Atlassian implemented enterprise-managed authorization for Rovo MCP using Cross-App Access (XAA) and the Identity Assertion JWT Authorization Grant (ID-JAG). The system allows enterprise admins to centrally authorize MCP client access (e.g., Claude) so users get Rovo MCP pre-connected at login without individual OAuth consent screens. The flow works by having the enterprise IdP issue a signed ID-JAG assertion, which Atlassian OAuth validates and exchanges for a native Atlassian access token. Key implementation challenges included correct ID-JAG validation (signature, audience, client binding, freshness), cross-domain user identity resolution, and building admin-managed policy controls on top of the protocol. The feature is currently in private beta and has broader implications for agentic AI products that need to cross trust boundaries at scale.
Nguồn: https://www.atlassian.com/blog/development/enterprise-managed-authorization-rovo-mcp-xaa-id-jag. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Vercel ra mắt AI SDK 7, bản cập nhật lớn cho TypeScript SDK hỗ trợ xây dựng ứng dụng và agent AI. SDK bổ sung tính năng kiểm soát lý luận chuẩn hóa, upload file/provider skill, hỗ trợ MCP Apps, giao diện UI terminal, WorkflowAgent bền vững, cấu hình timeout chi tiết, cùng nhiều cải tiến khác. Quá trình di chuyển từ v6 được tự động hóa qua codemod.
Lập trình viên phát triển ứng dụng AI sẽ tìm hiểu SDK mới này để tối ưu hóa hiệu suất, giảm thiểu chi phí và mở rộng khả năng tích hợp với các công cụ AI hiện đại mà không cần phải viết lại mã từ đầu.
MCP là tiêu chuẩn mở của Anthropic nhằm giải quyết vấn đề tích hợp M×N trong ứng dụng AI bằng cách chuẩn hóa giao tiếp giữa ứng dụng (host), trình xử lý (client) và cầu nối (server). Giao thức này hỗ trợ tools, resources và prompts, truyền tải qua JSON-RPC 2.0 trên stdio hoặc Streamable HTTP, đồng thời đảm bảo bảo mật bằng OAuth, sandboxing và triển khai linh hoạt từ local đến serverless.
Lập trình viên AI nên đọc bài này để hiểu cách tối ưu hóa giao tiếp giữa hệ thống AI với các công cụ bên ngoài bằng một tiêu chuẩn mở, giúp tiết kiệm thời gian phát triển và giảm thiểu sự phụ thuộc vào các connector riêng lẻ.
Một giám đốc cấp cao tại GitHub chia sẻ cách cô ấy xây dựng 40 quy trình tự động hóa bằng ứng dụng GitHub Copilot trên desktop để quản lý khối lượng công việc vô hình của vai trò lãnh đạo cấp cao. Những tự động hóa này kết nối với lịch, email, Slack và kho lưu trữ GitHub thông qua tích hợp MCP để xử lý chuẩn bị họp, sàng lọc hàng ngày, theo dõi triển khai, phát hiện PR cũ và nhật ký sự nghiệp. Cô coi tự động hóa như một công cụ hỗ trợ khả năng tiếp cận cho người mắc AuDHD, thu hẹp khoảng cách giữa những ngày có chức năng điều hành tốt và kém.
Lập trình viên nên đọc bài này để hiểu cách áp dụng tự động hóa công cụ AI như Copilot không chỉ tiết kiệm thời gian mà còn nâng cao hiệu quả làm việc và quản lý dự án thông qua cách tiếp cận thiết thực, từ nhỏ đến lớn.
Mọi lỗ hổng trong agent AI đều là thất bại trong việc thiết lập ranh giới tin cậy (trust boundary), không phải do mô hình hay công cụ. Bài viết phân tích bốn vector tấn công chính: tiêm prompt qua kết quả công cụ, giả mạo danh tính trong cuộc gọi giữa agent, tấn công "bom ngân sách" từ vòng lặp vô tận, và nhiễm độc công cụ qua sự sai lệch của MCP server. Giải pháp đề xuất là áp dụng các kiểm soát hạ tầng như Portkey's Agent Gateway, MCP Registry, LLM Gateway để ngăn chặn hoặc phát hiện các cuộc tấn công này.
