1. Seguridad urgente: Versiones maliciosas de Axios instalan un troyano de acceso remoto
Se publicaron dos versiones maliciosas del cliente HTTP Axios (1.14.1 y 0.30.4) en el registro npm, ejecutando un ataque a la cadena de suministro. Las versiones comprometidas inyectan una dependencia falsa, [email protected], que ejecuta un script postinstalación para desplegar un troyano de acceso remoto multiplataforma en macOS, Windows y Linux. El malware contacta a un servidor de comando y control, descarga cargas útiles de segunda etapa y reemplaza su propio package.json para evadir la detección. Los desarrolladores deben auditar sus entornos de inmediato y asumir que han sido comprometidos si se instaló alguna de estas versiones.
2. Sin confirmar: Código fuente de Claude Code filtrado a través de un mapa de fuentes de npm
Anthropic expuso inadvertidamente el código fuente en TypeScript de su agente Claude Code mediante un archivo de mapa de fuentes JavaScript de 59.8 MB publicado en el registro público de npm. La filtración revela aproximadamente 512,000 líneas de código interno, incluyendo implementaciones de herramientas y modos ocultos. Los desarrolladores han replicado el repositorio en GitHub para analizar la arquitectura de agentes de Anthropic. Un incidente separado también expuso conjuntos de datos de preentrenamiento del equipo de investigación de Hugging Face debido a una configuración incorrecta en un repositorio.
3. Compromiso del agente OpenClaw expone riesgos de acceso a shell root
Un actor malicioso comprometió con éxito un asistente personal de IA OpenClaw autohospedado, obteniendo y vendiendo acceso a una shell root en la computadora de un ejecutivo corporativo. El incidente destaca las vulnerabilidades de seguridad en agentes de IA autónomos que ejecutan tareas a través de plataformas de mensajería sin interruptores de emergencia empresariales ni restricciones de privilegios mínimos. Los desarrolladores que desplieguen agentes de código abierto como OpenClaw en infraestructura privada deben implementar límites estrictos de confianza cero para evitar que la explotación del agente escale hasta comprometer el sistema anfitrión.
4. TimesFM 2.5: Google lanza un modelo de series temporales de 200M de parámetros con 16k de contexto
Google Research ha lanzado TimesFM 2.5, un modelo base de pronóstico de series temporales actualizado disponible en Hugging Face. La nueva versión reduce el número de parámetros de 500M a 200M mientras amplía la longitud del contexto de 2,048 a 16,000 tokens. Introduce soporte para pronósticos de cuantiles continuos hasta un horizonte de 1k mediante un encabezado de cuantiles opcional de 30M y elimina el requisito de indicador de frecuencia. Los desarrolladores pueden ejecutar el modelo usando backends de PyTorch o Flax a través de la API de inferencia actualizada.
5. pg_textsearch v1.0: Extensión de código abierto para Postgres para búsqueda BM25
Tiger Data ha lanzado pg_textsearch v1.0, una extensión de PostgreSQL de código abierto que proporciona búsqueda de texto completo clasificada por relevancia BM25. La extensión está diseñada para complementar herramientas de búsqueda semántica como pgvector, ofreciendo una búsqueda por palabras clave escalable directamente dentro de Postgres. Los resultados de las pruebas comparativas utilizando MS-MARCO indican una ventaja de rendimiento de 4.7x en consultas sobre soluciones existentes como ParadeDB. El lanzamiento permite a los desarrolladores construir pilas de búsqueda híbridas sin depender de alternativas con licencia AGPL.
6. Claude Code introduce el Modo Automático con clasificadores de seguridad
Anthropic ha añadido un Modo Automático a Claude Code que utiliza un clasificador de dos capas para evaluar la seguridad de los comandos. El sistema aprueba automáticamente las operaciones seguras mientras bloquea los comandos de riesgo, reduciendo la necesidad de intervención manual por parte del desarrollador. Esto proporciona un punto intermedio entre requerir aprobación explícita para cada acción y permitir una autonomía total del agente sin supervisión.
7. llm-d se une a la CNCF para proporcionar inferencia de LLM nativa en Kubernetes
IBM Research, Red Hat y Google Cloud han donado el proyecto llm-d a la Cloud Native Computing Foundation (CNCF). El marco proporciona una pila de inferencia de LLM distribuida de nivel de producción construida de forma nativa para Kubernetes utilizando vLLM. Esta integración permite a los equipos de infraestructura gestionar y escalar despliegues de modelos de lenguaje grandes utilizando patrones de orquestación estándar de Kubernetes.
8. La plataforma Claude lanza la API de Cumplimiento para registros de auditoría
Anthropic ha introducido una API de Cumplimiento para la plataforma Claude con el fin de ayudar a los administradores a monitorear las actividades de los usuarios y del sistema. La API rastrea acciones administrativas, eventos del sistema y modificaciones de recursos, como la creación o eliminación de archivos. Las organizaciones pueden integrar estos registros de auditoría en sus sistemas de cumplimiento y monitoreo de seguridad existentes generando una clave de API de administrador a través de su equipo de cuenta.
9. Transformers.js v4 introduce el tiempo de ejecución WebGPU
El lanzamiento de Transformers.js v4 incluye un nuevo tiempo de ejecución WebGPU para ejecutar modelos de aprendizaje automático directamente en el navegador. Esta actualización permite a los desarrolladores utilizar la misma base de código de Transformers.js en una amplia variedad de entornos JavaScript con aceleración por hardware. La integración de WebGPU mejora significativamente el rendimiento de la inferencia del lado del cliente para aplicaciones web.
10. KwaiKAT lanza KAT-Coder-Pro V2, un modelo de codificación sin razonamiento
KwaiKAT ha lanzado KAT-Coder-Pro V2, un modelo de codificación propietario sin razonamiento que cuenta con una ventana de contexto de 256K. El modelo iguala a Claude Sonnet 4.6 en el índice de inteligencia de Artificial Analysis mientras opera a un costo menor de $0.30 por 1M de tokens de entrada y $1.20 por 1M de tokens de salida. Logra una alta eficiencia de tokens y baja latencia al evitar los retrasos de razonamiento típicos de los modelos de frontera, aunque muestra cierta regresión en la recuperación de conocimiento de contexto largo en comparación con su predecesor. El modelo es accesible a través de los puntos finales de la API de StreamLake y AtlasCloud.
11. Vista previa: Ollama introduce el backend MLX para aceleración en Apple Silicon
Ollama ha lanzado una versión de vista previa construida sobre el marco de aprendizaje automático MLX de Apple para acelerar la inferencia local en macOS. La actualización aprovecha la memoria unificada y los aceleradores neuronales de GPU en los chips de la serie M5 para mejorar tanto el tiempo hasta el primer token como las velocidades de generación. También introduce soporte para el formato de cuantización NVFP4 de NVIDIA y mejora la reutilización de caché entre conversaciones, optimizando específicamente el rendimiento para agentes de codificación locales como OpenClaw y Claude Code.
12. La configuración universal CLAUDE.md reduce la verbosidad del agente
Se ha lanzado un archivo de configuración CLAUDE.md de código abierto para ayudar a los desarrolladores a controlar la verbosidad de salida del agente Claude Code. Al colocar el archivo en la raíz de un proyecto, los desarrolladores pueden suprimir respuestas serviles, sugerencias no solicitadas y ruido de formato sin modificar el código de la aplicación. La configuración reduce el consumo de tokens de salida en aproximadamente un 63%, lo que lo hace muy útil para tuberías de automatización y tareas estructuradas repetidas.