// Popular Articles
Axios npm bị hack: 100 triệu lượt tải/tuần, RAT đa nền tảng, Bắc Triều Tiên đứng sau
Ngày 31/3/2026, hai phiên bản axios (1.14.1 và 0.30.4) bị tiêm dependency độc hại plain-crypto-js, thả RAT xuyên nền tảng lên macOS/Windows/Linux. Chạy npm install trong 3 giờ cửa sổ là dính. Đây là mổ xẻ đầy đủ và hướng dẫn khắc phục.
Lovable dính lỗ hổng BOLA: hàng ngàn dự án AI bị lộ source code, credentials và chat history
Một endpoint API của Lovable trả về toàn bộ message history, AI thinking logs và tool-use records mà không kiểm tra quyền sở hữu object. Hậu quả: thousands of projects tạo trước tháng 11/2025 đang bị phơi bày source code, database credentials và thông tin khách hàng thật — bao gồm cả tài khoản của nhân viên Nvidia, Microsoft, Uber, Spotify.
Pydantic treo $5,000 cho ai hack được Monty — sandbox Python viết bằng Rust cho AI
Pydantic vừa public một honeypot tên Hack Monty: POST Python code vào /run/, thoát sandbox và đọc được /app/secret.txt hoặc biến môi trường SECRET — nhận $5,000. Đây là lời mời pentest công khai cho Monty, interpreter Python viết từ zero bằng Rust, khởi động dưới 1 microsecond, dùng cho code-mode của Pydantic AI.
Kimi K2.6 Agent: Một prompt ra cả website — video hero, WebGL shader, backend thật
Moonshot AI vừa đẩy Kimi K2.6 Code Preview ra cho subscriber: 1T params MoE, context 256K, swarm 300 agent, và quan trọng nhất — sinh được website React 19 với hero video, shader GLSL, 3D Three.js và auth + database chỉ từ một prompt.
OpenShell v0.0.33: libkrun compute driver hạ cánh, sandbox siết chặt seccomp và inference routing
NVIDIA vừa phát hành OpenShell v0.0.33 — bản alpha runtime cho AI agents. Điểm nổi bật: compute driver libkrun đứng độc lập (backend VM thứ hai), seccomp denylist được siết, inference routing và process limits được hardening. Cộng thêm docs refresh, fix test ARM64, chào maintainer mới @mrunalp.
Lovable Dính Mass Data Breach: 1 Free Account, 5 API Call, Lộ Source Code Toàn Bộ Project Cũ
Lovable — nền tảng AI app builder 8 triệu user và $400M ARR — đang dính lỗ hổng BOLA cho phép bất kỳ free account nào truy cập source code, Supabase credential, và AI chat history của mọi project tạo trước tháng 11/2025. HackerOne report #3583821 đã filed 48 ngày, vẫn Open.
GitHub khai tử SHA-1 trong HTTPS: brownout 14/7, cắt hẳn 15/9/2026
GitHub vừa ấn định ngày 15/9/2026 là hạn cuối loại bỏ SHA-1 khỏi HTTPS trên github.com và các CDN đối tác. Brownout 18 tiếng ngày 14/7/2026 sẽ là cơ hội cuối để phát hiện client cũ trước khi sập thật.
Meta AI4AnimationPy mở demo biped + quadruped chạy ngay trên trình duyệt và điện thoại
Paul Starke (Meta FAIR) vừa phát hành web demo mới cho AI4AnimationPy — khung Python/PyTorch thay cho Unity của AI4Animation. Stylized biped locomotion (style100) và quadruped gait controller giờ chạy được trong browser và mobile qua ONNX Runtime, không cần clone repo hay GPU.
Kimi K2.6: Agent mã nguồn mở 1T params vượt SWE-Bench Pro và rẻ hơn Claude 6 lần
Moonshot AI ra mắt Kimi K2.6 — mô hình MoE 1T params (32B active) dẫn đầu open-source ở HLE w/ tools (54.0), SWE-Bench Pro (58.6) và BrowseComp (83.2). Agent Swarm nâng lên 300 sub-agent × 4,000 bước, chạy tự động trên 12 giờ với 4,000+ tool call. API $0.60/$2.50 per M token — rẻ hơn Claude Sonnet 4.6 khoảng 5–6 lần.
TypeGPU 0.11: Faster Buffer Writes, Smarter Codegen, Rewritten Bundler
Software Mansion ships TypeGPU 0.11 — a performance-focused release with zero-allocation buffer writes, a fresh ESLint plugin, richer WGSL codegen, and a from-scratch Unplugin v3 bundler. Write WebGPU shaders in TypeScript without paying the overhead tax.