Lập trình viên nên đọc bài này để hiểu cách bảo vệ hệ thống AI agent khỏi các lỗ hổng nghiêm trọng không phụ thuộc vào lỗi của mô hình hay công cụ, mà liên quan đến việc thiết lập và kiểm soát biên giới tin cậy—đặc biệt là khi các agent tự quyết định sử dụng các công cụ và giao tiếp với nhau.
Workday đề xuất giữ các AI agent gần dữ liệu quan trọng nhất bằng cách nhúng các rào cản an toàn (như danh tính người dùng, quyền ngân sách) trực tiếp vào lớp inference, thay vì sử dụng cổng agent bên ngoài. Tại DevCon 2026, Workday giới thiệu các công cụ Agent-Ready Tools (dựa trên MCP), Developer Agent (xây dựng ứng dụng bằng ngôn ngữ tự nhiên) và Agent Passport (xác thực, giám sát agent trong sản xuất), nhằm nhấn mạnh lợi thế cạnh tranh về kiểm soát inference, độ an toàn và tin cậy thay vì công cụ phát triển.
Lập trình viên nên đọc bài này để hiểu cách các công ty như Workday xây dựng hệ sinh thái AI an toàn và hiệu quả, đặc biệt là cách triển khai các guardrails trong layer xử lý logic thay vì phụ thuộc vào các gateway bên ngoài, giúp bảo vệ dữ liệu nhạy cảm trong ứng dụng doanh nghiệp.
LastPass xác nhận dữ liệu khách hàng trong môi trường Salesforce bị truy cập sau cuộc tấn công chuỗi cung ứng nhằm vào Klue hôm 12/6. Nhóm tống tiền Icarus đã xâm nhập hạ tầng Klue bằng thông tin đăng nhập cũ, đánh cắp token OAuth kết nối Klue với Salesforce của khách hàng. Dữ liệu bị lộ bao gồm tên, số điện thoại, email, địa chỉ, thông tin hỗ trợ và dữ liệu CRM. LastPass cho biết sản phẩm cốt lõi, dịch vụ và kho dữ liệu khách hàng không bị ảnh hưởng.
Lập trình viên nên đọc bài này để hiểu rõ về cách tấn công supply chain attack hoạt động như thế nào, từ đó nâng cao kiến thức bảo mật cho các ứng dụng và hệ thống của mình, đặc biệt là khi sử dụng các dịch vụ cloud như Salesforce.
Vercel vừa giới thiệu Eve, một framework mã nguồn mở giúp xây dựng, triển khai và vận hành các AI agent trong sản xuất. Eve sử dụng kiến trúc "filesystem-first", nơi các khả năng của agent (hướng dẫn, công cụ, kỹ năng, tác vụ định kỳ) được tổ chức dưới dạng file và tự động phát hiện lúc build. Framework hỗ trợ nhiều tính năng sản xuất như thực thi bền vững, sandbox code, workflow phê duyệt của con người, tracing OpenTelemetry cùng tích hợp MCP và OpenAPI với các dịch vụ như Slack, GitHub.
Nếu bạn đang tìm cách xây dựng các ứng dụng AI agent mạnh mẽ, có khả năng triển khai và quản lý trong môi trường sản xuất với kiến trúc đơn giản và tích hợp toàn diện, Eve của Vercel sẽ là lựa chọn đáng chú ý để tối ưu hóa quy trình phát triển và vận hành.
Bài viết hướng dẫn từng bước biến đổi một mô hình ngôn ngữ địa phương (LLM) thành tác nhân nghiên cứu sử dụng công cụ thông qua sự kết hợp của Gemma 4 (phiên bản E4B), Ollama, OpenAI Agents SDK và Tavily's MCP web search. Quá trình bao gồm cài đặt Ollama, tải mô hình Gemma 4 E4B, cấu hình tác nhân với hướng dẫn hệ thống, kết nối với máy chủ web search của Tavily, và thực hiện truy vấn nghiên cứu thực tế kèm theo kiểm tra trace. Phương pháp này có thể áp dụng chung cho các mô hình địa phương, backend phục vụ, framework tác nhân và công cụ tương thích MCP khác.
Lập trình viên muốn tự động hóa công việc nghiên cứu, giải quyết vấn đề phức tạp hoặc tích hợp AI vào ứng dụng riêng của mình nên đọc để học cách xây dựng một hệ thống agent thông minh sử dụng mô hình LLM cục bộ, từ đó tiết kiệm thời gian và tối ưu hiệu suất mà không phụ thuộc vào cloud.