
CPython and the Python Security Response Team (PSRT) are experiencing a dramatic increase in security reports. Data shows a large spike in CVEs in 2026, with GitHub Security Advisory (GHSA) reports and email-based reports both rising sharply. The post highlights the unseen triage work behind these numbers — many reports are closed as non-security bugs or non-issues. Credit is given to Seth Larson, PSF Security Developer-in-Residence, for developing a security policy, defining PSRT membership via PEP 811, and shepherding the growing volume of reports, with funding from Alpha-Omega.
Nguồn: https://hugovk.dev/blog/2026/security-line-goes-up. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Ngày càng nhiều dự án mã nguồn mở rời khỏi GitHub do lo ngại về thời gian downtime thường …

Codenotary vừa ra mắt AgentMon 3, nền tảng bảo mật runtime giúp áp dụng chính sách động lên các AI agent dựa trên hành vi thay đổi của chúng. Bằng cách theo dõi truy cập file, hoạt động mạng, sử dụng thông tin đăng nhập, thực thi tiến trình và kết nối hệ thống, nền tảng này ghi nhận hành vi thời gian thực, đưa ra quyết định bảo mật dựa trên danh tính, quyền hạn, mẫu lịch sử, độ nhạy cảm dữ liệu và thông tin mối đe dọa trực tiếp, đồng thời lưu trữ mọi quyết định dưới dạng sổ cái bất biến. AgentMon 3 cũng được cung cấp trên AWS Marketplace và giám sát hơn 5 triệu tương tác AI agent mỗi ngày.
Lập trình viên nên đọc bài này vì AgentMon 3 của Codenotary giúp tự động hóa và tối ưu hóa quản lý chính sách an toàn cho các ứng dụng AI, tiết kiệm thời gian và công sức so với việc phải viết thủ công các quy tắc bảo mật phức tạp.
Bài viết phần 12 của khóa học reinforcement learning tập trung vào đào tạo các agent dựa trên LLM, mô tả môi trường RL cho agent sử dụng công cụ, khái niệm trajectories trong huấn luyện, cách chấm điểm dựa trên kết quả và quá trình (RULER), cũng như vấn đề phân bổ tín dụng trong các episode dài. Phần thực hành hướng dẫn đào tạo một agent SQL 3 tỷ tham số bằng ART và RULER trên Colab GPU miễn phí, chỉ với một dòng code thưởng cho tính đúng đắn.
Để hiểu cách xây dựng và tối ưu hóa các môi trường học tập cho các máy học tự động hóa hành động thông minh với LLM, từ thiết kế lộ trình đến giải quyết vấn đề phân bổ tín hiệu hiệu quả trong chu trình huấn luyện dài hạn.
Kilo Cloud Agents giờ đây sử dụng token tạm thời, gắn liền với sandbox thay vì truyền trực tiếp credential GitHub hay Kilo vào môi trường sandbox. Token thật không bao giờ chạm tới container; thay vào đó, các yêu cầu đi ra được chặn lại và xác thực qua ba lớp (xác thực token, điểm đến cho phép, ràng buộc sandbox) trước khi credential thật được thay thế tạm thời cho từng yêu cầu. Ngay cả khi token bị đánh cắp, nó cũng chỉ hoạt động trong sandbox cụ thể và trong thời gian tồn tại của sandbox đó. Tính năng tương tự cho GitLab đang được lên kế hoạch.
Một lập trình viên nên đọc bài này để hiểu cách bảo mật nâng cao cho các ứng dụng cloud bằng cách sử dụng token ngắn hạn và sandbox hóa, giúp giảm thiểu rủi ro từ việc lộ thông tin API thực tế trong môi trường chạy thử nghiệm.
Bang Mecklenburg-Vorpommern (Đức) thay thế Microsoft SharePoint bằng Nextcloud self-hosted …
Các nhà nghiên cứu phát hiện cuộc tấn công Ghostcommit, nơi mã độc hại được giấu trong ảnh PNG và tham chiếu qua file AGENTS.md. Khi AI coding agent xem xét pull request, nó đọc lệnh ẩn và có thể bị điều khiển tiết lộ bí mật bằng cách viết ngược vào mã nguồn dưới dạng obfuscated. Cursor và Antigravity dễ bị khai thác hơn Claude Code, bất kể model sử dụng. Biện pháp phòng thủ gồm hạn chế truy cập secret, kiểm tra file đính kèm phi văn bản và giám sát hoạt động bất thường của AI agent.
Lập trình viên nên đọc bài này để hiểu cách các tấn công mới như Ghostcommit có thể lợi dụng lỗ hổng trong quy trình code review AI để trốn tránh phát hiện và xâm nhập vào hệ thống thông qua các hình ảnh ẩn chứa lệnh độc hại.
Next.js sẽ chính thức triển khai chương trình phát hành bản vá bảo mật theo lịch trình định kỳ thay vì theo nhu cầu. Lần phát hành đầu tiên dự kiến vào 20/7/2026, vá lỗi cho Next.js 16.2 và 15.5 với 4 lỗ hổng nghiêm trọng (high) và 5 lỗ hổng trung bình (medium). Các lỗ hổng khẩn cấp hoặc đang bị khai thác vẫn sẽ nhận bản vá ngay lập tức.
Lập trình viên nên đọc bài này để hiểu cách Next.js quản lý bảo mật theo lịch trình, giúp bạn cập nhật nhanh chóng về các bản vá lỗ hổng cao cấp và tránh rủi ro từ các lỗ hổng chưa được khắc phục trong các phiên bản hiện tại của ứng dụng Next.js.
Các công cụ AI hỗ trợ lập trình đang giúp doanh nghiệp xây dựng giải pháp thay thế SaaS bằng phần mềm tùy chỉnh hoặc self-hosted, nhưng việc trích xuất dữ liệu độc quyền từ các nền tảng đóng và quản lý phụ thuộc ẩn (như biểu mẫu nhúng hay quy trình tự động) là thách thức lớn. Rủi ro bảo mật từ open-source chưa được đánh giá đúng, trong khi lợi ích của SaaS vẫn tồn tại nhưng tiêu chuẩn lựa chọn đã cao hơn.
Lập trình viên nên đọc bài này để hiểu cách chuyển đổi từ các giải pháp SaaS tiêu chuẩn sang các giải pháp tùy chỉnh, đặc biệt là khi phải đối mặt với thách thức như khai thác dữ liệu đóng, quản lý phụ thuộc bí mật và rủi ro an ninh từ nguồn mở chưa được kiểm tra.