A cybersecurity startup called IRIS C2, which publicly offers up to $7 million for zero-day exploits and offensive security capabilities, is operated by Jacob Wohl and Jack Burkman — convicted felons with a documented history of fabricating intelligence companies, spreading disinformation, orchestrating voter suppression robocalls, and running businesses under assumed names. Wohl, who has no formal cybersecurity training, claims the company has 40 employees and government contracts but provides no verifiable specifics. The story raises serious concerns about the legitimacy of the venture and the risks it poses to vulnerability researchers who might engage with it.
Nguồn: https://securityboulevard.com/2026/07/felons-fraudsters-flog-offensive-cybersecurity-startup. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Mô hình AI Mythos của Anthropic đã phát hiện lỗ hổng trong các hệ thống bí mật của chính phủ Mỹ trong một cuộc thử nghiệm kiểm tra đỏ có kiểm soát, chứ không phải do tấn công từ bên ngoài. Kết quả này nhấn mạnh khả năng của Mythos trong việc tìm ra hàng nghìn lỗ hổng zero-day trên các hệ điều hành và trình duyệt lớn, dù chính phủ Mỹ từng hạn chế công khai mô hình này sau một vụ jailbreak riêng.
Những phát hiện về khả năng phát hiện lỗ hổng trong hệ thống an ninh quốc gia của Mỹ cho thấy AI mạnh mẽ như Mythos có thể trở thành công cụ quan trọng trong bảo mật, nhưng cũng đặt ra thách thức về kiểm soát và ứng dụng công bằng—là vấn đề cần thảo luận để xây dựng hệ sinh thái an toàn và minh bạch cho công nghệ AI.
Juan Mathews Rebello Santos trở thành người đầu tiên ở Brazil tốt nghiệp ngành an ninh mạng khi bị khiếm thị, đồng thời là nhà nghiên cứu mù đầu tiên công bố CVE (CVE-2025-26326) trên NVD của Mỹ. Anh phát hiện lỗ hổng trên các sản phẩm của Google, Microsoft, Nubank và Smiles chỉ bằng công cụ screen reader, đồng thời sáng lập BNVD.org, viết sách an ninh mạng bằng tiếng Bồ Đào Nha dành cho người khiếm thị và sở hữu hơn 50 chứng chỉ. Bài viết cũng nhấn mạnh những rào cản tiếp cận trong ngành công nghệ đối với người khiếm thị, từ hệ thống đại học không thân thiện đến hàng trăm đơn xin việc không hồi âm, và kêu gọi thiết kế bao dung là yếu tố bắt buộc, không phải sự ưu ái.
Đọc bài này để hiểu cách một lập trình viên mù nhìn đã phá vỡ giới hạn kỹ thuật số bằng sự sáng tạo và kỹ năng chuyên môn, đồng thời khám phá những thách thức thực tế mà những người có khuyết tật thị giác phải đối mặt trong ngành công nghệ và cách họ có thể chuyển đổi những trở ngại thành cơ hội.
Escape has officially launched its partner program as of June 1, 2026, targeting resellers, MSSPs, and consulting partners in the security space. The program offers deal registration, guaranteed margins, dedicated sales and technical support, free POCs, and marketing assistance with no certification tiers required. Led by Jeff Miller, a channel veteran from Arctic Wolf and N-able, the program is designed around mutual revenue growth and delivering continuous offensive security coverage to customers who need it.

GitLab released patch versions 19.1.1, 19.0.3, and 18.11.6 for CE and EE on June 24, 2026. The release addresses 13 CVEs including two high-severity XSS vulnerabilities (CVSS 8.7 and 8.0) in the Analytics Dashboard and Web IDE, an information disclosure issue in Duo Workflows (CVSS 7.7), and multiple authorization bypass and access control issues across CI/CD, DAST, Maven Package Registry, and other components. Self-managed GitLab installations are strongly urged to upgrade immediately. The patch also includes bug fixes across all three versions and includes database migrations that may cause downtime on single-node instances.
A security researcher audited the SP Project & Document Manager WordPress plugin (v4.71) and discovered an unauthenticated file disclosure vulnerability. The root cause is a logic flaw in the view_file() access gate: a negated wp_verify_nonce() call is OR-chained with all legitimate permission checks, meaning any unauthenticated visitor with no nonce bypasses all access controls for files inside project folders. A second independent bypass was found in download.php, where a missing default option value causes all permission checks to be skipped. The researcher later discovered the view_file() finding overlaps with CVE-2026-10737, filed weeks earlier. The write-up covers the full methodology, Docker-based isolated test environment setup, proof-of-concept validation, and honest reflection on independently rediscovering an already-reported bug.
Chinese cybersecurity firm Qihoo 360, which is banned in the US, claims to have developed an AI-powered bug-finding tool that outperforms Anthropic's Mythos. The company frames its tool as a necessary deterrent against weaponized AI models like those from Anthropic.
Tin tặc đã khai thác lỗ hổng nghiêm trọng trong Oracle E-Business Suite trước khi mã khai thác công khai được phát hành, cho thấy họ đã reverse-engineered bản vá của Oracle để tạo ra exploit riêng. Sự việc nhấn mạnh rủi ro trong khoảng thời gian giữa khi bản vá được phát hành và triển khai, khi kẻ tấn công phân tích sửa lỗi để tái tạo phương thức tấn công.
Lập trình viên nên đọc bài này để hiểu cách bảo mật hệ thống doanh nghiệp bị khai thác khi Oracle chưa phát hành mã exploit công khai, giúp họ nhận thức về nguy cơ trong thời gian chờ patch và cách phòng ngừa hiệu quả cho ứng dụng doanh nghiệp.
SpecterOps researchers demonstrated that LLMs can generate functional Mythic post-exploitation agents from a written specification to a working implant in roughly two hours, down from weeks of manual work. They built a structured harness called Oracle that guides the AI through validation, deployment, and self-correction loops across three tiers. The workflow has produced working implants in Python, Go, Zig, C#, and Rust. This creates a class of disposable red-team tooling where each generated agent varies in code structure, weakening static signature-based detection. Defenders are advised to prioritize behavioral detection over binary pattern matching, test against custom tooling in purple-team exercises, and establish governance policies for AI-assisted red-team operations.