Manoel ©️♐

6 projetos open-source feitos por poucos devs (ou até 1 só) que estão enfrentando empresas bilionárias. Isso prova que ainda dá pra competir com gigantes usando código aberto: 1. Immich Um cara chamado Alex Tran criou sozinho porque estava cansado do Google Photos segurando suas memórias. É o substituto completo do Google Photos. link: https://t.co/97O5Ug5uqc 2. Anytype Anton Pronkin desenvolveu solo no começo. Totalmente local, criptografado e sem depender de nuvem. Está indo de frente com o Notion (avaliado em US$ 10 bi). link: https://t.co/9Lm08rzGdX 3. Jellyfin Fork da comunidade depois que o Emby virou pago. Seu próprio Netflix/Plex, mas 100% grátis e com os arquivos que você realmente tem. Plex já levantou centenas de milhões. link: https://t.co/gWPcJKC5XJ 4. Twenty CRM Rebelião aberta contra o Salesforce. CRM moderno, bonito e open-source. Enquanto o Salesforce vale mais de US$ 300 bilhões. link: https://t.co/EOBfgLeWxZ 5. Documenso Está atacando de frente o DocuSign (US$ 14 bilhões). Assinatura digital simples, bonita e open-source. link: https://t.co/Gjomq6pk5x 6. Tldraw Steve Ruiz criou sozinho e hoje é usado dentro da Vercel, Linear e até Microsoft. Enfrentando o Miro (US$ 17 bilhões). link: https://t.co/CiYa8eUug1 Todos esses projetos são gratuitos, open-source e mostram o poder real da internet: um ou dois devs conseguem criar ferramentas que ameaçam impérios bilionários. Isso me lembra muito o crypto: a descentralização não é só sobre dinheiro. É sobre tirar o monopólio de grandes empresas e devolver o poder pra quem constrói de verdade. Salva esse post e manda pro dev que você conhece. Qual desses você acha mais insano? Ou tem algum outro que merece entrar nessa lista?

🚨 O Google acabou de lançar suas skills oficiais para agentes de IA. A empresa publicou 13 skills compatíveis com Claude Code, Cursor, Copilot e outros agentes. Elas permitem que os agentes executem tarefas avançadas e automatizem workflows complexos. É gratuito e open-source 👇

Linus Torvalds says the Linux kernel security mailing list is now almost impossible to manage due to a large number of bug reports from AI tools. In his latest update for Linux 7.1-rc4, he explained that the continued flood of AI reports has made the security list almost entirely unmanageable, with enormous duplication as different people find the same issues using the same tools. Maintainers spend a lot of time dealing with the same problems repeatedly and often reply that they were already fixed weeks ago. The security list is for private and important security problems, but AI reports are not secret and create too much extra work. Linus says AI tools are great but only if they actually help rather than cause unnecessary pain and pointless make-work.

‼️🚨 Microsoft calls this "intended behaviour," so here we go. How to dump the credentials of every user stored in Microsoft Edge: 1. Open Edge. Don't browse anywhere, just open it. 2. Flip to Task Manager, find Edge, expand the task. 3. Highlight the "browser" sub-task, right-click, and choose "Create Memory Dump." 4. Open the dump file and look for credentials. The logged-in Windows user can dump every stored Edge credential with no additional rights. Which means any malware that user executes has those credentials for the asking. Thanks to Rob VandenBrink at SANS: https://t.co/ebtVZxne4L

‼️Copy Fail (CVE-2026-31431) is a Linux privilege escalation bug that lets any local user get root using a 732-byte Python script, and itworks on basically every major Linux distro shipped since 2017. Website: https://t.co/f5G6KnEv35 Write-up: https://t.co/W86Pz2PC6C GitHub: https://t.co/zAMTC6nTRk It's a logic flaw in the kernel's crypto code (authencesn via AF_ALG and splice()) that allows a small write into the page cache, which can be used to tamper with a setuid binary like /usr/bin/su. Think how bad this is going to be for shared environments like Kubernetes, CI runners, and cloud sandboxes, where it enables container escape and tenant-to-host compromise. Found by Theori's Xint Code scanner, patched in the mainline kernel, and publicly disclosed on April 29, 2026; if you can't patch right away, the recommended workaround is to disable the algif_aead module.

🚨 ISSO É MUITO, MUITO GRAVE O pior pesadelo da indústria de software acabou de acontecer. Alguém envenenou o LiteLLM no PyPI. 97 milhões de downloads por mês. Um simples "pip install" roubava TUDO da sua máquina. Chaves SSH. Credenciais AWS/GCP/Azure. Kubernetes configs. Wallets de crypto. Senhas de banco de dados. Variáveis de ambiente. Tudo. Mas a parte mais assustadora não é essa. O malware usa um arquivo .pth que executa automaticamente em TODO processo Python. Você nem precisa importar a biblioteca. Basta ter instalado. Cada script Python na máquina ativava o payload. Mas aqui está o detalhe que deveria tirar seu sono: O LiteLLM existe pra uma coisa: ser o gateway único entre seu código e todos os provedores de IA. OpenAI, Anthropic, Google, dezenas de outros. Por definição, o ambiente onde ele roda concentra TODAS as suas API keys de LLM num lugar só. O atacante não escolheu um pacote qualquer. Escolheu o único que já nasce com acesso a cada chave de cada provedor da sua organização. Targeting cirúrgico. E o pior: o ataque só foi descoberto porque o atacante escreveu código ruim. Vibe coding nos salvou. Dessa vez. O padrão que ninguém quer reconhecer: → 19 de março: TeamPCP compromete o Trivy (scanner de vulnerabilidades da Aqua Security) → 23 de março: Checkmarx KICS comprometido → 24 de março: LiteLLM envenenado via pipeline CI/CD do próprio Trivy → Credenciais roubadas alimentam o próximo ataque O que a Wiz chamou de "loop": ferramenta de segurança comprometida → pacote popular comprometido → credenciais de dezenas de milhares de ambientes nas mãos do atacante → próximo alvo. A mensagem do TeamPCP no Telegram: "Essas empresas foram feitas pra proteger suas supply chains e não conseguem proteger nem as delas." Karpathy resumiu perfeitamente: cada vez que você instala qualquer pacote, está confiando em cada dependência na árvore inteira. E qualquer uma pode estar envenenada. A engenharia de software clássica ensina que dependências são boas. Que estamos construindo pirâmides com tijolos. Essa era acabou. O próximo ataque não vai ter um bug que crasha a máquina pra te avisar.