// Popular Articles
PwnLand: Kho "grimoire" miễn phí về CVE, exploit và fuzzing cho dân pwn
Nicolas "Dinosn" Krassas vừa spotlight PwnLand — exploitation grimoire do PwnFuzz maintain, gom CVE writeups, kỹ thuật heap/kernel và CTF walkthroughs vào một repo MIT duy nhất.
NVIDIA mở mã nguồn GPU kernel modules cho Linux: bước ngoặt sau 20 năm
NVIDIA publish kernel-space driver GPU Linux dưới giấy phép GPL/MIT qua repo NVIDIA/open-gpu-kernel-modules. Từ R515 (2022) tới R560 mặc định (2024) và bản mới nhất 595.58.03 — tất cả Turing, Ampere, Ada, Hopper, Blackwell đều đã chuyển sang open driver. CUDA/OpenGL/Vulkan vẫn closed, Grace Hopper và Blackwell bắt buộc dùng open.
Multica: bản open-source của Claude Managed Agents — 17.1k sao GitHub trong vài tuần
Multica ra mắt chỉ vài ngày sau Claude Managed Agents của Anthropic, biến coding agent thành đồng nghiệp thật sự trên kanban board. Apache 2.0, self-host được, hỗ trợ Claude Code, Codex, Gemini, Cursor Agent và 4 runtime khác.
Mọi AI coding agent hiện nay đang được train sai cách — và có một paper vừa chứng minh điều đó
Nghiên cứu mới từ HKUST, NUS và PKU chỉ ra các coding agent train trên task tổng hợp (fix GitHub issue, pass test suite) chỉ học được heuristic của benchmark — không học được cách code. Lời giải: dạy 5 kỹ năng nguyên tử, train chung bằng joint RL. Kết quả: +18.7% trên cả 10 task, trong đó 5 task chưa từng có trong training.
Vercel bị hack: ShinyHunters rao bán source code và API keys giá 2 triệu USD
Vercel xác nhận hệ thống nội bộ bị xâm nhập qua OAuth của Context.ai. Kẻ tấn công rao bán source code, GitHub/NPM tokens và 580 bản ghi nhân viên với giá 2 triệu USD. Developer cần kiểm tra và xoay vòng secrets ngay.
Fun-ASR 1.5 ra mắt: 30 ngôn ngữ, code-switching tự động, text production-ready
Tongyi Lab (Alibaba) chính thức phát hành Fun-ASR 1.5 — bản update lớn của mô hình nhận dạng giọng nói end-to-end với 3 trụ cột: phủ 30 ngôn ngữ, tự động chuyển ngôn ngữ giữa câu, và output văn bản có punctuation + định dạng số/ngày/tiền tệ sẵn dùng.
CVE-2026-40871: Second-Order SQL Injection trong Mailcow qua quarantine_category
Lỗ hổng SQL injection bậc hai trong Mailcow API cho phép attenkiếm API key trích xuất credential admin qua email notification. Payload lưu sạch trong DB, chỉ fire khi job quarantine_notify.py chạy — né WAF và scanner black-box.
CVE-2026-33829: Lỗ hổng Snipping Tool trên Windows làm lộ hash NTLMv2 qua mạng
Microsoft vừa vá một lỗ hổng spoofing trong Windows Snipping Tool (CVE-2026-33829): chỉ một cú click vào deep link ms-screensketch độc hại, hash NTLMv2 của người dùng có thể bị gửi sang máy chủ SMB của kẻ tấn công. Bản vá đã có trong Patch Tuesday 14/04/2026.
Your LLM API Router Might Be Stealing Your Keys: Inside the 428-Router Security Study
Researchers tested 428 third-party LLM API routers and found 9 injecting malicious code, 17 abusing AWS credentials, and one that drained an Ethereum wallet of ~$500k. Here is why the middleman layer is the AI supply chain's quietest disaster — and what to do about it.
Vercel bị tấn công: Hacker đòi 2 triệu USD, kêu gọi toàn bộ khách hàng xoay secrets ngay
Vercel xác nhận bị truy cập trái phép vào hệ thống nội bộ ngày 19/4/2026 qua OAuth app của Context.ai. Hacker đòi 2 triệu USD, rao bán source code và token. Tất cả khách hàng cần xoay env variables và redeploy ngay.