A Rust Foundation abriu uma vaga full-time de "AI Security Engineer in Residence", bancada por verba do Alpha-Omega Project, para revisar o compilador Rust e os crates mais críticos do ecossistema. A iniciativa responde a um problema crescente: ferramentas baseadas em modelos de linguagem passaram a gerar tanto achados reais de vulnerabilidades quanto uma enxurrada de relatórios plausíveis, porém inúteis, sobrecarregando mantenedores voluntários. O profissional vai combinar revisão humana e assistida por IA para separar sinal de ruído, documentando métodos e playbooks para o resto da comunidade.
Fonte ↗A Microsoft desativou mais de 70 repositórios próprios no GitHub, entre eles os de Azure Functions e Durable Task, depois que pesquisadores identificaram um commit malicioso que plantava arquivos de configuração armadilhados. Esses arquivos eram acionados ao abrir o repositório em ferramentas de codificação com IA como Claude Code, Gemini CLI, Cursor e VS Code, capturando credenciais das vítimas. O caso expõe um vetor de ataque à cadeia de suprimentos voltado especificamente a fluxos de trabalho de agentes de codificação assistidos por IA; a Microsoft diz ter notificado os clientes potencialmente afetados.
Fonte ↗O Bundler, gerenciador de pacotes do Ruby, ganhou um filtro opcional de "cooldown" que adia a instalação de versões recém-publicadas de gems até que fiquem públicas por um número mínimo de dias, reduzindo a janela usada em ataques de supply chain. A medida se soma a outras defesas do RubyGems.org, como validação de conteúdo no momento do push, checagem de senhas vazadas via Have I Been Pwned e publicação confiável. O material também cita que uma equipe dedicada já roda varredura de vulnerabilidades assistida por IA nas gems mais críticas do ecossistema, com apoio do Alpha-Omega Project e da Anthropic.
Fonte ↗A ferramenta de código aberto que gera um "AI Bill of Materials" (AIBOM) para modelos hospedados no Hugging Face - listando componentes, dependências e proveniência de cada modelo - passou a ser mantida oficialmente pela OWASP. O objetivo do AIBOM é dar a equipes de segurança e compliance visibilidade sobre o que compõe um modelo de IA antes de integrá-lo a um pipeline, de forma análoga ao que um SBOM faz para software tradicional, ajudando a identificar componentes vulneráveis ou não confiáveis na cadeia de suprimentos de IA.
Fonte ↗