Um ano após o fork do Semgrep, o Opengrep está mais rápido, suporta análise de taint mais profunda e produz resultados consistentes e reproduzíveis.

SAST

open source

30 de abril de 2026

•

Atualizações de Produto e da Empresa

Aikido se integra com AWS Kiro: Detectar em revisão não escala mais

Anúncios

24 de março de 2026

•

Atualizações de Produto e da Empresa

Aikido × Lovable: Vibe, Fix, Ship

Lovable e Aikido trazem o pentest para a plataforma, permitindo que desenvolvedores simulem ataques do mundo real e corrijam problemas antes do lançamento.

Anúncios

Pentest com IA

16 de junho de 2026

•

Vulnerabilidades e Ameaças

Vários plugins para IDEs da JetBrains foram apanhados a roubar chaves de IA

Malware

10 de junho de 2026

•

Vulnerabilidades e Ameaças

Vulnerabilidade crítica de 10 anos no phpBB afetando dezenas de milhões de usuários em milhares de fóruns

Pentest com IA

9 de junho de 2026

•

Vulnerabilidades e Ameaças

Espere, binding.gyp pode fazer o quê? Explorando o sistema de build mais estranho do npm

Malware

19 de agosto de 2025

•

Ferramentas DevSec e Comparações

As 13 melhores ferramentas Testes Dinâmicos de Segurança de Aplicações (ou Testes de Segurança em Tempo de Execução) DAST) em 2026

Descubra as 13 melhores ferramentas Testes Dinâmicos de Segurança de Aplicações (ou Testes de Segurança em Tempo de Execução) DAST) em 2026. Compare funcionalidades, vantagens, desvantagens e integrações para escolher a DAST mais adequada para DevSecOps seu DevSecOps .

Ferramentas

DAST

18 de julho de 2025

•

Ferramentas DevSec e Comparações

As 14 Melhores Ferramentas de Container Scanning em 2026

Descubra as 14 melhores ferramentas de Container Scanning em 2026. Compare recursos, prós, contras e integrações para escolher a solução certa para seu pipeline de DevSecOps.

Ferramentas

Varredura de Container

17 de julho de 2025

•

Ferramentas DevSec e Comparações

As 10 Melhores Ferramentas de Análise de Composição de Software (SCA) em 2026

As ferramentas SCA são nossa melhor linha de defesa para a segurança de código aberto; este artigo explora os 10 principais scanners de dependências de código aberto para 2026.

Ferramentas

SCA