Login Inscreva-se
Newsletter

Pacific News #273: O Astronauta de Mármore

Pacific News #273: O Astronauta de Mármore

Assunto do momento: O Google Chrome está instalando uma IA de 4GB em seu dispositivo – sem você saber.

O que aconteceu?  De acordo com Alexander Hanff, pesquisador de segurança, o Google Chrome está, silenciosamente, instalando uma IA de 4GB em seu dispositivo sem o seu consentimento. 

Por que isso importa? O Google Chrome é o navegador mais utilizado no mundo, ocupando cerca de 70% dos dispositivos. A prática instaurada pelo Google implica na instalação de uma IA de 4GB no dispositivo de bilhões de pessoas sem a sua permissão. E caso o usuário delete esse arquivo, o Chrome faz seu download novamente. 

O cenário geral: O arquivo escrito em disco chama-se “weights.bin” e compõe parte da IA “on-device”, baseado no modelo Gemini Nano. Seu download começa automaticamente quando o sistema cumpre os requisitos mínimos de hardware. 

O grande problema: Para Hanff, a prática do Google não oferecer um prompt pedindo consentimento para instalar esse arquivo e restaurando o arquivo em caso de remoção  é parte central do problema. 

Como desativar? Para coibir a instalação desses arquivos, os usuários devem acessar o diretório “chrome://flags”, localizar a flag "Optimization Guide On-device Model", desativá-la e reiniciar o Chrome.

Milhares de aplicativos Vibe-coded expõem dados corporativos e pessoais na web

O que aconteceu? Pesquisa realizada pela empresa de cibersegurança RedAccess descobriu que mais de 5.000 aplicativos web criados com o auxílio de ferramentas de desenvolvimento de software com IA, como Lovable, Replit, Base44 e Netlify não possuíam praticamente nenhum tipo de segurança ou autenticação.

Por que isso importa? Este é um dos maiores eventos de todos os tempos em que pessoas estão expondo informações corporativas ou outras informações confidenciais para qualquer pessoa no mundo.

O impacto: Segundo o pesquisador Dor Zvi, cerca de 40% dos aplicativos expunham dados sensíveis, incluindo informações médicas, dados financeiros, apresentações corporativas e documentos de estratégia, bem como registros detalhados de conversas de clientes com chatbots. 

Saiba mais: “Qualquer pessoa da sua empresa pode gerar um aplicativo a qualquer momento, sem passar por nenhum ciclo de desenvolvimento ou verificação de segurança”, diz Zvi. “As pessoas podem simplesmente começar a usá-lo em produção sem pedir permissão a ninguém. E elas usam.”

Papo Rápido

@Ataques

Uma versão falsa do site do Claude AI está entregando um backdoor para Windows chamado “Beagle”. Ao visitar o site, o usuário é encorajado a baixar o “Claude-Pro Relay”, mas que, na realidade, instala o malware na máquina da vítima. (BleepingComputer)

Palo Alto Networks emitiu um alerta sobre uma falha crítica (CVE-2026-0300) não corrigida no Portal de Autenticação User-ID do PAN-OS, que está sendo explorada em ataques. Trata-se de um bug de dia zero causado por estouro de buffer que permite invasores não autenticados executar código arbitrário com privilégios de root em firewalls PA-Series e VM-Series expostos à internet. (Unit42)

@Patches

Uma falha de heap buffer overflow no MariaDB (CVE-2026-32710) permite que qualquer usuário autenticado execute comandos arbitrários no sistema operacional do servidor com uma única instrução SQL. A vulnerabilidade já tem patches disponíveis nas versões 11.4.10 e 11.8.6. Se você roda MariaDB em produção, atualize agora.  (ZeroDay)

A Cisco corrigiu duas falhas de alta severidade, CVE-2026-20034 e CVE-2026-20035, que poderiam levar a ataques de falsificação de requisição do lado do servidor (SSRF), no Cisco Unity Connection. (SecurityWeek)

@Mundo

A Índia, através do seu Conselho de Valores Mobiliários, recomendou que empresas de investimentos e ações no país revisem todas as suas práticas de cibersegurança, como garantindo atualizações em dia, conduzindo auditorias de segurança e estabelecendo serviços sérios de SOC. Tudo em preparação para uma possível enxurrada de ciberataques motivados pelo Anthropic Mythos.  (TheRegister)

A startup de avaliação de IA, Braintrust, sofreu um incidente onde foi identificado o acesso não autorizado a uma de suas contas da AWS, que continha chaves de API usadas pelos clientes para acessar modelos de IA baseados em nuvem. A empresa solicitou que todos seus clientes rotacionassem quaisquer chaves de API que armazenassem com a Braintrust. (TechCrunch)

Quer saber mais? Siga-nos nas redes sociais: LinkedinInstagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!

Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!

Escrito por: Thaís Hudari AbibMurilo Lopes e Cíntia Baltar
Arte: George Lopes e Anselmo Costa

Veja mais