↑↓ điều hướng mở bàiEsc đóng

// Popular Articles

#1042025-04-18

Vercel bị tấn công: Env vars của bạn có thể đã lộ — làm ngay 4 việc này

Ngày 19/04/2026 Vercel xác nhận có truy cập trái phép vào hệ thống nội bộ. Một kẻ tấn công rao bán access keys, source code, GitHub/NPM tokens và đòi tiền chuộc 2 triệu USD. Mọi khách hàng nên rotate env vars non-sensitive ngay.

vercelsecurity-breachenv-vars
6 phút đọc
#1032025-04-18

crypto.randomUUID(): Tạo UUID an toàn ngay trong trình duyệt, bỏ luôn package uuid

Web Crypto API có sẵn hàm crypto.randomUUID() sinh UUID v4 chuẩn CSPRNG, chạy trong mọi browser hiện đại và Node.js 14.17+. Không cần npm install, không tốn bundle, nhanh hơn package uuid khoảng 3 lần.

javascriptweb-apiuuid
6 phút đọc
#992025-04-16

PentestAgent: Framework AI Pentest Tự Chạy nmap, sqlmap, Metasploit

PentestAgent là framework mã nguồn mở (MIT) biến LLM thành operator pentest — thực sự chạy nmap, sqlmap, metasploit trong Docker, fan-out recon đa agent qua MCP, và ghi chú phát hiện vào knowledge graph. Không phải chatbot gợi ý — là agent tự bấm nút.

pentestagentai-agentpenetration-testing
7 phút đọc
#982025-04-15

PentestGPT v1.0: AI tự pentest đạt 86.5% benchmark, giá $0.42/target

PentestGPT — framework pentest tự động bằng LLM từ nhóm NTU Singapore — ra v1.0 cuối 2025 với 86.5% success rate trên XBOW benchmark, median cost $0.42 và 3.3 phút/target. Đã đoạt Distinguished Artifact tại USENIX Security 24 và gom 12.7k sao GitHub. AI chính thức bước vào offensive security.

pentestgptai-securityoffensive-security
7 phút đọc
#972025-04-15

Vercel bị xâm nhập: ShinyHunters rao bán database nội bộ $2M — tại sao mọi dev Next.js nên rotate secrets ngay

Ngày 19/04/2026, Vercel xác nhận bị xâm nhập hệ thống nội bộ. Cùng lúc, nhóm ShinyHunters (thủ phạm vụ Ticketmaster 560M) rao bán data nội bộ của Vercel giá $2M trên BreachForums, bao gồm NPM tokens, GitHub tokens và source code. Đây là lý do mọi dev Next.js cần rotate secrets ngay lập tức.

vercelsecurity-breachshinyhunters
7 phút đọc
#962025-04-14

CVE-2025-47985: Lỗ hổng Windows Event Tracing leo thang đặc quyền lên SYSTEM

Một researcher (handle @cplearns2h4ck) vừa được MSRC credit công khai cho CVE-2025-47985 — bug untrusted pointer dereference (CWE-822) trong Windows Event Tracing cho phép local user leo thang lên SYSTEM qua LPC message giả. Điểm CVSS 7.8, vá tháng 7/2025.

cve-2025-47985windows-securityprivilege-escalation
6 phút đọc
#952025-04-14

Selfsync: Tự host Chrome Sync server, dữ liệu không qua Google

Selfsync là máy chủ Chrome Sync mã nguồn mở viết bằng Rust, lưu toàn bộ bookmark, password và preferences trong một file SQLite duy nhất trên máy bạn — không cần đăng ký, không gửi byte nào sang Google.

selfsyncchrome-syncself-hosted
6 phút đọc
TinyPKI: GUI gọn nhẹ cho Step CA, mời người không rành kỹ thuật lên private CA trong 1 click
#932025-04-13

TinyPKI: GUI gọn nhẹ cho Step CA, mời người không rành kỹ thuật lên private CA trong 1 click

Một dev Ba Lan vừa thả TinyPKI lên GitHub — web GUI + JSON API bọc quanh Smallstep step-ca, kèm invitation flow để non-technical user tự enroll X.509 cert qua trình duyệt. Home lab và SMB chạy mTLS giờ có thêm một món nhẹ hều.

tinypkistep-caprivate-ca
6 phút đọc
#912025-04-12

BTMOB v4.1: Android Banking Trojan Source Code Goes On Sale, Targets Portuguese Banks

Threat actor isExploit is selling the full source code of BTMOB v4.1 — a commodity Android RAT pitched as "best of 2026" — with prebuilt overlays for BPI, Santander, Millennium, plus a 7-vector DDoS module and SSH router pivot. Source-code sales of this class historically trigger fork waves within weeks.

btmobandroid-ratbanking-trojan
7 phút đọc
#892025-04-11

Goose — AI agent open-source của Block gia nhập Linux Foundation qua Agentic AI Foundation

Block chính thức tặng goose — AI agent open-source có thể install, chạy, edit và test code — cho Linux Foundation qua Agentic AI Foundation mới thành lập. Tương thích 15+ LLM providers và 70+ MCP extensions, repo dời về github.com/aaif-goose/goose.

gooseai-agentlinux-foundation
6 phút đọc