Sherlock: công cụ OSINT mã nguồn mở quét username trên 400+ mạng xã hội trong vài giây
Sherlock là CLI OSINT 82k sao trên GitHub, MIT license, kiểm tra một username trên hơn 400 platforms — Twitter, GitHub, Steam, Reddit, GitLab, Roblox… — không cần API key, xuất CSV/JSON/XLSX, hỗ trợ Tor và proxy. Đây là tool mà bất kỳ ai làm OSINT, red team, hay brand audit đều nên có sẵn trong terminal.
Tolaria: Ứng dụng ghi chú mã nguồn mở "Second Brain" cho kỷ nguyên AI
Tolaria là ứng dụng desktop mã nguồn mở, miễn phí vĩnh viễn, được xây dựng hoàn toàn bằng AI — 100K dòng code mà tác giả không viết dòng nào. Tích hợp MCP server cho Claude Code, Git-first, Markdown-first, và keyboard-first.
Dưới 20 phút, dưới $2: Dreadnode + Kimi K2.6 tìm ra lỗ TLS high-severity trong Azure Cosmos DB
Dreadnode chạy SAST trên binary Azure Cosmos DB lấy từ Microsoft Container Registry bằng .NET reversing agent dùng Kimi K2.6. 19 phút 26 giây, $1.97, ra 1 lỗ tautological trong TLS certificate validation — managed identity token có thể bị MITM.
Safe OpenSig: chấm dứt ký mù trên multisig, sau khi KelpDAO mất 290 triệu USD vì node RPC bị chiếm
Tuần trước, tin tặc (được gán cho Lazarus Group) đã chiếm hai node RPC trong mạng DVN của LayerZero và rút 290 triệu USD từ KelpDAO. Candide Labs ra mắt Safe OpenSig — lớp xác minh trên chuỗi đa node, mirror màn hình Ledger pixel-perfect, và mô phỏng giao dịch cục bộ — để người ký Safe multisig không còn phải tin mù vào một node RPC hay UI web.
Google gộp AI Studio vào AI Pro & Ultra: một sub cho cả user lẫn dev
Từ 20/4/2026, subscriber Google AI Pro ($19.99/tháng) và Ultra ($249.99/tháng) được dùng thẳng AI Studio với usage limit cao hơn, kèm Nano Banana Pro, Gemini Pro, Jules, Antigravity và Gemini CLI — không cần setup API billing riêng.
OpenAI Chronicle: Codex giờ 'xem' màn hình của bạn để hiểu ngữ cảnh — có đáng đánh đổi quyền riêng tư?
OpenAI ra Chronicle ngày 20/04/2026: background agent chụp màn hình Mac định kỳ, gửi về server để OCR + phân tích, rồi lưu thành file Markdown làm 'ký ức' cho Codex. Chỉ Pro $200/tháng, không có ở EU/UK/Thụy Sĩ — và có cả một warning nghiêm túc về prompt-injection.
Cloudflare xây AI engineering stack nội bộ trên chính platform họ ship: 20M requests, 241B tokens, 3,683 user
Sau 11 tháng, Cloudflare dùng chính AI Gateway, Workers AI và MCP Portal của mình để phục vụ 93% R&D. Kết quả: 20M+ request/tháng qua Gateway, 241B tokens, security agent trên Kimi K2.5 rẻ hơn 77% — tiết kiệm ~$2.4M/năm. Đây là báo cáo chi tiết họ vừa công bố cuối Agents Week 2026.
Ethereum đã có lời giải cho RPC giả mạo: Merkle proof, không phải quorum
Thay vì query nhiều RPC rồi lấy đa số, Ethereum cho phép mỗi node đính kèm một Merkle proof cryptographic. Dù RPC bị hack, bạn vẫn an toàn — vì proof giả mạo là bất khả thi.
Grok vừa trở thành hacker: CLI AI quét XSS, SQLi, Open Redirect bằng xAI API
Một researcher trên X vừa công bố CLI pentest cắm xAI API key là chạy: Grok tự sinh payload XSS/SQLi/Open Redirect, bắn HTTP request vào target, rồi tự đọc response để xác định lỗ hổng. Kèm sẵn vulnerable Flask lab để test không dính luật.
secox: công cụ quét bí mật viết bằng Rust không chỉ tìm — mà còn tự fix luôn giùm bạn
Một dev vừa thả open-source công cụ secox (MIT, Rust) với pre-commit hook chặn leak API key, 43 rule, 13 provider verify live, và flow resolve tương tác hướng dẫn bạn rotate + rewrite git history chỉ với vài phím bấm.