Resumo

• OpenAI anunciou a aquisição da Astral para integrar suas ferramentas ao Codex, plataforma de programação com IA.
• O Codex possui mais de 2 milhões de usuários e a aquisição da Astral visa ampliar suas capacidades.
• A Astral desenvolve ferramentas de código aberto para Python, otimizando o fluxo de trabalho em áreas como ciência de dados e IA.

A OpenAI anunciou, nesta quinta-feira (19/03), que vai comprar a Astral, startup que criou ferramentas de código aberto para Python. O acordo ainda não foi finalizado, mas a expectativa é que a equipe da Astral passe a integrar os esforços do Codex, plataforma da dona do ChatGPT voltada à programação com IA.

Segundo o comunicado, o Codex já ultrapassa a marca de 2 milhões de usuários, número que triplicou desde o início deste ano. Vale lembrar que, para ser finalizada, a compra deve obter aprovação regulatória.

Aquisição para reforçar o Codex

A integração da Astral tende a ampliar o escopo do Codex, que atualmente é capaz de gerar trechos de código, corrigir falhas e executar testes. Com a incorporação das ferramentas da startup, a OpenAI pretende transformar a plataforma em um conjunto mais completo de serviços para desenvolvedores.

A Astral se concentra em construir ferramentas para facilitar o trabalho dos desenvolvedores com Python. Segundo o fundador da startup, Charlie Marsh, a “empresa continuará evoluindo suas ferramentas de código aberto dentro da OpenAI”.

As soluções da empresa se popularizam pela otimização do fluxo de trabalho em Python, linguagem amplamente utilizada em áreas como ciência de dados, automação e aplicações de IA.

Vibe coding está na moda

A movimentação ocorre em meio a uma disputa acirrada entre empresas que buscam liderar o uso de IA como assistente de programação. Esse movimento já tem até nome: vibe coding, e foi aprovado por nomes como Linus Torvalds, o “pai” do Linux.

Além da OpenAI, empresas como Anthropic e Microsoft também investem pesado nesse segmento. A startup Cursor, por exemplo, negocia uma nova rodada de investimentos que pode avaliá-la em cerca de US$ 50 bilhões (aproximadamente R$ 250 bilhões), segundo informações da Bloomberg.

OpenAI vai comprar startup de ferramentas open source para Python

Resumo

• Uma vulnerabilidade no n8n (CVE-2025-68668) permite execução arbitrária de comandos no servidor e afeta o Python Code Node.
• A falha pode ser explorada por usuários com permissão para criar ou editar workflows, comprometendo a segurança do servidor.
• A correção está na versão 1.111.0 do n8n, que introduz um modelo de isolamento mais seguro para execução de código Python.

Uma falha crítica de segurança foi identificada no n8n, plataforma open source de automação de fluxos de trabalho. A ferramenta integra serviços, plataformas e APIs de forma visual, com pouca necessidade de programação em código.

Catalogado como CVE-2025-68668 e avaliado com severidade 9,9/10, o problema afeta um componente específico do n8n e pode ser explorado por usuários que tenham permissão para criar ou editar workflows. Essa vulnerabilidade permite que invasores executem código arbitrário diretamente no sistema que hospeda a ferramenta.

Embora não envolva acesso totalmente anônimo, o TechRadar lembra que, em ambientes colaborativos ou corporativos, esse tipo de permissão é relativamente comum.

É justamente pela flexibilidade e facilidade do n8n que o impacto potencial se amplia, já que os workflows podem rodar códigos personalizados dentro da plataforma.

Como é a vulnerabilidade?

Segundo o aviso de segurança publicado no GitHub, a falha foi encontrada no Python Code Node, que utiliza o Pyodide — um runtime de Python projetado para rodar em navegadores e outros ambientes JavaScript. O problema está no bypass do sandbox, mecanismo que deveria impedir que o código executado ultrapasse limites de segurança.

Na prática, um invasor com acesso válido para editar workflows poderia inserir código Python elaborado para escapar do ambiente isolado do Pyodide e executar comandos no sistema operacional hospedeiro. Esses comandos seriam rodados com os mesmos privilégios do processo do n8n.

Uma vez obtido esse nível de acesso, o invasor poderia instalar malwares ou backdoors, roubar dados sensíveis, se mover lateralmente pela rede, alterar ou interromper fluxos de automação e até comprometer completamente o servidor.

Há correção?

Sim, a vulnerabilidade é corrigida na versão 1.111.0 do n8n. A atualização introduziu uma nova implementação nativa de Python baseada em task runner, descrita pela equipe como “um modelo de isolamento mais seguro”. Inicialmente opcional, essa abordagem pode ser ativada por meio das seguintes variáveis de ambiente:

1. N8N_RUNNERS_ENABLED

2. N8N_NATIVE_PYTHON_RUNNER.

A partir da versão 2.0.0, esse novo modelo passou a ser o padrão da plataforma, reduzindo o risco associado à execução de código Python em workflows.

Para quem não consegue atualizar imediatamente, o aviso de segurança recomenda alternativas temporárias:

• desativar completamente o Code Node;
• desabilitar o suporte a Python dentro desse nó;
• configurar o uso do sandbox baseado em task runner.

Falha crítica no n8n permite que invasores executem código no servidor