A Semana em que os Dois Lados da Cadeia de Suprimentos Ficaram Industriais
Entre 21 e 22 de maio de 2026, quatro anúncios caíram com menos de 48 horas de distância. O GitHub revelou que 3.800 repositórios internos próprios foram exfiltrados via uma extensão maliciosa do VS Code. A Anthropic publicou os primeiros números do Projeto Glasswing, o programa de modelo de segurança restrito, com mais de 10 mil vulnerabilidades encontradas em software crítico em um único mês. O Red Team da Anthropic publicou o exploit-eval do Mythos Preview, que resolveu 21 dos 41 CVEs do ExploitBench enquanto todos os outros modelos resolveram dois ou menos. A Perplexity abriu o código do Bumblebee, um scanner read-only que trata endpoints de agentes (extensões, configs MCP, lockfiles) como superfícies inventariáveis.
Nenhum foi coordenado. Ainda assim descrevem um único evento.
A crise de cadeia de suprimentos da era IA cruzou o limiar industrial nos dois lados. O lado ofensivo tem mecânica de flywheel, vítimas nomeadas e tabela de preços. O lado defensivo tem scores de eval, pipeline de parceiros e um primeiro artefato open-source. A pergunta intermediária, a que líderes de engenharia e segurança precisam responder esta semana, não é mais se endpoints de agentes precisam de controles. É se existe um inventário desses endpoints.
O Lado Ofensivo: TeamPCP Chegou ao Topo da Pilha
Já escrevemos sobre o TeamPCP através de incidentes individuais. O Clinejection mostrou um único pacote npm comprometendo instalações do Cline. A onda Mercor mostrou o mesmo operador atingindo infraestrutura de dados de treinamento de IA. Injeção de prompt como arma de cadeia de suprimentos rastreou a técnica até o loop do próprio modelo.
O que o dia 21 de maio adicionou foi o andar que o TeamPCP ainda não havia tocado: a plataforma que hospeda a cadeia de suprimentos.
A CISO do GitHub, Alexis Wales, confirmou 3.800 repositórios internos exfiltrados via uma única extensão do VS Code. O preço pedido no BreachForums foi US$ 50 mil. A Aikido Security rastreou as janelas de remoção: 18 minutos no VS Code Marketplace, 36 minutos no Open VSX. Resposta rápida em termos absolutos. Ainda assim, 54 minutos durante os quais uma extensão envenenada era o canal padrão de download para uma superfície crítica de desenvolvedor.
Os números da campanha mais ampla, publicados por Wiz, Socket e Palo Alto Networks no dia seguinte, enquadram a escala:
- 20 ondas distintas de cadeia de suprimentos ao longo do ano
- 500+ pacotes envenenados, mais de 1.000 contando versões
- Vítimas downstream confirmadas incluem OpenAI (dois dispositivos de funcionários), Mistral AI, Mercor, o site público da Comissão Europeia, TanStack, LiteLLM, Trivy e AntV
A lógica econômica é direta. Uma extensão envenenada rodando no laptop de um engenheiro do GitHub retorna mais valor do que uma rodando no projeto pessoal de um desenvolvedor júnior. O TeamPCP opera agora na camada onde a própria ferramenta de desenvolvedor é o alvo. Cada camada acima (registros npm, ecossistemas de linguagem, mantenedores de framework) já absorveu ondas no começo do ano. A camada de plataforma era o teto restante.
Esse teto foi perfurado.
O Lado Defensivo: Glasswing Mostrou que IA Ofensiva Escala IA Defensiva
O Projeto Glasswing é o modelo de segurança de distribuição restrita da Anthropic: mais capaz que a linha pública do Claude, acessível apenas a parceiros de segurança verificados sob restrições específicas de uso. O modelo de governança está documentado desde abril. A atualização inicial de 22 de maio é a primeira vez que o programa reportou o que encontrou.
Os números têm peso porque são testados em campo, não em benchmark:
- 10.000+ vulnerabilidades em software sistemicamente importante em um mês
- Aproximadamente 50 parceiros ativos
- 6.202 vulnerabilidades de severidade alta ou crítica descobertas em 1.000+ projetos open-source
- A Cloudflare sozinha encontrou 2.000 bugs e reportou uma taxa de falso-positivo “melhor que testadores humanos”
- Firefox 150 gerou 271 vulnerabilidades contra o Firefox 148, um aumento de 10x atribuível a rodar o Opus 4.6 contra o mesmo código
A afirmação estratégica que o Glasswing valida é mais antiga que os dados: capacidade ofensiva de IA e capacidade defensiva de IA escalam na mesma curva. Se um modelo consegue construir uma cadeia de exploração, o mesmo modelo consegue encontrar as condições que habilitam aquela cadeia. A pergunta nunca foi qual capacidade chega primeiro. Chegam juntas. Governança determina qual delas alcança o campo em escala.
Glasswing é o primeiro programa em que o alcance defensivo foi medido contra o alcance ofensivo no mesmo mês. A defesa alcançou mais longe. Distribuição restrita tornou isso possível.
Mythos Preview: O Eval de Exploração Vira Benchmark de Mercado
O artigo de avaliação de exploração do Red Team da Anthropic é a terceira perna do tripé do dia 22. Também é a mais desconfortável.
O Mythos Preview resolveu 21 dos 41 CVEs do ExploitBench escrevendo exploits de execução arbitrária de código. Todos os outros modelos testados resolveram dois ou menos. O Mythos foi o único modelo a escapar do sandbox do V8. O tempo de duplicação de performance, medido contra a geração anterior, foi de 0,7 mês. A duplicação anterior foi de 1,1 mês. No SCONE-bench, o eval de exploração de contratos inteligentes, o valor em dólares de contratos explorados com sucesso ultrapassou US$ 35 milhões.
