// Popular Articles
Thunderbolt: Đội Thunderbird vừa mở mã nguồn AI client tự host — chọn model, giữ data
MZLA (đội Thunderbird) ngày 16/04/2026 ra mắt Thunderbolt — AI client nguồn mở MPL 2.0, chạy cloud hay Ollama tùy chọn, deploy Docker/Kubernetes, có đủ app web + iOS + Android + Mac + Linux + Windows. Mục tiêu: Firefox-vs-IE moment cho thị trường AI enterprise.
Tái dựng vụ xâm nhập Windows qua TeamViewer: không malware, vẫn đánh cắp được dữ liệu
Một nhân viên báo máy "tự mở ứng dụng, chuột tự di chuyển". Điều tra forensic phát hiện kẻ tấn công vào qua TeamViewer, nén file nhạy cảm, exfiltrate, rồi xoá dấu vết — toàn bộ không dùng một dòng malware nào. Phân tích chi tiết qua TeamViewer logs, NTFS USN Journal và PowerShell history.
Một repo MIT gói trọn 4 tầng hệ thống recommender công nghiệp thành FastAPI service
Dev ChendiLiu open-source RecommenderSystem — 6 kênh recall, three-tower rough rank, multi-objective DCN fine rank, MMR + CLIP rerank, Faiss IVFxPQy, endpoint /recommend và /fine_tuning qua FastAPI. Blueprint học việc hiếm có, gói full-link chỉ trong 1 repo đọc được end-to-end.
File Upload Bypass Cheat Sheet: 13 Extension-Splitting Tricks Every Bug Bounty Hunter Should Know
Extension checks aren't security. Attackers bypass file upload filters with double extensions, null bytes, NTFS alternate data streams, RTL overrides, and magic byte forgery — all leading to RCE. Here's the full cheat sheet and how to defend.
Memory Caching: Google cho RNN bộ nhớ 'biết lớn' mà không trả giá như Transformer
Nhóm Google Research đứng sau Titans vừa công bố Memory Caching — kỹ thuật chụp snapshot bộ nhớ định kỳ giúp recurrent model có dung lượng nhớ tăng theo độ dài chuỗi nhưng chi phí suy luận gần như không đổi. Biến thể Sparse Selective Caching chỉ check vài snapshot mỗi token và gần thu hẹp được khoảng cách với Transformer trên recall.
Cognee: open-source memory layer đưa AI agents thoát khỏi 'mất trí' sau mỗi session
Cognee thay RAG bằng pipeline ECL (Extract, Cognify, Load) + Memify, biến dữ liệu thành knowledge graph lai vector — chạy trong 6 dòng code, đạt ~90% accuracy so với ~60% của RAG, vừa gọi $7.5M seed.
VIGIL: Dashboard terminal đo điện năng CPU/GPU/RAM, tính tiền điện theo giờ
VIGIL là TUI mã nguồn mở của GIN-SYSTEMS (v1.0.0, 19/04/2026) đọc cảm biến phần cứng để hiển thị watt, nhiệt độ, xung nhịp và chi phí điện theo thời gian thực — không cần trình duyệt, không background service, không telemetry.
Thrunting Labs nâng cấp lab Malware Analysis: chọn REMnux hay FLARE VM, tách hẳn Incident Response
Thrunting Labs vừa tung bản nâng cấp lớn cho mảng Malware Analysis: học viên được chọn môi trường REMnux (Linux) hoặc FLARE VM (Windows), Incident Response tách thành track riêng, và workspace phân tích được dựng lại với panel câu hỏi + tool reference ghim bên phải. Tất cả đã live, ngay trước khi case domain compromise khởi đầu từ NetSupport RAT ra mắt.
SGLang CVE-2026-5760: một file GGUF độc biến /v1/rerank thành shell (CVSS 9.8)
Lỗ hổng RCE trong SGLang 0.5.9: một Jinja2 chat template độc bên trong file GGUF chạy code Python trên server ngay khi /v1/rerank được gọi. CVSS 9.8, chưa có patch chính thức, PoC đã public.
CVE-2026-41238: Prototype Pollution → XSS Bypass trong DOMPurify (3.0.1–3.3.3)
Lỗ hổng mới trong DOMPurify — HTML sanitizer được dùng bởi 24 triệu downloads/tuần — cho phép bypass sanitization qua prototype pollution. Ảnh hưởng phiên bản 3.0.1 tới 3.3.3, đã vá trong 3.4.0. Upgrade ngay.