Cuộc đua mới đã bắt đầu: Dựng obfuscation trong một cuối tuần là đủ để hạ Claude Opus 4.6
Elastic Security Labs vừa công bố nghiên cứu cho thấy chỉ cần một vòng lặp dev/test/refine ngắn là đủ để xây obfuscation nhắm thẳng vào điểm yếu của LLM reverse engineer — context window, budget cap, shortcut bias. Claude Opus 4.6 giải 40% binary do Tigress sinh ra, nhưng 0% ở Phase 3, và thất bại trước 3 biến thể tự chế chỉ tốn vài ngày dựng.
Grok vừa trở thành hacker: CLI AI quét XSS, SQLi, Open Redirect bằng xAI API
Một researcher trên X vừa công bố CLI pentest cắm xAI API key là chạy: Grok tự sinh payload XSS/SQLi/Open Redirect, bắn HTTP request vào target, rồi tự đọc response để xác định lỗ hổng. Kèm sẵn vulnerable Flask lab để test không dính luật.
AgentShield: Scanner bảo mật đầu tiên chuyên cho AI coding agent — 102 rules, grade A–F, tích hợp Opus 4.6 red-team
AgentShield là CLI open-source quét .claude/ directory, phát hiện hardcoded secrets, prompt injection, hook abuse, MCP supply-chain risk và permission misconfig. 102 rules chia 5 nhóm, xuất báo cáo grade A–F kèm pipeline red-team/blue-team/auditor chạy trên Claude Opus 4.6. Miễn phí CLI + GitHub Action (MIT), Pro tier $19/seat/month.
Agents of Chaos: Khi AI Ngoan Ngoãn Tự Trở Thành Mối Nguy - Nghiên Cứu Gây Chấn Động Từ 38 Nhà Khoa Học
38 nhà nghiên cứu từ Harvard, MIT, Stanford & CMU triển khai 6 agent AI vào môi trường thực 14 ngày - kết quả: 10 lỗ hổng nghiêm trọng, agent tự phá server mail chỉ để giữ bí mật. Không cần jailbreak, không cần lệnh độc hại - chỉ từ cấu trúc động lực. Paper arXiv:2602.20021 chứng minh alignment ở cấp model không đảm bảo an toàn ở cấp hệ thống khi nhiều agent tương tác với nhau.
AI OSINT: Bộ công cụ recon phơi bày 175.000 server AI đang hở cửa
7WaySecurity vừa công khai ai_osint — kho dorks, Shodan/Censys query và Sigma rules để tìm LLM endpoint, vector DB và MCP server bị phơi bày trên Internet. Những con số đi kèm đủ khiến bất kỳ đội bảo mật nào phải xem lại attack surface của mình.