Security practitioners from Autodesk and a global insurance provider share real-world insights on how AI is reshaping cloud security workflows. Key themes include AI democratizing security work and enabling scale, prompt injection as a genuinely new threat vector, and the need for multi-layer guardrails combining cloud-native controls, model-level rules, and architectural constraints. Both practitioners note that core cloud threat vectors (identity, misconfiguration, exposed services) haven't fundamentally changed but are faster and harder to contain. They also caution against vendor hype, advising teams to focus on actual business outcomes and real exploits rather than theoretical risks.
Nguồn: https://orca.security/resources/blog/cloud-security-live-2026-recap. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Addy Osmani, cựu trưởng nhóm kỹ thuật Google, đưa ra lời khuyên sự nghiệp cho kỷ nguyên AI …
Các nhà nghiên cứu phát hiện lỗ hổng tấn công "HalluSquatting" dựa trên kỹ thuật prompt injection, lợi dụng khả năng "ảo giác" (hallucination) của các mô hình ngôn ngữ lớn (LLMs) trong trợ lý lập trình AI để lây nhiễm hàng loạt máy thông qua các gói giả mạo. Chín công cụ lập trình AI phổ biến, bao gồm Cursor, Gemini CLI, GitHub Copilot, đang bị khai thác để xây dựng botnet quy mô lớn.
Lập trình viên nên đọc bài này để hiểu cách bảo mật mã nguồn của mình chống lại những cuộc tấn công mới như HalluSquatting, có thể lây lan rộng rãi qua các công cụ AI hỗ trợ lập trình mà họ đang sử dụng hàng ngày.
GitHub's AI agent có lỗ hổng bảo mật 'GitLost' cho phép rò rỉ dữ liệu private repository khi được yêu cầu theo cách nhất định, hiện chưa có bản vá hay tài liệu chính thức từ GitHub.
Lập trình viên nên đọc bài này để hiểu về nguy cơ bảo mật mới trong GitHub, đặc biệt khi làm việc với các dự án riêng tư, và cách phòng tránh rủi ro khi sử dụng công cụ AI tích hợp trong hệ thống.
Hướng dẫn chi tiết cách xây dựng một AI agent chạy cục bộ bằng LangChain v1, Ollama, Qwen và Python, hỗ trợ tool calling (gọi hàm Python) và bộ nhớ ngắn hạn (InMemorySaver). Toàn bộ hệ thống hoạt động trên máy cá nhân mà không tốn phí API, kèm code mẫu, demo so sánh trước/sau khi tích hợp tools và memory, cùng gợi ý mở rộng bộ nhớ dài hạn.
Là lập trình viên muốn tự động hóa công việc hoặc xây dựng hệ thống thông minh trên máy tính cá nhân mà không phụ thuộc vào các dịch vụ cloud, bài này sẽ hướng dẫn cách tạo một AI thông minh bản địa với khả năng gọi công cụ và nhớ ngắn hạn—từ đó tiết kiệm chi phí và tăng hiệu suất.
Phiên bản pnpm 11.10 bổ sung tính năng _auth ràng buộc credential vào host URL, ngăn chặn việc chuyển hướng token tới registry độc hại. Bản cập nhật cũng khắc phục lỗi hồi quy từ tháng 6 liên quan đến biến môi trường trong registry private, đồng thời tăng cường bảo mật cho pnpm deploy và pnpm pack-app cùng nhiều cải tiến khác. Ngoài ra, người dùng có thể trải nghiệm pnpm v12 (viết bằng Rust) thông qua lệnh pnpm self-update next-12.
Lập trình viên nên đọc vì pnpm 11.10 nâng cấp bảo mật và hiệu suất bằng cách khóa xác thực đăng nhập registry theo URL, khắc phục lỗi bảo mật và hiệu suất trong các dự án sử dụng registry riêng, đồng thời giới thiệu tính năng chuẩn bị cho phiên bản Rust (v12) với tốc độ cao hơn.
GitHub triển khai tính năng public monitoring cho Secret Scanning, giám sát toàn bộ bề mặt công khai của github.com (bao gồm nội dung git, pull request, issues) để phát hiện các bí mật doanh nghiệp bị rò rỉ theo thời gian thực, nhưng vẫn tồn tại những hạn chế như không phát hiện được bí mật bị đánh cắp tới hạ tầng kiểm soát của kẻ tấn công, không quét logs workflow, và chỉ phát hiện sau khi xảy ra sự cố. Doanh nghiệp nên kết hợp tính năng này với các biện pháp kiểm soát egress runtime (như Harden-Runner) để ngăn chặn rò rỉ bí mật ngay từ lớp mạng.
Lập trình viên nên đọc bài này để hiểu cách bảo mật các mã nguồn công khai trên GitHub bị lộ thông qua các công cụ mới và hạn chế của chúng, giúp họ xây dựng chiến lược phòng thủ đa lớp (layered defense) hiệu quả hơn.
Ba nhóm đã trình bày tại sự kiện Beyond Tokens SF về giải pháp hạ tầng phát triển agentic, bao gồm JFrog Fly (bộ nhớ đăng ký thông minh), JFrog Boost (lọc nhiễu ngữ cảnh giảm ~35% chi phí token) và NanoClaw (khung bảo mật agent mã nguồn mở). Các công cụ này giải quyết vấn đề mất ngữ cảnh, lãng phí token và rủi ro bảo mật trong pipeline giao hàng phần mềm agentic.
Lập trình viên nên đọc bài này để khám phá cách giải quyết những thách thức thực tế trong việc xây dựng và triển khai các hệ thống AI agent—từ quản lý trạng thái giữa các phiên chạy đến tối ưu hóa chi phí và bảo mật, giúp công việc của họ trở nên hiệu quả và an toàn hơn.
AWS tổ chức buổi webinar ngày 22/7 do Dotan Horovits và Rekha Thottan dẫn dắt, giới thiệu cách kết hợp OpenTelemetry và OpenSearch để giám sát và khắc phục sự cố cho hệ thống AI agent. Buổi demo trình bày luồng dữ liệu logs, metrics, traces trong pipeline OTel và giới thiệu framework mã nguồn mở Agent Health nhằm phát hiện sớm hành vi bất thường của agent trước khi triển khai sản xuất. Bài viết nhấn mạnh rằng các phương pháp quan sát truyền thống không đủ cho AI agent phi tất định, và các giải pháp mã nguồn mở giúp tránh silo dữ liệu, tối ưu hóa ROI cho AI.
Lập trình viên phát triển hệ thống AI nên đọc bài này để tìm hiểu cách áp dụng OpenTelemetry và OpenSearch để theo dõi và debug các hệ thống AI có tính chất hành động (agentic) một cách hiệu quả, tránh bị mắc kẹt trong các công cụ đóng gói và phân tán dữ liệu.