CodeQL 2.26.0 has been released with several notable additions: Kotlin 2.4.0 support, a new JavaScript/TypeScript query (js/system-prompt-injection) to detect AI system prompt injection attacks, expanded prompt injection sinks for OpenAI, Anthropic, and Google GenAI SDKs, C# Razor Page handler parameters as remote flow sources, Go slog package models, and various false-positive reductions across Python, Swift, and GitHub Actions queries. The update is automatically deployed to GitHub code scanning users on github.com.
Nguồn: https://github.blog/changelog/2026-07-10-codeql-2-26-0-adds-kotlin-2-4-0-support-and-ai-prompt-injection-detection. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
GitHub's AI agent có lỗ hổng bảo mật 'GitLost' cho phép rò rỉ dữ liệu private repository …
Tại hội nghị DASH 2026 của Datadog ở New York, hơn 170 sản phẩm và tính năng mới đã được giới thiệu, tập trung vào AI-driven operations (Bits AI) như phát hiện mối đe dọa, khắc phục sự cố, tối ưu hóa cơ sở dữ liệu, đánh giá mô hình và săn lùng mối đe dọa. Bên cạnh đó, khả năng quan sát (observability) được mở rộng với quản lý cấu hình mạng, giám sát hành trình người dùng và tự động tối ưu chi phí. Sự kiện còn có hơn 100 phiên kỹ thuật với sự tham gia của các chuyên gia từ OpenAI, Anthropic, Hugging Face, Vercel cùng chia sẻ từ khách hàng như Samsung, Figma và Volkswagen Group. Ngoài ra, khu vực bảo mật được mở rộng, thành lập các đại diện khu vực tại Nhật Bản, Hàn Quốc, Brazil và diễn ra Hội nghị Đối tác lần thứ năm.
Lập trình viên cần đọc để khám phá cách AI như Bits AI của Datadog tự động tối ưu hóa hệ thống, phát hiện lỗi và bảo vệ ứng dụng, giúp nâng cao hiệu suất và an toàn trong phát triển phần mềm.
Matteo Collina, maintainer của HTTP stack và thư viện undici trong Node.js, cho rằng CVE-2026-48931 (vấn đề poisoning hàng đợi response HTTP/1.1 trong http.Agent) không đáng được xếp vào danh mục CVE vì đây là đặc tính vốn có của giao thức HTTP/1.1, không phải lỗi riêng của Node.js. Bản vá ban đầu gây lỗi giả (ERR_STREAM_PREMATURE_CLOSE) do listener 'data' công khai, ảnh hưởng tới nhiều dự án như Google API, Firebase CLI, Backstage. Sau đó, lỗi được khắc phục bằng cách thay thế bằng hook nội bộ onread. Ông cũng cảnh báo về tình trạng báo cáo bảo mật do AI tạo tràn lan, dẫn đến phân loại sai CVEs.
Bạn nên đọc bài này để hiểu cách phân biệt giữa các lỗ hổng thực sự là Node.js hay là cơ chế HTTP/1.1 chung, tránh rơi vào tình trạng đánh nhầm các cải thiện kỹ thuật thành CVE khi chúng không ảnh hưởng riêng biệt đến dự án của mình.
Nhóm phát triển PHP vừa tung ra phiên bản 8.4.23, một bản cập nhật bảo mật quan trọng cho nhánh PHP 8.4. Người dùng nên nâng cấp ngay lập tức, tải về từ trang chính thức.
Lập trình viên cần đọc để cập nhật về phí bảo mật mới trong PHP 8.4.23, giúp bảo vệ ứng dụng của mình trước các lỗ hổng nguy hiểm và duy trì an toàn cho hệ thống.
Giám đốc công nghệ toàn cầu (CTO) Jonathan Zanger của Check Point Software cho rằng AI đang thay đổi cả tấn công lẫn phòng thủ mạng, buộc phải chuyển từ bảo mật xác định (deterministic) sang phương pháp mới do bản chất phi xác định (non-deterministic) của AI. Ông nhấn mạnh AI vừa mở rộng khả năng tấn công (phishing, ransomware, malware) vừa nâng cao phòng thủ (Check Point sử dụng ~300 agent AI cho kiểm thử đỏ liên tục), đồng thời cảnh báo về lỗ hổng trong mọi nền tảng AI và nhấn mạnh ba ưu tiên: bảo vệ ứng dụng AI, bảo mật hoạt động phòng thủ bằng AI, và chống tấn công do AI thúc đẩy, kèm theo nhu cầu giải thích quyết định chặn tự động.
Là lập trình viên phát triển hệ thống AI hoặc bảo mật, bạn nên đọc bài này để hiểu cách AI thay đổi cơ sở hạ tầng bảo mật, từ đó tối ưu hóa cách xây dựng hệ thống an toàn và phòng ngừa các rủi ro mới từ các cuộc tấn công do AI tạo ra.
Lỗ hổng ghi vượt giới hạn heap (CVE-2026-8461) có tên PixelSmash được phát hiện trong bộ giải mã MagicYUV của FFmpeg, ảnh hưởng đến nhiều ứng dụng sử dụng libavcodec như Kodi, OBS Studio, Nextcloud, PhotoPrism, Emby và Jellyfin. FFmpeg 8.1.2 đã vá lỗ hổng này, có thể gây RCE hoặc từ chối dịch vụ tùy thuộc vào điều kiện hệ thống.
Lập trình viên nên đọc bài này vì PixelSmash là lỗ hổng nghiêm trọng trong FFmpeg, có thể dẫn đến tấn công xâm nhập từ xa (RCE) hoặc cản trở hoạt động của ứng dụng sử dụng libavcodec, từ các nền tảng như Kodi đến hệ thống quản lý media như Jellyfin, ảnh hưởng đến cả hệ thống của bạn nếu không được cập nhật.
Anthropic vừa ra mắt Claude Sonnet 5, phiên bản tầm trung với khả năng điều phối tác vụ tự động, sử dụng công cụ và hoàn thành nhiệm vụ đa bước được cải thiện đáng kể. Mức giá 2$/10 triệu token (vào/ra) cho đến 31/8, sau đó tăng lên 3$/10 triệu, rẻ hơn so với Opus 4.8, GPT-5.5 và Gemini 3.1 Pro nhưng hiệu suất gần tương đương Opus 4.8 trên hầu hết tiêu chuẩn đánh giá.
Lập trình viên nên đọc bài này để hiểu cách các mô hình AI mới như Claude Sonnet 5 có thể tự động hóa và tối ưu hóa công việc lập trình, từ việc lập kế hoạch tự động cho đến xử lý các nhiệm vụ đa bước với chi phí thấp hơn nhiều so với các mô hình cao cấp khác.

Một nhà phát triển tên Gretchen gia nhập dự án Node.js cũ kỹ sau khi bị mua lại và phát hiện hàng loạt lỗi nghiêm trọng: logging bị hỏng chỉ in ra "DEBUG", lỗ hổng SQL injection từ truy vấn thô, thiếu middleware phân quyền trên hầu hết endpoints (kể cả API admin), codebase dừng ở Node.js 14, và dữ liệu request được đưa trực tiếp vào database mà không qua bất kỳ validation nào.
Lập trình viên nên đọc bài này để tránh rơi vào những sai lầm an toàn và thiết kế không hiệu quả trong dự án Node.js, từ đó học cách cải thiện bảo mật, quản lý lỗi và tối ưu hóa hệ thống ngay từ giai đoạn đầu.