QoreChain has completed what it claims is the first blockchain transaction secured end-to-end with all three NIST-standardized post-quantum cryptographic algorithms on a live public mainnet. The transaction uses ML-DSA-87 (FIPS 204) for digital signatures, ML-KEM-1024 (FIPS 203) for key encapsulation, and SHAKE-256 for hashing. Unlike other projects that replace only one cryptographic component, QoreChain applied post-quantum protection across the full cryptographic path. The transaction was sent to a Keplr wallet — a mainstream self-custody wallet — and is publicly verifiable on the QoreChain block explorer. The company highlights the 'Harvest Now, Decrypt Later' threat as motivation: blockchains record history permanently, so any ledger not secured with post-quantum cryptography from inception risks retroactive exposure once cryptographically relevant quantum computers emerge.
Nguồn: https://thequantuminsider.com/2026/07/03/qorechain-first-post-quantum-blockchain-transaction. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Nhóm phát triển PHP vừa phát hành phiên bản 8.2.32, tập trung vào vá lỗ hổng bảo mật. Người dùng PHP 8.2 được khuyến cáo nâng cấp ngay lập tức. Tải xuống mã nguồn và bản cài Windows tại trang tải xuống chính thức, kèm chi tiết trong bản ghi thay đổi.
Nếu bạn đang sử dụng PHP 8.2 và muốn bảo vệ hệ thống của mình khỏi các lỗ hổng bảo mật mới nhất, hãy cập nhật ngay phiên bản 8.2.32 để tránh rủi ro an ninh.
Nhóm phát triển PHP vừa công bố phiên bản 8.3.32, bản phát hành tập trung vào vá lỗ hổng bảo mật. Người dùng PHP 8.3 nên nâng cấp ngay lập tức, tải xuống từ trang chính thức.
Lập trình viên nên đọc bài này vì phiên bản mới này là một bản cập nhật an toàn (security patch) cho PHP 8.3, giúp bảo vệ hệ thống ứng dụng của bạn khỏi các lỗ hổng bảo mật mới.
Matteo Collina, maintainer của HTTP stack và thư viện undici trong Node.js, cho rằng CVE-2026-48931 (vấn đề poisoning hàng đợi response HTTP/1.1 trong http.Agent) không đáng được xếp vào danh mục CVE vì đây là đặc tính vốn có của giao thức HTTP/1.1, không phải lỗi riêng của Node.js. Bản vá ban đầu gây lỗi giả (ERR_STREAM_PREMATURE_CLOSE) do listener 'data' công khai, ảnh hưởng tới nhiều dự án như Google API, Firebase CLI, Backstage. Sau đó, lỗi được khắc phục bằng cách thay thế bằng hook nội bộ onread. Ông cũng cảnh báo về tình trạng báo cáo bảo mật do AI tạo tràn lan, dẫn đến phân loại sai CVEs.
Bạn nên đọc bài này để hiểu cách phân biệt giữa các lỗ hổng thực sự là Node.js hay là cơ chế HTTP/1.1 chung, tránh rơi vào tình trạng đánh nhầm các cải thiện kỹ thuật thành CVE khi chúng không ảnh hưởng riêng biệt đến dự án của mình.
Tigera giới thiệu Lynx, một control plane native Kubernetes nhằm quản lý các AI agent ở quy mô lớn. Lynx giám sát mọi tương tác giữa agent-tool và agent-LLM, xác thực danh tính qua Entra ID, Okta hoặc SPIFFE/SPIRE, đồng thời áp dụng chính sách chi tiết bằng ngôn ngữ Cedar. Nó sử dụng eBPF và LSM để theo dõi syscall, network call và truy cập file ở cấp kernel, phát hiện bất thường như đánh cắp credential hay di chuyển ngang.
Lập trình viên cần đọc bài này để hiểu cách xây dựng hệ thống bảo mật Kubernetes-native cho các ứng dụng AI tự động hóa, từ cơ chế xác thực đa cấp đến giám sát hành vi hệ thống bằng eBPF, giúp bảo vệ ứng dụng trước các mối đe dọa mới từ các agent AI tự chủ.
Lỗ hổng ghi vượt giới hạn heap (CVE-2026-8461) có tên PixelSmash được phát hiện trong bộ giải mã MagicYUV của FFmpeg, ảnh hưởng đến nhiều ứng dụng sử dụng libavcodec như Kodi, OBS Studio, Nextcloud, PhotoPrism, Emby và Jellyfin. FFmpeg 8.1.2 đã vá lỗ hổng này, có thể gây RCE hoặc từ chối dịch vụ tùy thuộc vào điều kiện hệ thống.
Lập trình viên nên đọc bài này vì PixelSmash là lỗ hổng nghiêm trọng trong FFmpeg, có thể dẫn đến tấn công xâm nhập từ xa (RCE) hoặc cản trở hoạt động của ứng dụng sử dụng libavcodec, từ các nền tảng như Kodi đến hệ thống quản lý media như Jellyfin, ảnh hưởng đến cả hệ thống của bạn nếu không được cập nhật.

Một nhà phát triển tên Gretchen gia nhập dự án Node.js cũ kỹ sau khi bị mua lại và phát hiện hàng loạt lỗi nghiêm trọng: logging bị hỏng chỉ in ra "DEBUG", lỗ hổng SQL injection từ truy vấn thô, thiếu middleware phân quyền trên hầu hết endpoints (kể cả API admin), codebase dừng ở Node.js 14, và dữ liệu request được đưa trực tiếp vào database mà không qua bất kỳ validation nào.
Lập trình viên nên đọc bài này để tránh rơi vào những sai lầm an toàn và thiết kế không hiệu quả trong dự án Node.js, từ đó học cách cải thiện bảo mật, quản lý lỗi và tối ưu hóa hệ thống ngay từ giai đoạn đầu.
Các tác nhân AI có thể tự thực thi code, cài đặt gói và tương tác API, nhưng điều này tiềm ẩn rủi ro bảo mật khi chạy trên máy chủ của nhà phát triển. Docker SBX cung cấp cơ chế cô lập sandbox dựa trên microVM, quản lý thông tin đăng nhập qua proxy và kiểm soát truy cập mạng. Sandbox Kits đóng gói môi trường làm việc (công cụ, biến môi trường, chính sách mạng, thông tin đăng nhập) thành các blueprint tái sử dụng, gồm hai loại: Mixin Kits (bổ sung tính năng) và Agent Kits (xây dựng môi trường hoàn chỉnh).
Lập trình viên nên đọc bài này để hiểu cách Docker SBX và Sandbox Kits giúp bảo vệ môi trường phát triển khỏi rủi ro an ninh khi AI tự động hóa các tác vụ lập trình, đồng thời tối ưu hóa cách xây dựng các môi trường phát triển an toàn và tái sử dụng.
Các mô hình ngôn ngữ lớn (LLM) không thể phân biệt token nhạy cảm với văn bản thông thường, do đó mọi dữ liệu trong context window đều dễ bị truy xuất. Để bảo mật, hãy lưu trữ bí mật (API keys, access tokens) chỉ trong lớp thực thi xác định (biến môi trường hoặc secret manager) và không truyền chúng vào context của LLM. Các schema công cụ chỉ nên mô tả mục đích, còn xử lý thực thi mới lấy credential vào lúc runtime.
Lập trình viên nên đọc bài này để hiểu cách bảo vệ bí mật quan trọng như API keys và mật khẩu bằng cách phân biệt rõ ràng giữa lớp xử lý xác định và lớp sử dụng AI, tránh rò rỉ thông tin thông qua các cuộc tấn công từ prompt.