A Rust Foundation abriu uma vaga full-time de "AI Security Engineer in Residence", bancada por verba do Alpha-Omega Project, para revisar o compilador Rust e os crates mais críticos do ecossistema. A iniciativa responde a um problema crescente: ferramentas baseadas em modelos de linguagem passaram a gerar tanto achados reais de vulnerabilidades quanto uma enxurrada de relatórios plausíveis, porém inúteis, sobrecarregando mantenedores voluntários. O profissional vai combinar revisão humana e assistida por IA para separar sinal de ruído, documentando métodos e playbooks para o resto da comunidade.
Fonte ↗O Bundler, gerenciador de pacotes do Ruby, ganhou um filtro opcional de "cooldown" que adia a instalação de versões recém-publicadas de gems até que fiquem públicas por um número mínimo de dias, reduzindo a janela usada em ataques de supply chain. A medida se soma a outras defesas do RubyGems.org, como validação de conteúdo no momento do push, checagem de senhas vazadas via Have I Been Pwned e publicação confiável. O material também cita que uma equipe dedicada já roda varredura de vulnerabilidades assistida por IA nas gems mais críticas do ecossistema, com apoio do Alpha-Omega Project e da Anthropic.
Fonte ↗Um dos coordenadores da categoria ASI06 (Memory & Context Poisoning) do OWASP Top 10 for Agentic Applications detalha por que agentes que preservam memória e contexto entre sessões abrem uma nova classe de risco. Conteúdo malicioso injetado numa interação pode ser "lembrado" e reaproveitado em ações futuras do agente, transformando um prompt injection pontual em comprometimento persistente. O texto argumenta que recursos de memória, pensados para tornar agentes mais úteis, precisam de isolamento de confiança e validação de origem para não virarem vetor permanente de ataque.
Fonte ↗A OWASP GenAI Security Project publicou o FinBot, um ambiente de CTF (capture-the-flag) que simula uma aplicação financeira com múltiplos agentes e acesso real a ferramentas, descrito como o "Juice Shop" da IA agêntica. A proposta é dar a desenvolvedores e profissionais de segurança um espaço prático para explorar riscos como abuso de ferramentas, escalonamento entre agentes e manipulação de contexto, complementando o material teórico já publicado pelo projeto. Por ser hands-on e multiagente, o desafio ajuda equipes de red team e blue team a validar controles antes de enfrentar cenários reais de produção.
Fonte ↗O OWASP GenAI Security Project consolidou os principais incidentes de segurança que envolveram ou tiveram como alvo sistemas de IA generativa entre janeiro e abril de 2026. O relatório não é exaustivo, mas reúne casos documentados publicamente com impacto e vetor de ataque, servindo como termômetro de tendências reais de ataques contra ou por meio de IA. É a continuação de uma série trimestral que a organização mantém desde 2025.
Fonte ↗A ferramenta de código aberto que gera um "AI Bill of Materials" (AIBOM) para modelos hospedados no Hugging Face - listando componentes, dependências e proveniência de cada modelo - passou a ser mantida oficialmente pela OWASP. O objetivo do AIBOM é dar a equipes de segurança e compliance visibilidade sobre o que compõe um modelo de IA antes de integrá-lo a um pipeline, de forma análoga ao que um SBOM faz para software tradicional, ajudando a identificar componentes vulneráveis ou não confiáveis na cadeia de suprimentos de IA.
Fonte ↗A OWASP GenAI Security Project lançou o "Top 10 for Agentic Applications", framework que cataloga os principais riscos de sistemas de IA autônomos que usam ferramentas e agem no mundo real. O documento foi construído a partir de incidentes reais e da colaboração de mais de 100 especialistas do setor, oferecendo a times de segurança um vocabulário comum e prioridades concretas de mitigação diante da adoção acelerada de agentes de IA.
Fonte ↗Em comunicado complementar ao lançamento do framework, a OWASP GenAI Security Project detalhou os dez principais riscos identificados para aplicações de IA agêntica e as mitigações recomendadas para cada um, fruto de mais de 100 contribuições de líderes da indústria. O material orienta arquitetos e equipes de segurança na avaliação de agentes que interagem com sistemas externos, cobrindo desde abuso de ferramentas até falhas de isolamento entre agentes.
Fonte ↗A taxonomia "Agentic AI - Threats and Mitigations", da iniciativa OWASP ASI, está sendo incorporada por ferramentas como PENSAR, SPLX.AI Agentic Radar e AI&ME para testar e proteger sistemas agênticos multiagente com acesso real a ferramentas. O artigo mostra como esse vocabulário comum de ameaças deixou de ser apenas teórico e passou a embasar avaliações práticas de risco - como abuso de ferramentas e escalonamento entre agentes - feitas por equipes de red team e de defesa, além de alimentar o que viria a ser o Top 10 for Agentic AI.
Fonte ↗Edição do relatório trimestral do OWASP GenAI Security Project que documenta exploits e incidentes reais ocorridos entre março e junho de 2025 envolvendo ou visando sistemas de IA generativa. Cada caso é resumido com seu impacto e contexto, funcionando como registro histórico de ataques reais para orientar equipes de segurança sobre padrões recorrentes de abuso de IA.
Fonte ↗