AI Research Watch — edição 2 (junho 2026): segurança de agente vira classe de CVE

Maio de 2026 foi um mês de wake-up calls — dois em segurança, um regulatório, um de ferramental e um de mercado. Prompt injection deixou de ser categoria de paper para virar CVE com impacto host-level. A União Europeia adiou Annex III mas antecipou transparency. Os três grandes vendors fecharam suas histórias de SDK de agente. E o benchmark mais citado para coding caiu publicamente. Esta edição cobre os cinco itens com o filtro de sempre: o que muda a prática de quem constrói.

Esta edição 2 cobre maio de 2026.

1 · Prompt injection virou classe de RCE — Microsoft disclosure (7 mai)

O que mudou: a Microsoft Security publicou no dia 7 de maio uma classe nova de vulnerabilidade em frameworks de agente, com dois CVEs concretos: CVE-2026-25592 e CVE-2026-26030, ambos no Semantic Kernel .NET SDK em versões anteriores a 1.71.0 (Microsoft Security Blog, 7 mai 2026). Conteúdo recuperado de um documento externo via RAG passa direto para uma tool call e bypassa todos os guardrails que rodam no nível do prompt — o resultado é remote code execution no host do agente. No mesmo trimestre a OWASP confirmou prompt injection como LLM01 pela terceira vez consecutiva, e a comunidade reportou vulns equivalentes em Copilot Studio (CVE-2026-21520) e ms-agent do ModelScope (CVE-2026-2256).

Por que importa para builder: até agora “prompt injection” era discussão de blog post. Em maio de 2026 virou item de auditoria que seu time de segurança vai pedir, com CVE para citar e patch para aplicar. Qualquer agente que combina retrieval + tool calling caiu na superfície de ataque. Não é mais “se”, é “qual é o seu plano”.

Limitação: o patch da Microsoft fecha a porta do Semantic Kernel, mas a classe de vulnerabilidade é arquitetural — ela existe em CrewAI, LangGraph, AutoGen, e qualquer stack próprio que misture os dois ingredientes. Patch único não resolve.

Ação: hoje, audite seu stack. Toda chamada de tool após retrieval precisa de allowlist explícita de argumentos + sandbox para comandos shell + limite de privilégio do processo agente. Se você tem agente em produção e não consegue responder essas três perguntas em 5 minutos, pause antes do próximo deploy.

2 · EU AI Act Omnibus adia Annex III, antecipa transparency (7 mai)

O que mudou: no mesmo dia 7 de maio, órgãos legislativos europeus fecharam acordo político sobre emendas ao AI Act — o “AI Act Omnibus” (Latham & Watkins, mai 2026). Dois efeitos para empresa brasileira que vende ou opera EU: Annex III (sistemas de alto risco) foi postergado de 2 ago 2026 para 2 dez 2027 — 16 meses extras de runway. Mas Article 50 (obrigações de transparency, incluindo o ban a nudifiers e marca obrigatória em conteúdo sintético) foi antecipado para 2 dez 2026, fechando o prazo curto para quem gera imagem, voz ou vídeo.

Por que importa para builder: dois calendários distintos agora. Se você está em high-risk Annex III (HR, scoring, biometria, recrutamento), respira até dez 2027 — mas comece a documentar audit trail desde já, não no último mês. Se você gera mídia sintética para qualquer fim (marketing, educação, comunicação interna), tem 6 meses para resolver watermarking + disclosure obrigatório.

Limitação: Omnibus ainda precisa passar pelo Parlamento Europeu e Conselho com texto final. Cronograma político pode atrasar. O que é seguro: Annex III não estreia em ago 2026; transparency endurece em dez 2026.

Ação: revisar timeline interna de classificação de risco AI Act este mês. Empresas BR servindo EU precisam mapear quais sistemas caem em Annex III versus Article 50, porque os prazos divergiram. Para conteúdo sintético, decidir agora se vai usar C2PA, watermark próprio ou ambos — e quem é dono dessa pipeline.

3 · SDK de agente consolidou — 3 vendors major + interop (mar–mai)

O que mudou: entre março e maio de 2026, os três principais vendors fecharam suas histórias de SDK de agente. OpenAI lançou o Agents SDK em março, Google introduziu o ADK em abril, e Anthropic publicou seu Agent SDK junto com Claude 4.6 (gurusup, mai 2026). Plus: MCP virou padrão de fato para tool exposure e A2A (Agent-to-Agent) emergiu como standard para comunicação multi-agente. No open-source, LangGraph passou CrewAI em GitHub stars no Q1 — CrewAI virou referência para “fácil para business workflow”, LangGraph para “controle granular de execução com checkpoint e human-in-the-loop”.

Por que importa para builder: greenfield agora tem 5 caminhos sérios (3 vendor SDKs + 2 open-source frameworks) e dois standards de interop (MCP + A2A). Quem escolhe nas próximas 8 semanas trava arquitetura por 18 meses — mudar depois custa caro porque cada SDK tem seu modelo de state, sua API de tool e seu lifecycle de session.

Limitação: os vendor SDKs ainda têm gravidade mais forte para o modelo do mesmo vendor. OpenAI Agents SDK é otimizado para GPT, Google ADK para Gemini, Anthropic Agent SDK para Claude. Multi-modelo é possível mas friction-loaded. MCP/A2A reduzem essa friction mas não eliminam.

