-
Trail of Bits
23/04/2026 12:00
A open-source Trailmark traz uma novidade interessante ao converter código fonte em gráficos de chamadas, permitindo uma análise muito mais rica. Como eles disseram, "Defensores pensam em listas. Atacantes pensam em gráficos." Isso é perfeito para evitar que os desenvolvedores fiquem perdidos em listas enormes de mutantes que não ajudam muito na prática. Agora dá para visualizar a superfície de ataque em um gráfico e já imaginar as falhas como uma cena de um filme de terror, onde o vilão está sempre mais perto do que parece. E olha que suporta 17 linguagens!
-
Trail of Bits
17/04/2026 11:00
Parece que a competição entre Google e Trail of Bits está mais acirrada do que um duelo entre Jedi. Recentemente, a Google publicou uma prova de conhecimento nulo que prometia quebrar a criptografia de curva elíptica em apenas 9 minutos com computadores quânticos de primeira geração. A Trail of Bits chegou com uma prova que não só melhora os números, mas também revela algumas vulnerabilidades sutis na implementação da Google. "Nosso resultado não é fruto de um avanço quântico, mas da exploração de múltiplas vulnerabilidades de segurança e lógica..." É sempre bom lembrar que até as gigantes da tecnologia podem escorregar, então, das duas uma: ou estamos prontos para uma revolução quântica ou só precisamos de um bom debugger em Rust.
-
Trail of Bits
09/04/2026 11:00
Um novo capítulo foi adicionado ao Manual de Testes, focando em um checklist de segurança para códigos em C e C++. Ele organiza "uma ampla gama de classes de bugs comuns, armadilhas conhecidas e pegadinhas de APIs" que todo desenvolvedor deve conhecer. E se você ama LLMs, prepare-se: um skill baseado nesse capítulo vai ajudar a encontrar bugs automaticamente. Certamente, uma boa ajuda para evitar que seu código se transforme em um bug de produção.
-
Trail of Bits
07/04/2026 11:00
A nova funcionalidade de "Inferência Privada" do WhatsApp tenta juntar a criptografia ponta a ponta com a inteligência artificial, mas, claro, não há almoço grátis no mundo digital. O sistema usa ambientes de execução confiáveis (TEEs), que poderiam ser vistos como o cofre de um banco, mas nossa auditoria revelou que ele tinha algumas trincas. Como o relatório indicou, "nunca confie em dados fora da sua medição"; essa lição vale ouro quando falamos da privacidade dos usuários. É uma boa lembrança de que, mesmo nas melhores intenções, o software precisa de verificações robustas—porque se não, é como deixar a porta do servidor aberta e pedir para o hacker entrar com um convite.
-
Trail of Bits
03/04/2026 11:00
A ofuscação Mixed Boolean-Arithmetic (MBA) tem sido um verdadeiro labirinto para quem tenta entender operações simples como x + y, mas agora a CoBRA apareceu como um super-herói com sua capa de código aberto. O que impressiona é que ela simplifica 99,86% de mais de 73 mil expressões, tornando a vida de analistas de malware e engenheiros de segurança bem mais fácil. "Se você já enfrentou a ofuscação MBA durante a análise de malware, o CoBRA traz de volta expressões legíveis" — sinceramente, isso é mais útil que aquele coffee break cheio de conversas sobre APIs que nunca saem do papel.
-
Trail of Bits
01/04/2026 11:00
O texto destaca que "a cobertura de código é uma das métricas de qualidade mais perigosas" no teste de software, e isso é crucial para todos os devs que acham que uma alta porcentagem de cobertura é sinônimo de qualidade. Os novos tools MuTON e mewt prometem corrigir as deficiências do passado, trazendo testes de mutação para o blockchain com suporte para várias linguagens. Afinal, quem nunca se perdeu em um código que passava em testes, mas ainda tinha bugs ocultos? Mutation testing é como o Yoda do mundo dos testes: pode ser nerd, mas é extremamente eficaz em te ensinar a evitar a tentação de confiar apenas na cobertura de código.
