// Popular Articles
CVE-2026-39987: Pre-Auth RCE của marimo — 1 WebSocket = root shell, exploit trong 10h
Lỗ hổng CVSS 9.3 trong marimo cho phép mở 1 WebSocket tới /terminal/ws là có shell root tương tác. Sysdig ghi nhận khai thác thực tế sau 9h41, credential theft xong trong dưới 3 phút, hoàn toàn không cần PoC public. Upgrade 0.23.0 ngay.
Dagster: Vì sao orchestrator "asset-centric" đang định nghĩa lại data pipeline 2026
Dagster — open-source orchestrator (Apache-2.0, 15.4k sao GitHub) — không quản task như Airflow, mà quản trực tiếp các "data asset": bảng, model ML, report. Kết quả: lineage tự động, smart caching, và những con số như HIVED đạt 99.9% reliability suốt 3 năm zero incident.
Event Propagation trong JavaScript: Bubbling, Capturing và Delegation cần biết
Hiểu 3 phase của event propagation (capturing, target, bubbling), cách addEventListener với useCapture hoạt động, và khi nào dùng stopPropagation vs stopImmediatePropagation vs preventDefault. Kèm code pattern event delegation và các pitfall phổ biến.
Tạm biệt 15 class state: Viết lại State Pattern trong Python theo kiểu data-driven
State Pattern kinh điển của Gang of Four đúng về lý thuyết nhưng phát sinh cả tá class và delegation bằng tay. Bản viết lại bằng Enum, generics và decorator cắt 80% boilerplate, biến transition thành dữ liệu, và khiến trạng thái sai trở nên không thể biểu diễn.
DeepSeek V4-Flash đã lên Ollama Cloud: 1M context, MIT license, chạy một dòng lệnh
Ollama vừa host DeepSeek V4-Flash (284B/13B active, 1M context) trên cloud US. Một dòng lệnh để dùng với Claude Code, OpenCode hay Codex — không API key, không config.
Microsoft đã mở mã toàn bộ toolkit Sentinel — và hầu hết team Azure không biết
Repo Azure/Azure-Sentinel trên GitHub chứa 1000+ rule threat detection, hunting query, playbook tự động, workbook dashboard và connector cho hàng trăm nguồn dữ liệu. License MIT. Miễn phí. Đã public từ 2019 — nhưng nhiều team vẫn đang tự viết KQL từ zero.
DBcooper: database client mã nguồn mở cho Postgres, Redis, ClickHouse — có AI viết SQL
DBcooper là GUI database client miễn phí, MIT license, gộp Postgres, SQLite, Redis và ClickHouse vào một app Tauri v2. Tính năng nổi bật: AI sinh SQL biết schema, ER diagram, command palette, SSH tunnel. Hiện chỉ chạy macOS.
MultiWorld — Video World Model đầu tiên sinh video đa agent, đa góc nhìn
Nhóm HKU & Sreal AI công bố MultiWorld — framework open-source sinh video có thể điều khiển nhiều agent cùng lúc, nhất quán qua nhiều camera. Dataset 21M+ frame, đã có checkpoint + code ngày 21/4/2026.
Voicebox: Clone Any Voice Locally — A Free Open-Source Alternative to ElevenLabs
Voicebox is a free, MIT-licensed voice studio that runs entirely on your machine. Clone any voice from 3 seconds of audio, generate speech in 23 languages across 7 TTS engines, and drive it all through a local REST API on port 17493 — no subscriptions, no rate limits, no cloud.
pipe_buffer của Linux kernel: Vì sao đây là "món đồ chơi" yêu thích của exploit dev
Alexander Popov (@a13xp0p0v) vừa công bố một bài phân tích cực kỳ chi tiết về struct pipe_buffer — chỉ 40 byte nhưng mở ra 4 lớp primitive cho kernel exploit: Dirty Pipe, control-flow hijack, AARW, và PageJack. Đọc kỹ để hiểu vì sao chỉ cần corrupt 8 byte là đã có AARW ổn định.