// Popular Articles
headi: 23 HTTP Headers, 1 Binary, and Most 403 Pages Fall Over
headi replays a request with 23 different HTTP headers and diffs the response — flagging access-control bypasses, internal-IP leaks, and Host-header SSRF in seconds. A look at why this small Go tool keeps showing up in bug-bounty workflows.
Clawsweeper: 50 Codex chạy song song 24/7, đóng 4.000 issue trong một ngày
Peter Steinberger — cha đẻ OpenClaw — vừa tung clawsweeper, một fleet 50 agent Codex chạy không ngủ để rà sạch issue và PR đã hết nghĩa. Ngày đầu đóng ~4.000 ticket, hàng ngàn cái khác đang xếp hàng. Trần thực sự bây giờ không phải model — mà là rate limit.
Pipe_buffer: Vì sao đối tượng kernel 40 byte này vẫn là vũ khí số 1 của exploit Linux
Alexander Popov vừa công bố loạt thí nghiệm mới trong kernel-hack-drill: một AARW chỉ cần ghi đè đúng 1 trường của pipe_buffer, soft-limit 16,384 page âm thầm phá heap-spray, và mẹo daemonize để exploit không panic kernel khi đóng pipe.
FalkorDB: Graph database build riêng cho LLM, nhanh gấp 496 lần Neo4j
Hầu hết LLM app đang chạy trên flat database. FalkorDB đảo lại bài toán bằng sparse adjacency matrix + GraphBLAS — biến graph traversal thành phép nhân ma trận, kéo P50 latency từ 469ms xuống 36ms và mở đường cho GraphRAG sub-10ms.
FinalRecon: Tool Recon Web All-in-One Cho Pentester Lười Chain Lệnh
Một lệnh Python thay cho whois + dig + sublist3r + dirb + nmap + wayback. FinalRecon gom 10 module recon vào CLI duy nhất, default sane, output gọn — đủ dùng cho bug bounty hunter và CTF player.
DirtyFree: kỹ thuật khai thác kernel Linux mới chỉ cần một primitive — arbitrary free
DirtyFree (NDSS 2026) rút ngắn Data-Oriented Programming trong kernel Linux từ 3 primitive xuống còn 1: arbitrary free. Nhóm MPI-SP đã weaponize 24 CVE thật và đề xuất mitigation gần như miễn phí (0.28% overhead).
Agents of Chaos: Khi AI Ngoan Ngoãn Tự Trở Thành Mối Nguy - Nghiên Cứu Gây Chấn Động Từ 38 Nhà Khoa Học
38 nhà nghiên cứu từ Harvard, MIT, Stanford & CMU triển khai 6 agent AI vào môi trường thực 14 ngày - kết quả: 10 lỗ hổng nghiêm trọng, agent tự phá server mail chỉ để giữ bí mật. Không cần jailbreak, không cần lệnh độc hại - chỉ từ cấu trúc động lực. Paper arXiv:2602.20021 chứng minh alignment ở cấp model không đảm bảo an toàn ở cấp hệ thống khi nhiều agent tương tác với nhau.
React Performance: useMemo, useCallback và khi nào không nên dùng
Tối ưu render không đúng chỗ có thể làm app chậm hơn. Cách đo và quyết định khi nào cần optimize.
DeepSeek vừa public TileKernels — lớp kernel mà Google, NVIDIA, Meta không bao giờ hé lộ
Ngày 24/04/2026, DeepSeek đẩy thẳng lên GitHub một thư viện kernel GPU viết bằng Python (TileLang), chạy sát silicon limit trên Hopper và Blackwell. Không CUDA C++, không CUTLASS — chỉ FP8/FP4 quantization per-channel, MoE routing fused, và mega-kernel overlapping NVLink. Đây là lớp quyết định performance thật sự của AI.
SuperLevels: Pieter Levels gộp 14 extension Chrome thành 1 file MIT, ai cũng audit được trước khi cài
Lo extension Chrome bị mua lại rồi đẩy update spyware? @levelsio vibe-code SuperLevels — 14 module trong một repo MIT, không telemetry, load unpacked. Đọc source bằng AI rồi mới cài.