Ação: se você tem mais de um modelo em produção, mantenha CrewAI ou LangGraph como camada de orquestração + MCP como tool transport. Se você está single-vendor por contrato (Anthropic Partner, Microsoft Copilot), aceite a gravidade do SDK do vendor e ganhe latência + features. Decisão de 1 horizonte longo, vale uma tarde de planejamento.

4 · SWE-bench Verified perdeu credibilidade — primeiro mês sem vendor reportando (mai)

O que mudou: em 23 de fevereiro de 2026, a equipe Frontier Evals da OpenAI parou de reportar scores em SWE-bench Verified (OpenAI, fev 2026). Razão: auditoria interna de 138 problemas que o3 não resolvia consistentemente em 64 runs independentes mostrou que 59.4% dos casos tinham flaws no teste ou na descrição. Pior: GPT-5.2, Claude Opus 4.5 e Gemini 3 Flash Preview conseguiram reproduzir os gold patches verbatim só com o task ID como prompt — sinal claro de contaminação de treino. Maio de 2026 foi o primeiro mês inteiro em que nenhum vendor major reportou Verified — todos migraram para SWE-bench Pro (held-out + GPL-licensed para resistir a contaminação).

Por que importa para builder: se você usou Verified para escolher vendor de coding agent ou para defender escolha de modelo internamente, esses scores envelheceram. O gap de 27 pontos entre o topo do Verified (81%) e o topo do Pro (54%) é a medida do quanto o benchmark perdeu sinal. Mais geral: qualquer benchmark que extraia tarefas de repos open-source pós-jun 2024 tem risco alto de contaminação para frontier models.

Limitação: SWE-bench Pro também não é perfeito — GPL discourage commercial training mas não impede; held-out set vai vazar com tempo. Ciclo de “novo benchmark → contaminação → novo benchmark” é estrutural.

Ação: pare de citar SWE-bench Verified em pitch ou em decisão interna. Migre para SWE-bench Pro ou monte eval interno em código privado (próprio repo, problemas reais, gold patches que ninguém treinou em cima). Para evals próprios: regra de polegar é “se o problema existe em commit público de mais de 18 meses, está contaminado”.

5 · Anthropic Project Glasswing — tier de modelo restrito a parceiros (12 mai)

O que mudou: a Anthropic lançou em 12 de maio o Project Glasswing — acesso ao Claude Mythos Preview restrito a 12 launch partners (AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks + Anthropic) e expandido para 40+ orgs que mantêm infraestrutura crítica (Anthropic, mai 2026). Mythos Preview foi usado para encontrar milhares de zero-days críticos em sistemas operacionais e browsers, incluindo uma vuln no OpenBSD que existia há 27 anos. Pricing: $25/$125 por milhão de tokens input/output — premium. Anthropic explicita que não planeja general availability desse modelo: a meta declarada é “permitir deploy seguro de modelos classe Mythos em escala” depois.

Por que importa para builder: Glasswing é o primeiro exemplo concreto de tier de modelo gated por trust, não por capacidade ou preço. O pattern: capability suficientemente perigosa (vuln hunting em escala industrial) só vai para parceiros que passam due-diligence. Se for replicado por OpenAI/Google nas próximas 12-18 meses (Anthropic estima 6-18m para capability proliferar), você terá um market de modelos de duas tiers: GA para todos + restricted para infrastructure critical. Quem está em supply chain de software vai querer estar do lado dos defensores antes que ferramenta equivalente apareça no underground.

Limitação: você não consegue testar Mythos hoje. Avaliações públicas vão ser indiretas — através dos disclosures que partners fazem (já temos a OpenBSD 27-year-old vuln; mais virão). Para builder que não está em uma das 52+ orgs, o item é estratégico, não tático.

Ação: se sua empresa mantém software crítico (OS, browser, runtime, banking core, gov), candidate-se ao programa. Para todos os outros: documente publicamente sua postura sobre vuln disclosure responsable agora — em 12-18 meses, ferramentas similares vão estar no mercado, e quem não tem processo passa a ser alvo.

Tema do mês

Maio de 2026 endureceu agente de produção. Dois dos cinco itens são puramente de segurança (prompt injection como CVE class, Glasswing como nova estrutura de defesa); um é regulatório (AI Act Omnibus); um é ferramental (SDKs); um é higiene de evals (SWE-bench Pro). O denominador comum: builder que estava confortável em abril operando agente “experimental” precisou repensar postura em maio. Espere mais disso — não menos.

Cadência da coluna

Mensal. Sempre dia 15. Cobre o mês anterior. Curadoria com viés para “muda a prática de quem constrói”.

Filtros aplicados nesta edição:

• Replicação ou implementação pública existe?
• Efeito é robusto, não demo otimista?
• Implicação concreta para builder?
• Mudança é industry-shifting, não incremental?

Onde aprofundar

• Cluster AI Research Watch acumula a série mensal.
• Para os 2 itens de segurança (prompt injection, Glasswing), cluster Agent Safety traz fundamentação técnica.
• Para o item de SDK, Multi-agent Orchestration Patterns cobre o tradeoff entre os frameworks.
• Para o item regulatório, LGPD e IA na rotina do gestor cobre o paralelo brasileiro.

Volte para a edição 1 para o histórico da coluna.