// Popular Articles
CVE-2026-41242: Lỗ hổng RCE critical trong protobuf.js — 52 triệu lượt tải/tuần bị ảnh hưởng
Endor Labs phát hiện lỗ hổng code injection nghiêm trọng (CVSS 9.4) trong protobuf.js: chỉ cần một file schema độc hại là app có thể bị RCE ngay khi decode message đầu tiên. Ảnh hưởng gRPC, Firebase, Google Cloud SDKs. Patch có sẵn ở 8.0.1 và 7.5.5.
Liquid AI's car-cockpit voice assistant runs fully offline on a laptop — two tiny models, zero cloud
A 1.5B audio model (LFM2.5-Audio) and a 1.2B tool-calling model (LFM2-1.2B-Tool) drive a real-time, voice-controlled car cockpit demo entirely on-device. No internet, no API keys, no cloud. Here's what's actually inside.
LLM Anonymization: dùng Claude Code cho pentest mà không leak data khách hàng
Reverse proxy mã nguồn mở đặt giữa Claude Code và Anthropic, ẩn danh IP, hash, credential, hostname trước khi gửi đi, rồi phục hồi data thật local. Dual-layer Ollama LLM + regex, per-engagement vault, 0% leak trên 645+ test items.
eBPF không phải tcpdump xịn: 7 cách người ta đang ép kernel làm việc điên rồ
eBPF là một VM nhỏ nằm trong kernel. Nếu bạn vẫn chỉ dùng nó cho bpftrace one-liner, bạn đang bỏ phí 90% sức mạnh: pluggable CPU scheduler, zero-proxy load balancer 10M+ pps, xem TLS plaintext không cần MITM, kernel security enforcement, compute trên SSD, và cả rootkit.
Reverse-engineer Android app trong vài phút với android-reverse-engineering-skill cho Claude Code
Skill mã nguồn mở cho Claude Code tự decompile APK/XAPK/JAR/AAR, bóc endpoint Retrofit, OkHttp, URL hardcode và auth token — việc mà trước đây ngốn hàng chục giờ lội code obfuscate.
Perry: TypeScript biên dịch thẳng ra binary native — nhanh hơn Node 24×, không cần V8 hay Electron
Perry là compiler TypeScript viết bằng Rust, parse bằng SWC, sinh mã native qua LLVM. Một file .ts → một executable 2–5MB chạy trên 10 platform (macOS, iOS, Android, Windows, Linux, watchOS, tvOS, Web, WASM) với widget native thật, không WebView, không Electron.
AutoProber: AI Agent tự động do chân PCB với CNC $220, kính hiển vi và dao động ký
AutoProber của Jon "GainSec" Gaines là stack open-source cho phép AI agent tự tìm bo mạch, chụp - ghép bản đồ kính hiển vi, đánh dấu pad/pin/chip, chờ người duyệt, rồi driven probe do từng điểm - dao động ký canh chừng an toàn ở Channel 4, bất thường là dừng ngay.
PanicLock: nút khẩn cấp tắt Touch ID và khóa máy Mac chỉ bằng một cú click
iOS có kill switch cho Face ID, còn macOS thì không — cho đến khi PanicLock xuất hiện. App Swift mã nguồn mở, MIT-licensed, nằm gọn trên menu bar, tắt Touch ID tức thì để buộc unlock bằng mật khẩu khi cần bảo vệ dữ liệu nhạy cảm ở biên giới hoặc trong tình huống bị ép buộc.
Three.js WebGPU vừa có error reporting tử tế: line, column, caret WGSL và hook onError
PR #33418 của Renaud Rohlinger bổ sung hai thứ mà WebGPURenderer thiếu bấy lâu nay: shader failure kèm line/column/source excerpt trong WGSL, và hook renderer.onError để app bắt uncaptured GPU error thay vì chỉ thấy trong devtools. Target milestone r185.
Cảnh báo Claude Fraud: quảng cáo Google giả mạo Claude Code đang phát tán malware đánh cắp ví và mật khẩu
Sponsored ad khi search "Claude Code" có thể đưa bạn tới trang docs giả pixel-perfect, một dòng lệnh paste vào terminal là đủ để Amatera Stealer hoặc MacSync dọn sạch Keychain, cookie, ví crypto. Đã có 15.600+ nạn nhân ghi nhận.