Alibaba is set to ban employees from using Anthropic's Claude Code starting July 10, citing an alleged backdoor discovered by a researcher who reverse-engineered the tool. The alleged mechanism, reportedly active since version 2.1.91 (April 2), quietly checked whether a user's proxy or timezone matched a hidden list of Chinese corporate networks and AI labs — including Alibaba, Baidu, ByteDance, and Moonshot AI — and encoded the detection in the system prompt rather than sending overt telemetry. An Anthropic team member said the feature was intended to combat account reselling and model distillation, and that it would be removed. The ban comes amid an escalating dispute between Anthropic and Alibaba's Qwen lab, with Anthropic having accused Qwen-linked operators of running nearly 25,000 fraudulent accounts to extract Claude's capabilities in a large-scale distillation campaign. No independent security audit has been published, and both companies have yet to issue formal public statements.
Nguồn: https://thenextweb.com/news/alibaba-bans-claude-code-alleged-backdoor-risk. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Hướng dẫn từng bước thiết lập phát triển liên tục (continuous development) với Claude GitHub App và Claude Code Actions, cho phép Claude tự động đóng góp tính năng, xem xét pull request dựa trên lệnh @claude. Bài viết bao gồm cài đặt app, cấu hình workflows (claude.yml, claude-code-review.yml), chuyển từ Opus sang Sonnet, kích hoạt Renovate bot, và minh họa toàn bộ quy trình từ tạo issue đến merge code trên dự án Spring Boot REST API. Ngoài ra, bài viết cũng đề cập đến chi phí thực tế khi chạy Claude Code trên nhiều issues.
Lập trình viên nên đọc bài này để khám phá cách tự động hóa phát triển liên tục với AI, từ việc giải quyết bug đến triển khai tính năng mới, giúp tiết kiệm thời gian và nâng cao hiệu suất trong quá trình hợp tác trên GitHub.
Matteo Collina, maintainer của HTTP stack và thư viện undici trong Node.js, cho rằng CVE-2026-48931 (vấn đề poisoning hàng đợi response HTTP/1.1 trong http.Agent) không đáng được xếp vào danh mục CVE vì đây là đặc tính vốn có của giao thức HTTP/1.1, không phải lỗi riêng của Node.js. Bản vá ban đầu gây lỗi giả (ERR_STREAM_PREMATURE_CLOSE) do listener 'data' công khai, ảnh hưởng tới nhiều dự án như Google API, Firebase CLI, Backstage. Sau đó, lỗi được khắc phục bằng cách thay thế bằng hook nội bộ onread. Ông cũng cảnh báo về tình trạng báo cáo bảo mật do AI tạo tràn lan, dẫn đến phân loại sai CVEs.
Bạn nên đọc bài này để hiểu cách phân biệt giữa các lỗ hổng thực sự là Node.js hay là cơ chế HTTP/1.1 chung, tránh rơi vào tình trạng đánh nhầm các cải thiện kỹ thuật thành CVE khi chúng không ảnh hưởng riêng biệt đến dự án của mình.
Codex (OpenAI) và Claude Code (Anthropic) là hai trợ lý lập trình AI với triết lý khác biệt: Codex ưu tiên thực thi tác vụ tự động, phù hợp với nhóm cần năng suất cao; Claude Code tập trung cộng tác tương tác, lý giải chi tiết, dành cho nhà phát triển muốn giám sát chặt chẽ. Lựa chọn phụ thuộc vào quy trình làm việc, mức độ tự chủ mong muốn và mục tiêu phát triển của đội.
Những lập trình viên muốn tìm hiểu cách chọn công cụ hỗ trợ phát triển phù hợp với phong cách làm việc cá nhân hay nhóm, từ tính năng tự động hóa đến sự tương tác thiết kế, sẽ tìm thấy giải đáp chi tiết trong so sánh này.
Tigera giới thiệu Lynx, một control plane native Kubernetes nhằm quản lý các AI agent ở quy mô lớn. Lynx giám sát mọi tương tác giữa agent-tool và agent-LLM, xác thực danh tính qua Entra ID, Okta hoặc SPIFFE/SPIRE, đồng thời áp dụng chính sách chi tiết bằng ngôn ngữ Cedar. Nó sử dụng eBPF và LSM để theo dõi syscall, network call và truy cập file ở cấp kernel, phát hiện bất thường như đánh cắp credential hay di chuyển ngang.
