A BSidesSF 2026 conference talk by presenter c4mOuf14g covering lessons learned from designing and building custom hardware for security research and hacking purposes. The content is published on the BSidesSF YouTube channel.
Nguồn: https://securityboulevard.com/2026/07/bsidessf-2026-lessons-learned-from-building-custom-hacker-hardware. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Tại hội nghị DASH 2026 của Datadog ở New York, hơn 170 sản phẩm và tính năng mới đã được giới thiệu, tập trung vào AI-driven operations (Bits AI) như phát hiện mối đe dọa, khắc phục sự cố, tối ưu hóa cơ sở dữ liệu, đánh giá mô hình và săn lùng mối đe dọa. Bên cạnh đó, khả năng quan sát (observability) được mở rộng với quản lý cấu hình mạng, giám sát hành trình người dùng và tự động tối ưu chi phí. Sự kiện còn có hơn 100 phiên kỹ thuật với sự tham gia của các chuyên gia từ OpenAI, Anthropic, Hugging Face, Vercel cùng chia sẻ từ khách hàng như Samsung, Figma và Volkswagen Group. Ngoài ra, khu vực bảo mật được mở rộng, thành lập các đại diện khu vực tại Nhật Bản, Hàn Quốc, Brazil và diễn ra Hội nghị Đối tác lần thứ năm.
Lập trình viên cần đọc để khám phá cách AI như Bits AI của Datadog tự động tối ưu hóa hệ thống, phát hiện lỗi và bảo vệ ứng dụng, giúp nâng cao hiệu suất và an toàn trong phát triển phần mềm.
Giám đốc công nghệ toàn cầu (CTO) Jonathan Zanger của Check Point Software cho rằng AI đang thay đổi cả tấn công lẫn phòng thủ mạng, buộc phải chuyển từ bảo mật xác định (deterministic) sang phương pháp mới do bản chất phi xác định (non-deterministic) của AI. Ông nhấn mạnh AI vừa mở rộng khả năng tấn công (phishing, ransomware, malware) vừa nâng cao phòng thủ (Check Point sử dụng ~300 agent AI cho kiểm thử đỏ liên tục), đồng thời cảnh báo về lỗ hổng trong mọi nền tảng AI và nhấn mạnh ba ưu tiên: bảo vệ ứng dụng AI, bảo mật hoạt động phòng thủ bằng AI, và chống tấn công do AI thúc đẩy, kèm theo nhu cầu giải thích quyết định chặn tự động.
Là lập trình viên phát triển hệ thống AI hoặc bảo mật, bạn nên đọc bài này để hiểu cách AI thay đổi cơ sở hạ tầng bảo mật, từ đó tối ưu hóa cách xây dựng hệ thống an toàn và phòng ngừa các rủi ro mới từ các cuộc tấn công do AI tạo ra.
Matteo Collina, maintainer của HTTP stack và thư viện undici trong Node.js, cho rằng CVE-2026-48931 (vấn đề poisoning hàng đợi response HTTP/1.1 trong http.Agent) không đáng được xếp vào danh mục CVE vì đây là đặc tính vốn có của giao thức HTTP/1.1, không phải lỗi riêng của Node.js. Bản vá ban đầu gây lỗi giả (ERR_STREAM_PREMATURE_CLOSE) do listener 'data' công khai, ảnh hưởng tới nhiều dự án như Google API, Firebase CLI, Backstage. Sau đó, lỗi được khắc phục bằng cách thay thế bằng hook nội bộ onread. Ông cũng cảnh báo về tình trạng báo cáo bảo mật do AI tạo tràn lan, dẫn đến phân loại sai CVEs.
Bạn nên đọc bài này để hiểu cách phân biệt giữa các lỗ hổng thực sự là Node.js hay là cơ chế HTTP/1.1 chung, tránh rơi vào tình trạng đánh nhầm các cải thiện kỹ thuật thành CVE khi chúng không ảnh hưởng riêng biệt đến dự án của mình.
Nhóm phát triển PHP vừa tung ra phiên bản 8.4.23, một bản cập nhật bảo mật quan trọng cho …
Một nhà phát triển đã biến đổi bộ điều khiển đồ chơi Fisher-Price thành gamepad Bluetooth chơi Mario Kart nhờ vi điều khiển Seeed XIAO nrf52840 Sense, sử dụng cảm biến IMU để điều khiển lái bằng gyro, nhưng vẫn còn dang dở khi các nút bumper phía trên chưa được kết nối.
Những lập trình viên yêu thích DIY và game thủ có thể khám phá cách tái sử dụng thiết bị cũ để tạo ra những thiết bị game độc đáo, mở rộng kiến thức về cảm biến và giao tiếp Bluetooth trong ứng dụng thực tế.
Norik Systems giới thiệu USB dongle nhỏ gọn dựa trên nRF9151 SiP của Nordic, hỗ trợ triển khai DECT NR+ dưới dạng node phụ hoặc gateway cấp nguồn qua USB. Thiết bị tích hợp vi xử lý Arm Cortex-M33, 256KB RAM, 1MB flash, hoạt động trên băng tần 1.9 GHz và 915 MHz, đi kèm RP2040 làm debugger CMSIS-DAP và firmware vỏ console sẵn có cho khám phá mạng.
Nếu bạn đang phát triển hệ thống IoT sử dụng DECT NR+ hoặc cần thiết kế các thiết bị gateway/child node nhỏ gọn, dongle này sẽ là nguồn tham khảo thiết kế hiệu quả về phần cứng, firmware và tích hợp SDK mở nguồn.
swSIM là trình giả lập SIM card hoàn toàn bằng phần mềm, mã nguồn mở, không cần phần cứng vật lý. Nó kết nối với PC qua PC/SC nhờ swICC reader, tương thích với mọi điện thoại có khe SIM, được xây dựng bằng make/gcc và không phụ thuộc runtime.
Lập trình viên phát triển ứng dụng di động hoặc hệ thống liên quan đến SIM card nên đọc để tìm hiểu cách tạo mô phỏng SIM card hoàn toàn phần mềm, giúp tiết kiệm chi phí phát triển và mở rộng khả năng tương thích với các thiết bị không cần thiết bị vật lý.
Lỗ hổng ghi vượt giới hạn heap (CVE-2026-8461) có tên PixelSmash được phát hiện trong bộ giải mã MagicYUV của FFmpeg, ảnh hưởng đến nhiều ứng dụng sử dụng libavcodec như Kodi, OBS Studio, Nextcloud, PhotoPrism, Emby và Jellyfin. FFmpeg 8.1.2 đã vá lỗ hổng này, có thể gây RCE hoặc từ chối dịch vụ tùy thuộc vào điều kiện hệ thống.
Lập trình viên nên đọc bài này vì PixelSmash là lỗ hổng nghiêm trọng trong FFmpeg, có thể dẫn đến tấn công xâm nhập từ xa (RCE) hoặc cản trở hoạt động của ứng dụng sử dụng libavcodec, từ các nền tảng như Kodi đến hệ thống quản lý media như Jellyfin, ảnh hưởng đến cả hệ thống của bạn nếu không được cập nhật.