-
Trail of Bits
31/03/2026 11:00
A iniciativa da Trail of Bits em se tornar "AI-native" é interessante, especialmente considerando que muitos ainda estão presos no modo "AI-assisted". A diferença é clara: enquanto um usa ferramentas como ChatGPT para agilizar tarefas, o outro repensa completamente os processos para integrar a IA como parte da equipe. Esse "gap" é onde as coisas podem ficar complicadas. A resistência que o autor menciona é um lembrete de que, muitas vezes, o problema não está na tecnologia, mas na mentalidade das pessoas sobre como trabalhá-la. Vamos ver se eles conseguem converter os 95% resistentes em evangelizadores da IA.
-
Trail of Bits
25/03/2026 11:00
O novo plugin de análise dimensional para o Claude promete revolucionar a maneira como auditamos código. Ao invés de apenas procurar bugs, ele "anota seu código com tipos dimensionais" e aponta as discrepâncias de forma mais precisa, alcançando 93% de recall. É como se estivéssemos usando um Jedi para catalogar nossos seres de código em vez de esperar que eles lutem contra o Império das vulnerabilidades. Vale a pena dar uma olhada, especialmente se você já está cansado de resultados medíocres dos métodos tradicionais.
-
Trail of Bits
24/03/2026 11:00
A análise dimensional pode ser a chave para evitar uma falha comum em fórmulas de DeFi, funcionando como o validador que diria a um programador: "Essa fórmula está mais errada que uma variável global em C!" O texto destaca como, sem precisar mudar o código, "apenas melhor raciocínio" pode salvar a implementação de contratos inteligentes de bugs lógicos. E você só precisa de um pouco de bom senso dimensional, que nem um professor de física com um carimbo de "fórmula não homogênea". Se a comunidade de desenvolvedores realmente adotar essa técnica, será uma grande vitória para o ecossistema de DeFi. Já estou pensando em um plugin para medir a coerência dimensional de uma vez, o que deve facilitar muito a vida desses devs.
-
Trail of Bits
11/03/2026 08:00
A abstração de contas trouxe um sopro de inovação para Ethereum, mas como um bom código, ela tem suas vulnerabilidades. Ao auditarmos as contas inteligentes ERC-4337, identificamos "seis padrões de vulnerabilidade que aparecem com frequência". A parte mais crucial aqui é que um pequeno bug pode resultar em consequências drásticas, como já vimos em outras experiências dolorosas no mundo dev. Então, fique esperto, porque a flexibilidade pode trazer tanto benefícios quanto armadilhas, tipo o seu experimento com o último framework que prometia revolucionar tudo.
-
Trail of Bits
25/02/2026 09:00
Sabe aquela dor de cabeça ao fazer forense de memória no Linux, quando os símbolos de depuração não estão a seu favor? Pois é, com o mquire isso acaba. O novo tool open-source analisa dumps de memória sem depender de símbolos externos, extraindo tudo diretamente do próprio dump. É um divisor de águas para analistas forenses e respondentes a incidentes, tornando possível explorar até mesmo kernels desconhecidos. Como eles dizem, adaptabilidade é o nome do jogo, e o mquire joga no nível certo.
-
Trail of Bits
20/02/2026 13:00
Antes do lançamento do navegador Comet, a Perplexity decidiu jogar seguro e contratou uma auditoria focada em segurança. Eles testaram como "quatro técnicas de injeção de prompt poderiam extrair informações privadas do Gmail" usando a assistente AI do navegador. Essencialmente, eles descobriram que a falta de controle sobre conteúdos externos pode abrir brechas que hackers adorariam explorar. As cinco recomendações resultantes são uma leitura obrigatória para qualquer equipe desenvolvendo produtos impulsionados por AI – a segurança nunca é demais.
-
Trail of Bits
18/02/2026 09:00
A situação com as bibliotecas aes-js e pyaes é um bom lembrete de que um descuido pode causar estragos sérios na segurança. Como bem apontado, "reusar um par de chave/IV leva a problemas de segurança graves". É como se você estivesse enchendo um balde furado e esperando que a água não vazasse. O fato de que bibliotecas amplamente utilizadas não exijam um IV bem gerado é uma falha que afeta milhares de projetos, o que é preocupante. No final do dia, é uma lição sobre a diferença entre um código jogado e um trabalho bem feito.