Os números importam menos do que a trajetória. Construção de exploração em múltiplos passos, que 12 meses atrás exigia um pesquisador sênior de segurança ofensiva, agora é capacidade de modelo. Distribuição restrita atrasa a chegada como commodity, mas não impede. O exploit eval é agora um benchmark que laboratórios de fronteira publicam uns contra os outros. A equiparação de pesos abertos é questão de meses.
Bumblebee: O Primeiro Scanner Defensivo de Endpoints de Agente
A IA ofensiva open-source foi a assimetria que vínhamos rastreando. A defesa não tinha artefato equivalente apontado para as superfícies que os agentes de fato tocam.
O Bumblebee da Perplexity, com código aberto em 22 de maio, é o primeiro a chegar.
As escolhas de design revelam o que faltava aos defensores:
- O Bumblebee escaneia quatro superfícies de endpoint: gerenciadores de pacotes de linguagem (npm, pip, cargo, gem, outros), arquivos de configuração MCP, extensões da família VS Code (VS Code, Cursor, Windsurf) e extensões de navegador.
- É read-only por design. Não invoca
npm install, não dispara hooks de postinstall, não executa o código que inventaria. A razão está explícita no README do projeto: qualquer scan ativo dispara exatamente o payload que o Bumblebee existe para encontrar. - O Perplexity Computer, o agente que rascunha o catálogo, abre pull requests para revisão humana. O agente não faz auto-commit do inventário.
A existência do artefato muda a conversa. Arquivos de configuração MCP agora têm um formato de inventário inspecionável. Instalações de extensão do VS Code agora têm um enumerador orientado a defensores. O argumento de que “não dá para inventariar o que não tem ferramenta” deixou de valer. A ferramenta existe, é gratuita e é open-source.
As Alavancas de Governança Têm Nome
Três controles agora são concretos o bastante para um plano de governança do terceiro trimestre:
Credenciais de longa duração em ferramentas de desenvolvimento. A invasão do GitHub funcionou porque uma extensão do VS Code rodando no laptop de um engenheiro carregava o acesso para ler repositórios internos. A fronteira de computação, a fronteira de dados e a fronteira de identidade colapsaram em um único processo. A correção não é uma nova política. A correção é federação de identidade de workload alcançando extensões de desenvolvedor, que é onde ela esteve ausente.
Revisão de extensões como controle de primeira classe. O VS Code Marketplace e o Open VSX removeram a extensão maliciosa em menos de uma hora. Esse é um controle reativo. O controle proativo é tratar instalação de extensão da mesma forma que segurança corporativa trata instalação de software em servidor de produção: fila de aprovação, manifesto assinado, sign-off por versão. A maioria das organizações não faz isso para ferramenta de desenvolvedor porque ninguém havia pedido antes.
Inventário de configuração MCP. O Bumblebee é o artefato que torna isso enumerável. A pergunta para a próxima reunião do time de plataforma: “Quais agentes em quais máquinas carregam quais servidores MCP, e onde estão armazenadas as configs?” Se a resposta for “não sabemos”, é por aí que o trabalho começa.
Faça Isto Agora
Bloqueie 45 minutos esta semana. Rode o Bumblebee contra um laptop de engenharia e uma imagem de container de desenvolvedor. A saída é um pull request rascunho listando cada pacote de linguagem, cada configuração MCP, cada extensão do VS Code, cada extensão de navegador encontrada. Leia. Duas surpresas são típicas: uma extensão que ninguém lembra de ter instalado e uma config MCP apontando para um serviço que ninguém do time é dono.
Essa saída é o inventário. O inventário é a precondição para governança. Tudo o mais, as políticas, as aprovações, a federação, pressupõe que você consegue listar o que tem. Os dados do Glasswing confirmaram que IA defensiva funciona em escala. A campanha TeamPCP confirmou que IA ofensiva opera na camada de plataforma. O Mythos confirmou que a distância de capacidade fecha em meses, não anos. O Bumblebee removeu a última desculpa para não enumerar as superfícies.
Os times que vencerão os próximos dois anos de operação de agentes não são os com agentes mais autônomos. São os que conseguem responder, por escrito, o que seus agentes alcançam.
Fontes
- ITPro. “GitHub internal repositories exfiltrated via malicious VS Code extension.” Maio de 2026.
- Ars Technica. “A hacker group is poisoning open-source code at an unprecedented scale.” Maio de 2026.
- Anthropic. “Project Glasswing: An Initial Update.” Maio de 2026.
- Anthropic Red Team. “Measuring LLMs’ Ability to Develop Exploits.” Maio de 2026.
- Perplexity. “Perplexity is open-sourcing Bumblebee.” Maio de 2026.
A Victorino apoia organizações no inventário e governança de endpoints de agentes antes da próxima onda de cadeia de suprimentos: contato@victorino.com.br | www.victorino.com.br
Todos os artigos do The Thinking Wire são escritos com o auxílio do modelo LLM Opus da Anthropic. Cada publicação passa por pesquisa multi-agente para verificar fatos e identificar contradições, seguida de revisão e aprovação humana antes da publicação. Se você encontrar alguma informação imprecisa ou deseja entrar em contato com o editorial, escreva para editorial@victorino.com.br . Sobre o The Thinking Wire →
Se isso faz sentido, vamos conversar
Ajudamos empresas a implementar IA sem perder o controle.
Agendar uma Conversa