GitHub's AI agent has a vulnerability that allows private repository data to be leaked when prompted in a certain way. The issue, dubbed 'GitLost,' has no fix and no official documentation from GitHub addressing it.
Nguồn: https://www.theregister.com/security/2026/07/07/github-ai-agent-leaks-private-repos-when-asked-nicely/5267924. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Ngân hàng trung ương châu Âu (ECB) yêu cầu các ngân hàng trong khu vực đồng euro phải nộp kế hoạch hành động đối phó các mối đe dọa an ninh mạng từ AI tiên tiến trước cuối tháng 10/2026. ECB lo ngại các mô hình AI như Anthropic's Claude Mythos có thể phát hiện lỗ hổng phần mềm và tạo ra exploit với tốc độ chưa từng có, đồng thời cảnh báo rủi ro hệ thống từ phụ thuộc vào nhà cung cấp AI ngoài EU.
Những lập trình viên làm việc trong lĩnh vực bảo mật mạng hoặc phát triển hệ thống quan trọng nên đọc bài này để hiểu rõ cách AI đang thay đổi cách tấn công và bảo vệ hệ thống, giúp họ chuẩn bị sớm ứng phó với các mối đe dọa mới từ các mô hình AI tiên tiến.
Zscaler phát hiện 26 LLMs, bao gồm Llama và Gemini, dễ bị tấn công IPI (indirect prompt injection) khi các tác nhân AI tự động mắc bẫy từ nội dung web độc hại mà con người dễ nhận ra. Bốn mô hình bị xếp vào nhóm dễ bị tấn công, trong khi ba mô hình an toàn, do kiến trúc transformer không thể tách biệt nội dung web không tin cậy khỏi hướng dẫn tin cậy. Nguy cơ lớn nhất nằm ở các quy trình doanh nghiệp tự động hóa, như thanh toán hay mua sắm, nơi tấn công có thể gây thiệt hại tài chính nghiêm trọng.
Lập trình viên cần đọc bài này để hiểu cách bảo mật AI hiện nay bị lỗ hổng trong việc phân biệt nội dung web không đáng tin cậy với các lệnh thực thi, đặc biệt khi các mô hình lớn như Llama và Gemini dễ bị tấn công trong môi trường doanh nghiệp, đòi hỏi kiến thức về các rủi ro mới trong hệ sinh thái AI.
Trong một thử nghiệm A/B kéo dài hai tuần, nhóm VS Code và OpenAI đã tinh chỉnh prompt hệ thống của GPT-5.5 bằng cách chia thành các phần "trước/sau chỉnh sửa đầu tiên" (Treatment B), thay vì chỉ thêm lời nhắc tiết kiệm (Treatment A). Kết quả cho thấy Treatment B giảm 8,54% số lần gọi tool, 7,64% lượng token ở mức p95, tăng tốc 5,68% thời gian chỉnh sửa đầu tiên và 9,30% độ trễ p95, trong khi vẫn duy trì tỷ lệ sống sót code ổn định. Hiện nay, Treatment B đã trở thành prompt hệ thống mặc định của GPT-5.5 trong VS Code, và nhóm dự định tiếp tục tối ưu hóa tương tự cho các mô hình và cấu hình khác.
Là lập trình viên muốn tối ưu hiệu suất và chi phí khi sử dụng AI hỗ trợ phát triển, bài viết này giúp bạn hiểu cách cải thiện hiệu quả của các hệ thống AI thông qua prompt tuning để giảm thiểu chi phí tính toán và tăng tốc độ làm việc.
GitHub Models sẽ ngừng hoạt động hoàn toàn vào ngày 30/7/2026, bao gồm playground, model catalog, inference API và BYOK endpoints. Các cảnh báo sớm sẽ diễn ra vào ngày 16/7 và 23/7. Người dùng được khuyến nghị chuyển sang Azure AI Foundry hoặc GitHub Copilot để tiếp tục truy cập model và workflow AI.
