// Popular Articles
rtk (Rust Token Killer): Công Cụ Cắt 60–90% Token Cho Claude Code, Codex, Cursor
rtk là CLI proxy viết bằng Rust, chèn giữa AI coding agent và shell để lọc–nén output. Đúng như dân dev bảo: 'cảm giác token tụt thật'. Thực tế đo được: cargo test -99%, git diff -94%, phiên 30 phút từ 118k xuống 24k token.
Grok vừa trở thành hacker: CLI AI quét XSS, SQLi, Open Redirect bằng xAI API
Một researcher trên X vừa công bố CLI pentest cắm xAI API key là chạy: Grok tự sinh payload XSS/SQLi/Open Redirect, bắn HTTP request vào target, rồi tự đọc response để xác định lỗ hổng. Kèm sẵn vulnerable Flask lab để test không dính luật.
Gitea 1.26.0: Actions concurrency, private reusable workflows, Vite và CodeMirror
Gitea 1.26.0 mang nâng cấp lớn cho Actions (concurrency, private reusable workflows, re-run failed jobs, run summaries), chuyển frontend sang Vite + CodeMirror và vá 4 CVE. Đây là bản tiệm cận GitHub Actions rõ rệt nhất của Gitea.
Claude Code biết reverse engineer Android app: /decompile một câu lệnh, APK ra API
Simone Avogadro vừa publish một Claude Code skill FOSS (Apache 2.0) biến quy trình reverse engineer Android APK rườm rà — jadx + apktool + dex2jar + grep tay — thành một slash command duy nhất: /decompile. Hỗ trợ APK/XAPK/JAR/AAR, tự trích Retrofit/OkHttp endpoint, trace call flow từ Activity xuống HTTP, và xử lý được ProGuard/R8. 3.6k sao GitHub, 363 fork.
CVE-2026-40871: Stored SQL Injection ẩn trong mailcow quarantine — bài học cho self-hosted email
GHSA-r8fq-wrfm-cj2q vừa được mailcow công bố ngày 16/04/2026: lỗ hổng Second-Order SQL Injection (CVSS 7.2 High) qua trường quarantine_category. Payload nằm im trong DB rồi nổ khi quarantine_notify.py chạy nền — và rò dữ liệu ra qua chính email thông báo. Đã vá trong 2026-03b.
android-reverse-engineering-skill: Biến Claude Code thành trợ lý RE Android chỉ với 1 file APK
Claude Code skill mới của Simone Avogadro tự decompile APK/XAPK/JAR/AAR, trích xuất toàn bộ Retrofit endpoints, OkHttp calls, URL hardcode và auth tokens — bỏ qua hàng giờ đọc smali thủ công. Apache 2.0, ~4k stars.
Gemma 4 chạy offline trên iPhone: 1.5GB, không cần mạng, không cần cloud
Google vừa đưa Gemma 4 E2B và E4B — mô hình mở đa phương tiện — xuống iPhone. Tải ~1.5 GB là xong, chat–nhìn ảnh–nghe giọng hoàn toàn offline. Đây là cái nhìn kỹ thuật và trải nghiệm thực tế.
Hermes Vault v0.1.0: Két sắt credential local-first cho agent Hermes của Nous Research
Andrew Simons vừa ship v0.1.0 của Hermes Vault — scanner, vault mã hoá SQLite, broker TTL và verifier, tất cả chạy local, MIT license. Thiết kế riêng cho mô hình thực thi của agent Hermes, nơi plaintext .env và subprocess kế thừa toàn bộ env là lỗ hổng mặc định.
NtWarden: bộ kit mổ xẻ Windows từ user-mode tới kernel, có cả remote agent
NtWarden là toolkit MIT mới ra của @mrT4ntr4 — gộp ImGui GUI, kernel driver KWinSys và TCP server WinSysServer thành một bộ DFIR/malware analysis xuyên suốt user lẫn kernel mode, làm được trên máy local hoặc qua mạng.
Reflected XSS trên connect.trezor.io: khi hash fragment biến domain ví cứng thành bệ phóng phishing
Nhà nghiên cứu Vipul Sahu công bố lỗ hổng Reflected XSS qua hash fragment trên connect.trezor.io — cho phép chạy JS tùy ý dưới origin trusted của Trezor Connect. Phân tích kỹ thuật, kịch bản tấn công, và vì sao hardware wallet vẫn là lớp phòng thủ cuối.