GitLab Lança Atualização de Segurança para Corrigir XSS e DoS em Instâncias
GitLab corrige 15 vulnerabilidades, incluindo XSS crítico e DoS em APIs. Versões 18.9.2, 18.8.6 e 18.7.6 disponíveis. Instâncias auto-gerenciadas devem atualizar.
Tag
Tag: devsecops
52 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a devsecops.
Google suspende usuários do OpenClaw por abuso de tokens OAuth na Antigravity AI
O Google suspendeu o acesso de milhares de desenvolvedores que usavam a ferramenta OpenClaw para acessar tokens subsidiados de IA em sua plataforma Antigravity, citando violação de termos e degradação de serviço. A ação gerou protestos e expôs vulnerabilidades no ecossistema de agentes de IA de código aberto.
Token npm da ferramenta de IA Cline é comprometido em ataque à cadeia de suprimentos
Um token de publicação npm da ferramenta de IA para desenvolvedores Cline foi comprometido, permitindo que atacantes publicassem uma versão maliciosa por 8 horas. O ataque injetou um script para instalar um pacote não autorizado, destacando riscos na cadeia de suprimentos de desenvolvimento.
GitGuardian capta US$50M para governança de identidades não‑humanas e segurança de agentes de IA
GitGuardian captou US$50 milhões em rodada Series C liderada por Insight Partners para ampliar plataforma de proteção de segredos e governança de identidades não‑humanas (NHIs). A empresa cita 115k+ desenvolvedores protegidos, 610k repositórios monitorados e prioriza segurança de agentes de IA, governança em escala e expansão geográfica.
Apps de treino expostos permitem cryptomining em clouds da Fortune 500
Implantações de aplicações de treino deliberadamente vulneráveis em contas cloud corporativas foram abusadas para cryptomining. Risco decorre da falta de segregação, permissões excessivas e exposição pública. Recomenda‑se segregar ambientes, limitar IAM e monitorar anomalias de custo e uso.
ZAST.AI capta US$6 milhões em rodada Pre‑A para escalar análise de segurança de código com IA
A ZAST.AI levantou US$6 milhões em Pre‑A liderada pela Hillhouse Capital para escalar uma solução de IA que reduz falsos positivos em análise de código. Comunicado não detalha clientes ou métricas técnicas.
CISA confirma exploração de falha de command‑injection no React Native CLI
A CISA incluiu CVE‑2025‑11953 no seu catálogo KEV: trata‑se de uma injeção de comandos no React Native Community CLI em exploração ativa. O vetor atinge servidores Metro expostos e permite execução remota de comandos; há prazo federal para correção. Recomenda‑se patch imediato, bloqueio de portas (8081) e caça via EDR.
Plataforma agentic AI 'Moltbook' expõe dados via API pública
A plataforma agentic AI 'Moltbook' expôs toda sua base de dados por uma API pública sem autenticação. A cobertura indica que todos os dados estavam acessíveis, mas não detalha número de usuários afetados, tipos de dados expostos nem se houve exploração ativa. Falta identificação do operador e medidas corretivas públicas.
Configurações do VS Code expõem GitHub Codespaces a ataques
Relatos técnicos mostram que configurações do VS Code são executadas automaticamente em GitHub Codespaces ao abrir repositórios ou PRs, criando risco de execução de código malicioso. Recomendações incluem revisar devcontainer e desabilitar execução automática em ambientes gerenciados.
Eclipse impõe checagens de segurança para extensões no Open VSX
A Eclipse Foundation anunciou que exigirá verificações de segurança antes da publicação de extensões no Open VSX Registry para reduzir riscos na cadeia de suprimentos. O movimento é descrito como uma mudança proativa, mas o comunicado não traz detalhes sobre quais verificações serão aplicadas, cronograma ou impacto retroativo — informações que são essenciais para desenvolvedores e times de segurança.