AI Bẻ Khóa Apple Silicon M5 Trong 5 Ngày - Kỷ Nguyên AI Bugmageddon Bắt Đầu
Team Calif (3 người, gốc Việt) kết hợp Claude Mythos Preview phá vỡ MIE - lớp bảo mật phần cứng Apple tốn 5 năm và hàng tỷ USD xây dựng - chỉ trong 5 ngày, tạo ra exploit kernel macOS đầu tiên vượt qua MIE trên chip M5. Mythos tạo exploit Firefox thành công 72.4% lần thử, so với gần 0% của Opus 4.6 và 4.4% của Sonnet 4.6. Anthropic không phát hành Mythos công khai do quá nguy hiểm - chỉ khoảng 40 tổ chức gồm Apple, Google, Microsoft và NSA được truy cập có kiểm soát qua Project Glasswing.
HackingTool: Bộ công cụ pentest all-in-one 185+ tools, 63K sao GitHub
HackingTool v2.0.0 gom 185+ công cụ pentest vào một CLI menu duy nhất, bao gồm 20 danh mục từ ẩn danh, recon, khai thác web đến tạo payload. 63K sao GitHub, MIT license, chạy trên Linux/Kali/Parrot/macOS. Cài một lần bằng một dòng lệnh, không cần thiết lập riêng từng tool.
Sherlock: công cụ OSINT mã nguồn mở quét username trên 400+ mạng xã hội trong vài giây
Sherlock là CLI OSINT 82k sao trên GitHub, MIT license, kiểm tra một username trên hơn 400 platforms — Twitter, GitHub, Steam, Reddit, GitLab, Roblox… — không cần API key, xuất CSV/JSON/XLSX, hỗ trợ Tor và proxy. Đây là tool mà bất kỳ ai làm OSINT, red team, hay brand audit đều nên có sẵn trong terminal.
Calif.io: Từ nhóm hacker Việt Nam đến đối tác bảo mật chính thức của OpenAI và Microsoft
Calif.io vừa được OpenAI công nhận là đối tác nghiên cứu lỗ hổng bảo mật chính thức, cùng Trail of Bits. Song song đó, Microsoft thừa nhận công trình nghiên cứu HTTP.sys kernel bug của Calif với Anthropic — một lỗ hổng mà founder Thai Duong gọi là bước ngoặt của công ty. Ba lần lên trang nhất Hacker News trong một tuần, MADBugs đang định nghĩa lại cách AI tìm zero-day.
Hacker khoét lỗ IDOR, phơi bày 19 triệu danh tính công dân Pháp qua hệ thống ANTS
Cổng cấp căn cước, hộ chiếu, bằng lái của Pháp bị khai thác qua một lỗi IDOR tầm thường. Kẻ tấn công bảo không lấy tiền — chỉ muốn chứng minh hệ thống chính phủ dễ hack đến mức nào. 19 triệu bản ghi PII có thể đã rơi ra ngoài.
12 công cụ crack password mà pentester nào cũng cần biết (2026)
Tổng hợp 12 tool cracking password quan trọng nhất trong pentest & red team: Hashcat, John the Ripper, Hydra, Aircrack-ng và 8 tool khác — kèm benchmark GPU thực tế trên RTX 4090/5090, so sánh online vs offline, và disclaimer pháp lý bắt buộc trước khi chạy.
Flowsint: Công cụ OSINT mã nguồn mở biến điều tra số thành bản đồ quan hệ sống động
Flowsint là công cụ OSINT graph-based mã nguồn mở chạy 100% local qua Docker. Nhập một domain, IP, email hay ví crypto — chain các transform tự động để dựng toàn bộ bản đồ hạ tầng số của mục tiêu trên một canvas duy nhất. 3.2k stars, Apache-2.0, thay thế Maltego đắt đỏ bằng một nền tảng minh bạch, đạo đức và tự host.
Reverse engineer app Android bằng 1 lệnh trong Claude Code
SimoneAvogadro vừa mở mã nguồn Android Reverse Engineering Skill — plugin Claude Code biến APK/XAPK/JAR/AAR thành báo cáo API có cấu trúc chỉ với lệnh /decompile. Đạt 3.2k sao GitHub, miễn phí Apache 2.0.
GhostTrack: Bộ công cụ OSINT 3-trong-1 chạy được trên cả Termux Android
GhostTrack là OSINT toolkit Python open-source gộp IP tracker, phone tracker và username tracker vào một CLI duy nhất. 8.8k sao GitHub, chạy được cả Linux lẫn Termux trên điện thoại — nhưng dùng cho mục đích gì mới là chuyện đáng nói.
HackTricks: cuốn sổ tay pentesting 11.2k sao đang âm thầm dạy cả ngành security
Carlos Polop bắt đầu ghi chú lúc ôn OSCP năm 2019. Giờ HackTricks là wiki pentesting lớn nhất cộng đồng — 13 phase methodology, 17 ngôn ngữ, 399 contributor, cover từ Web, AD, Cloud tới CI/CD.