Lập trình viên nên theo dõi thông tin này để chuyển đổi nhanh chóng sang các giải pháp thay thế như Azure AI Foundry hoặc Copilot, tránh mất thời gian và hiệu suất trong việc phát triển AI khi dịch vụ bị ngừng hoạt động.
Ba công ty Cursor, GitLab và Zed đều nhận thấy GitHub đang gặp khó khăn trước khối lượng code do AI tạo ra, nhưng họ đề xuất các giải pháp khác nhau để tái xây dựng nền tảng này. Cursor giới thiệu Origin, tương thích Git nhưng tối ưu cho workload của agent; GitLab phát triển Project Switch với backend cải tiến nhằm tăng tốc độ xử lý lên 50 lần; còn Zed thay thế hoàn toàn mô hình commit bằng DeltaDB, theo dõi các thay đổi liên tục.
Những công cụ mới như Cursor, GitLab và Zed đang thay đổi cơ sở hạ tầng mã nguồn để phù hợp với thế giới AI, giúp lập trình viên hiểu cách tối ưu hóa hiệu suất, giảm chi phí và tương tác hiệu quả hơn với các công cụ tương tác tự động trong tương lai.
Một giám đốc cấp cao tại GitHub chia sẻ cách cô ấy xây dựng 40 quy trình tự động hóa bằng ứng dụng GitHub Copilot trên desktop để quản lý khối lượng công việc vô hình của vai trò lãnh đạo cấp cao. Những tự động hóa này kết nối với lịch, email, Slack và kho lưu trữ GitHub thông qua tích hợp MCP để xử lý chuẩn bị họp, sàng lọc hàng ngày, theo dõi triển khai, phát hiện PR cũ và nhật ký sự nghiệp. Cô coi tự động hóa như một công cụ hỗ trợ khả năng tiếp cận cho người mắc AuDHD, thu hẹp khoảng cách giữa những ngày có chức năng điều hành tốt và kém.
Lập trình viên nên đọc bài này để hiểu cách áp dụng tự động hóa công cụ AI như Copilot không chỉ tiết kiệm thời gian mà còn nâng cao hiệu quả làm việc và quản lý dự án thông qua cách tiếp cận thiết thực, từ nhỏ đến lớn.
LinkedIn giới thiệu tính năng Connected Apps, tự động hiển thị cho nhà tuyển dụng các ứng dụng thực tế bạn sử dụng (như GitHub, Replit) trên hồ sơ thay vì chỉ kỹ năng khai báo. Dữ liệu sử dụng được lấy từ hoạt động thực tế, không thể chỉnh sửa thủ công, nhằm cung cấp bằng chứng đáng tin cậy về khả năng sử dụng công cụ. Tính năng này là tự nguyện nhưng có thể gây bất lợi nếu không kết nối ứng dụng khi nhà tuyển dụng lọc theo tiêu chí này.
Một lập trình viên nên đọc bài này để hiểu cách tăng cường sự minh bạch và uy tín trong ứng dụng khi tuyển dụng, tránh bị đánh giá thấp vì những tuyên bố kỹ năng không có bằng chứng thực tế.
Anthropic vừa ra mắt Claude Sonnet 5, phiên bản tầm trung với khả năng điều phối tác vụ tự động, sử dụng công cụ và hoàn thành nhiệm vụ đa bước được cải thiện đáng kể. Mức giá 2$/10 triệu token (vào/ra) cho đến 31/8, sau đó tăng lên 3$/10 triệu, rẻ hơn so với Opus 4.8, GPT-5.5 và Gemini 3.1 Pro nhưng hiệu suất gần tương đương Opus 4.8 trên hầu hết tiêu chuẩn đánh giá.
Lập trình viên nên đọc bài này để hiểu cách các mô hình AI mới như Claude Sonnet 5 có thể tự động hóa và tối ưu hóa công việc lập trình, từ việc lập kế hoạch tự động cho đến xử lý các nhiệm vụ đa bước với chi phí thấp hơn nhiều so với các mô hình cao cấp khác.