Lập trình viên cần đọc bài này để hiểu cách xây dựng hệ thống bảo mật Kubernetes-native cho các ứng dụng AI tự động hóa, từ cơ chế xác thực đa cấp đến giám sát hành vi hệ thống bằng eBPF, giúp bảo vệ ứng dụng trước các mối đe dọa mới từ các agent AI tự chủ.
Anthropic vừa ra mắt Claude Sonnet 5, phiên bản tầm trung với khả năng điều phối tác vụ tự động, sử dụng công cụ và hoàn thành nhiệm vụ đa bước được cải thiện đáng kể. Mức giá 2$/10 triệu token (vào/ra) cho đến 31/8, sau đó tăng lên 3$/10 triệu, rẻ hơn so với Opus 4.8, GPT-5.5 và Gemini 3.1 Pro nhưng hiệu suất gần tương đương Opus 4.8 trên hầu hết tiêu chuẩn đánh giá.
Lập trình viên nên đọc bài này để hiểu cách các mô hình AI mới như Claude Sonnet 5 có thể tự động hóa và tối ưu hóa công việc lập trình, từ việc lập kế hoạch tự động cho đến xử lý các nhiệm vụ đa bước với chi phí thấp hơn nhiều so với các mô hình cao cấp khác.
Các coding agent bị hạn chế bởi khả năng tự kiểm tra code của mình. Bài viết hướng dẫn cách biến đổi một codebase cũ (từ 2021) để hỗ trợ nhiều coding agent AI chạy song song nhờ git worktrees, giải quyết vấn đề symlink .env tự động, tránh xung đột port Docker bằng cách parameter hóa ports, và tự động khởi tạo build artifacts frontend. Phương pháp này tương thích với Claude Code, Codex và Cursor, nhưng có hạn chế khi dùng Claude Code Desktop Preview với các app yêu cầu xác thực bên thứ ba.
Lập trình viên cần đọc bài này để tìm hiểu cách cải thiện hiệu quả của các công cụ AI hỗ trợ lập trình bằng cách xây dựng các vòng phản hồi thực tế, giúp xử lý các vấn đề như quản lý môi trường chạy đa tiến trình, tự động hóa quản lý port và file cấu hình mà không cần Docker, từ đó tối ưu hóa tốc độ phát triển và độ tin cậy cho các dự án lớn.
Tổng giám đốc Microsoft Satya Nadella cảnh báo rằng các công ty AI không thể vừa dự đoán mất việc hàng loạt vừa đòi quyền kiểm soát hạ tầng vô hạn, nhấn mạnh nhu cầu xây dựng một hệ sinh thái AI phân tán thay vì tập trung vào vài mô hình thống trị. Microsoft ủng hộ xu hướng này bằng cách tung ra các mô hình AI giá rẻ và cân nhắc lưu trữ DeepSeek, nhằm cạnh tranh với OpenAI và Anthropic trước các đợt IPO sắp tới.
Những lập trình viên muốn xây dựng tương lai công nghệ bền vững và cạnh tranh trong thị trường AI đang phát triển nên đọc bài này để hiểu cách cân bằng lợi ích kinh tế với trách nhiệm xã hội, tránh rủi ro về tập trung quyền lực và tìm kiếm giải pháp công bằng trong cuộc cách mạng trí tuệ nhân tạo.
Lỗ hổng ghi vượt giới hạn heap (CVE-2026-8461) có tên PixelSmash được phát hiện trong bộ giải mã MagicYUV của FFmpeg, ảnh hưởng đến nhiều ứng dụng sử dụng libavcodec như Kodi, OBS Studio, Nextcloud, PhotoPrism, Emby và Jellyfin. FFmpeg 8.1.2 đã vá lỗ hổng này, có thể gây RCE hoặc từ chối dịch vụ tùy thuộc vào điều kiện hệ thống.
Lập trình viên nên đọc bài này vì PixelSmash là lỗ hổng nghiêm trọng trong FFmpeg, có thể dẫn đến tấn công xâm nhập từ xa (RCE) hoặc cản trở hoạt động của ứng dụng sử dụng libavcodec, từ các nền tảng như Kodi đến hệ thống quản lý media như Jellyfin, ảnh hưởng đến cả hệ thống của bạn nếu không được cập nhật.