devlog by a solofounder

// Popular Articles

#1212025-04-27

Grok vừa trở thành hacker: CLI AI quét XSS, SQLi, Open Redirect bằng xAI API

Một researcher trên X vừa công bố CLI pentest cắm xAI API key là chạy: Grok tự sinh payload XSS/SQLi/Open Redirect, bắn HTTP request vào target, rồi tự đọc response để xác định lỗ hổng. Kèm sẵn vulnerable Flask lab để test không dính luật.

grokxai-apiai-pentest

6 phút đọc

#1192025-04-26

Gitea 1.26.0: Actions concurrency, private reusable workflows, Vite và CodeMirror

Gitea 1.26.0 mang nâng cấp lớn cho Actions (concurrency, private reusable workflows, re-run failed jobs, run summaries), chuyển frontend sang Vite + CodeMirror và vá 4 CVE. Đây là bản tiệm cận GitHub Actions rõ rệt nhất của Gitea.

giteadevopsci-cd

7 phút đọc

#1172025-04-25

Claude Code biết reverse engineer Android app: /decompile một câu lệnh, APK ra API

Simone Avogadro vừa publish một Claude Code skill FOSS (Apache 2.0) biến quy trình reverse engineer Android APK rườm rà — jadx + apktool + dex2jar + grep tay — thành một slash command duy nhất: /decompile. Hỗ trợ APK/XAPK/JAR/AAR, tự trích Retrofit/OkHttp endpoint, trace call flow từ Activity xuống HTTP, và xử lý được ProGuard/R8. 3.6k sao GitHub, 363 fork.

claude-codeandroidreverse-engineering

6 phút đọc

#1142025-04-23

CVE-2026-40871: Stored SQL Injection ẩn trong mailcow quarantine — bài học cho self-hosted email

GHSA-r8fq-wrfm-cj2q vừa được mailcow công bố ngày 16/04/2026: lỗ hổng Second-Order SQL Injection (CVSS 7.2 High) qua trường quarantine_category. Payload nằm im trong DB rồi nổ khi quarantine_notify.py chạy nền — và rò dữ liệu ra qua chính email thông báo. Đã vá trong 2026-03b.

mailcowcve-2026-40871sql-injection

6 phút đọc

#1122025-04-22

android-reverse-engineering-skill: Biến Claude Code thành trợ lý RE Android chỉ với 1 file APK

Claude Code skill mới của Simone Avogadro tự decompile APK/XAPK/JAR/AAR, trích xuất toàn bộ Retrofit endpoints, OkHttp calls, URL hardcode và auth tokens — bỏ qua hàng giờ đọc smali thủ công. Apache 2.0, ~4k stars.

claude-codeandroid-reverse-engineeringapk-decompile

6 phút đọc

#1112025-04-22

Gemma 4 chạy offline trên iPhone: 1.5GB, không cần mạng, không cần cloud

Google vừa đưa Gemma 4 E2B và E4B — mô hình mở đa phương tiện — xuống iPhone. Tải ~1.5 GB là xong, chat–nhìn ảnh–nghe giọng hoàn toàn offline. Đây là cái nhìn kỹ thuật và trải nghiệm thực tế.

gemma-4google-deepmindon-device-ai

7 phút đọc

#1092025-04-21

Hermes Vault v0.1.0: Két sắt credential local-first cho agent Hermes của Nous Research

Andrew Simons vừa ship v0.1.0 của Hermes Vault — scanner, vault mã hoá SQLite, broker TTL và verifier, tất cả chạy local, MIT license. Thiết kế riêng cho mô hình thực thi của agent Hermes, nơi plaintext .env và subprocess kế thừa toàn bộ env là lỗ hổng mặc định.

hermes-vaultnous-researchcredential-management

6 phút đọc

#1072025-04-20

NtWarden: bộ kit mổ xẻ Windows từ user-mode tới kernel, có cả remote agent

NtWarden là toolkit MIT mới ra của @mrT4ntr4 — gộp ImGui GUI, kernel driver KWinSys và TCP server WinSysServer thành một bộ DFIR/malware analysis xuyên suốt user lẫn kernel mode, làm được trên máy local hoặc qua mạng.

ntwardenwindows-internalsdfir

7 phút đọc

#1062025-04-19

Reflected XSS trên connect.trezor.io: khi hash fragment biến domain ví cứng thành bệ phóng phishing

Nhà nghiên cứu Vipul Sahu công bố lỗ hổng Reflected XSS qua hash fragment trên connect.trezor.io — cho phép chạy JS tùy ý dưới origin trusted của Trezor Connect. Phân tích kỹ thuật, kịch bản tấn công, và vì sao hardware wallet vẫn là lớp phòng thủ cuối.

trezorxssbug-bounty

7 phút đọc

#1042025-04-18

Vercel bị tấn công: Env vars của bạn có thể đã lộ — làm ngay 4 việc này

Ngày 19/04/2026 Vercel xác nhận có truy cập trái phép vào hệ thống nội bộ. Một kẻ tấn công rao bán access keys, source code, GitHub/NPM tokens và đòi tiền chuộc 2 triệu USD. Mọi khách hàng nên rotate env vars non-sensitive ngay.

vercelsecurity-breachenv-vars

6 phút đọc