Chinese cybersecurity company claims it’s built a better-than-Mythos bug finder

The White House is asking OpenAI to slow roll the release of its new model over safety concerns

Chính quyền Trump yêu cầu OpenAI trì hoãn triển khai rộng rãi mô hình GPT 5.6, chỉ cấp quyền truy cập cho một nhóm đối tác nhất định do lo ngại về an toàn và bảo mật. Động thái này tương tự cách Anthropic giới hạn mô hình Claude Mythos thông qua Project Glasswing, trong bối cảnh chính phủ Mỹ vừa ban hành sắc lệnh yêu cầu các công ty AI tự nguyện nộp mô hình mới để kiểm tra trước khi phát hành.

Lập trình viên nên đọc bài này để hiểu cách các cơ quan chính phủ và công ty AI đang quản lý rủi ro an ninh mạng khi phát triển các mô hình AI mạnh mẽ, giúp bạn dự đoán xu hướng bảo mật và cách ứng phó với những nguy cơ mới trong ngành công nghệ.

Anthropic accuses Alibaba of running largest distillation campaign against Claude

Anthropic cáo buộc phòng thí nghiệm Qwen của Alibaba đã thực hiện chiến dịch "distillation" (tinh chỉnh mô hình) quy mô lớn nhất từ trước đến nay chống lại Claude, sử dụng gần 25.000 tài khoản giả mạo để tương tác 29 triệu lần trong giai đoạn 4-6/2026. Họ kêu gọi chính phủ Mỹ hành động, bao gồm kiểm soát xuất khẩu chip AI và trừng phạt hành vi distillation, trong bối cảnh chuẩn bị IPO và đang đối mặt lệnh hạn chế xuất khẩu từ chính phủ Mỹ.

Những thông tin về chiến dịch distillation quy mô lớn của Alibaba nhằm xâm phạm khả năng kỹ thuật của Claude không chỉ là cảnh báo về rủi ro cạnh tranh công nghệ mà còn là cảnh báo về những thách thức pháp lý, chính trị và chiến lược mới đối với các công ty AI, đặc biệt khi họ đang chuẩn bị IPO và đối mặt với các hạn chế xuất khẩu từ chính phủ.

How I Became Brazil's First Visually Impaired Cybersecurity Graduate — and Changed Vulnerability Research

Juan Mathews Rebello Santos trở thành người đầu tiên ở Brazil tốt nghiệp ngành an ninh mạng khi bị khiếm thị, đồng thời là nhà nghiên cứu mù đầu tiên công bố CVE (CVE-2025-26326) trên NVD của Mỹ. Anh phát hiện lỗ hổng trên các sản phẩm của Google, Microsoft, Nubank và Smiles chỉ bằng công cụ screen reader, đồng thời sáng lập BNVD.org, viết sách an ninh mạng bằng tiếng Bồ Đào Nha dành cho người khiếm thị và sở hữu hơn 50 chứng chỉ. Bài viết cũng nhấn mạnh những rào cản tiếp cận trong ngành công nghệ đối với người khiếm thị, từ hệ thống đại học không thân thiện đến hàng trăm đơn xin việc không hồi âm, và kêu gọi thiết kế bao dung là yếu tố bắt buộc, không phải sự ưu ái.

Đọc bài này để hiểu cách một lập trình viên mù nhìn đã phá vỡ giới hạn kỹ thuật số bằng sự sáng tạo và kỹ năng chuyên môn, đồng thời khám phá những thách thức thực tế mà những người có khuyết tật thị giác phải đối mặt trong ngành công nghệ và cách họ có thể chuyển đổi những trở ngại thành cơ hội.

Nadella: we can't let AI giants eat the economy

Tổng giám đốc Microsoft Satya Nadella cảnh báo rằng các công ty AI không thể vừa dự đoán …

Anthropic’s Mythos found flaws in classified US systems during a government test

Mô hình AI Mythos của Anthropic đã phát hiện lỗ hổng trong các hệ thống bí mật của chính phủ Mỹ trong một cuộc thử nghiệm kiểm tra đỏ có kiểm soát, chứ không phải do tấn công từ bên ngoài. Kết quả này nhấn mạnh khả năng của Mythos trong việc tìm ra hàng nghìn lỗ hổng zero-day trên các hệ điều hành và trình duyệt lớn, dù chính phủ Mỹ từng hạn chế công khai mô hình này sau một vụ jailbreak riêng.

Những phát hiện về khả năng phát hiện lỗ hổng trong hệ thống an ninh quốc gia của Mỹ cho thấy AI mạnh mẽ như Mythos có thể trở thành công cụ quan trọng trong bảo mật, nhưng cũng đặt ra thách thức về kiểm soát và ứng dụng công bằng—là vấn đề cần thảo luận để xây dựng hệ sinh thái an toàn và minh bạch cho công nghệ AI.

FFmpeg fixes PixelSmash flaw in widely used video decoder

Lỗ hổng ghi vượt giới hạn heap (CVE-2026-8461) có tên PixelSmash được phát hiện trong bộ giải mã MagicYUV của FFmpeg, ảnh hưởng đến nhiều ứng dụng sử dụng libavcodec như Kodi, OBS Studio, Nextcloud, PhotoPrism, Emby và Jellyfin. FFmpeg 8.1.2 đã vá lỗ hổng này, có thể gây RCE hoặc từ chối dịch vụ tùy thuộc vào điều kiện hệ thống.

Lập trình viên nên đọc bài này vì PixelSmash là lỗ hổng nghiêm trọng trong FFmpeg, có thể dẫn đến tấn công xâm nhập từ xa (RCE) hoặc cản trở hoạt động của ứng dụng sử dụng libavcodec, từ các nền tảng như Kodi đến hệ thống quản lý media như Jellyfin, ảnh hưởng đến cả hệ thống của bạn nếu không được cập nhật.

Mass npm Supply Chain Attack: 20 Leo Platform Packages Compromised

Vào ngày 24/6/2026, tin tặc đã phát tán phiên bản độc hại của 20 package npm thuộc hệ sinh thái Leo Platform chỉ trong vòng chưa đầy 3 giây, sử dụng toolkit 'Phantom Gyp' tương tự chiến dịch Miasma trước đó. Phần mềm độc hại đánh cắp bí mật từ GitHub Actions, kho lưu trữ đa đám mây (AWS, GCP, Azure), registry package, HashiCorp Vault, Kubernetes và trình quản lý mật khẩu, sau đó exfiltrate qua token GitHub của nạn nhân để tránh bị phát hiện. Nó còn hoạt động như một worm trong chuỗi cung ứng, tự động phát tán phiên bản độc hại các package mà nạn nhân có quyền publish bằng cách vượt qua xác thực 2FA.

Lập trình viên nên đọc bài này để hiểu cách một cuộc tấn công supply chain mới sử dụng các kỹ thuật phức tạp—như obfuscation và evasion Bun—để tránh phát hiện và khai thác quyền truy cập vào các hệ thống quan trọng từ các gói npm phổ biến, từ đó cảnh báo về rủi ro khi sử dụng các thư viện công cộng mà không kiểm tra nguồn gốc và bảo mật.