-
Trail of Bits
30/01/2026 09:00
A Trail of Bits realmente está mostrando como se faz no mundo open-source. Com mais de 375 pull requests e uma abordagem que prioriza "compartilhar o que outros podem usar", eles não estão apenas jogando código para a galera, mas estão focando em tornar o ecossistema mais seguro. É sempre mais fácil forkar e fazer um remendo, mas a coragem de contribuir upstream, como no caso do Sigstore e do Rust LINQ, é digno de um troféu da categoria ‘Dev Hero’. Isso sim é trabalho em equipe e visão a longo prazo, mostrando que ninguém precisa reinventar a roda – ou o log de transparência – toda vez que um bug aparece.
-
Trail of Bits
29/01/2026 09:00
O Sigstore está enfrentando o curioso dilema de como assinar software em um mundo onde as assinaturas podem se tornar obsoletas mais rápido do que você consegue dizer 'ECDSA'. Em vez de se reinventar a cada nova ameaça – como se fosse um dev que esqueceu de atualizar a biblioteca de segurança – a equipe se manteve rígida, focando em algoritmos seguros. Agora, com novas colaborações, eles estão mostrando que é possível ser flexível sem abrir mão da segurança. O que nos leva a refletir: estamos prontos para lidar com o futuro quântico?
-
Trail of Bits
13/01/2026 09:00
Com a integração de agentes de IA nos navegadores, a segurança web parece estar passando novamente pelo tutorial do Mario, onde os vilões são as velhas vulnerabilidades que pensávamos ter superado. Os pesquisadores alertam que sem mecanismos de isolamento adequados, esses navegadores estão abertos a ataques semelhantes ao XSS e CSRF. Se os navegadores vão ser o novo super-herói da internet ou continuar sendo a linha de frente para vazamentos de dados, isso depende muito de como implementaremos o isolamento do tipo 'Same-Origin' para esses agentes. E sim, confiar cegamente nos navegadores pode ser tão arriscado quanto deixar seu código aberto.
-
Trail of Bits
31/12/2025 09:00
O go-panikint chega para dar um tapa na cara da indiferença do overflow em Go, transformando esses erros em pânicos explícitos. Ao contrário do Rust, que já puxa o freio no overflow, Go simplesmente ignora e ‘wrap around’, criando uma zona de conforto perigosa. Agora, com essa ferramenta, foi possível encontrar um bug ao vivo no SDK do Cosmos, mostrando que o fuzzing pode ser mais eficaz com o toque de pânico. É um aviso para os desenvolvedores: a segurança dos dados não deve ser uma questão de sorte.
-
Trail of Bits
19/12/2025 09:00
Participar do AI Engineer Code Summit é como trocar ideias em uma sala cheia de nerds, onde a crença de que "nunca mais precisaremos olhar para o código" foi a estrela da festa. Olhando para a evolução das linguagens de programação, é fácil entender a resistência atual ao uso de LLMs; na verdade, é um pouco como se estivessem tentando substituir o Python pelo Notepad. A analogia entre compilers e LLMs é interessante, mas falta uma compreensão crucial: a determinismo. Como bem colocou o texto, se o código muda de semântica, não é uma nova feature; é um bug, e ninguém quer um bug tomando o lugar do seu código.
-
Trail of Bits
16/12/2025 09:00
Você já pensou que os bugs de segurança em softwares seriam como vilões padrão de um filme de terror? Eles sempre voltam para atormentar a gente. O GWP-ASan parece ser a nova arma na luta contra essas vulnerabilidades, utilizando um método de amostragem para detectar falhas em tempo real com praticamente nenhum impacto de performance. Como o texto diz, ele é capaz de "capturar bugs relacionados ao heap" sem fazer você perder desempenho, o que é um baita avanço se você está desenvolvendo software crítico. Fica a dica: se você tem um projeto que requer mais segurança, talvez seja hora de testar essa ferramenta.
-
Trail of Bits
12/12/2025 09:00
Com a nova versão do rekor-monitor, parece que os desenvolvedores vão ter um assistente de segurança bem mais eficaz na hora de monitorar seus pacotes. Como mencionado, "logs de transparência como o Rekor fornecem uma função crítica de segurança: eles criam registros que são apenas adicionados e à prova de adulteração". É um pouco como ter uma cópia em papel da sua senha em vez de deixar tudo solto na nuvem. Isso, claro, não elimina a necessidade de confiar em práticas de segurança sólidas, mas certamente dá uma ajudinha na vigilância. Vamos ver se essa integração com o TUF melhora as coisas, porque sempre é bom ter mais armas contra os vilões digitais.