Snyk VulnBench JS 1.0: LLM Bug Repeatability

The many journeys of learning Rust

Nghiên cứu định tính từ nhóm Rust về cách các nhà phát triển học ngôn ngữ Rust thông qua …

Why Every Agent Vulnerability is a Trust Boundary Failure

Mọi lỗ hổng trong agent AI đều là thất bại trong việc thiết lập ranh giới tin cậy (trust boundary), không phải do mô hình hay công cụ. Bài viết phân tích bốn vector tấn công chính: tiêm prompt qua kết quả công cụ, giả mạo danh tính trong cuộc gọi giữa agent, tấn công "bom ngân sách" từ vòng lặp vô tận, và nhiễm độc công cụ qua sự sai lệch của MCP server. Giải pháp đề xuất là áp dụng các kiểm soát hạ tầng như Portkey's Agent Gateway, MCP Registry, LLM Gateway để ngăn chặn hoặc phát hiện các cuộc tấn công này.

Lập trình viên nên đọc bài này để hiểu cách bảo vệ hệ thống AI agent khỏi các lỗ hổng nghiêm trọng không phụ thuộc vào lỗi của mô hình hay công cụ, mà liên quan đến việc thiết lập và kiểm soát biên giới tin cậy—đặc biệt là khi các agent tự quyết định sử dụng các công cụ và giao tiếp với nhau.

Tail Control: The Counterintuitive Engineering of Reliable Agentic Workflows

Khi triển khai workflows agentic dựa trên LLM qua API, thách thức không còn là độ chính xác mà là đảm bảo đầu ra ổn định dưới các ràng buộc về thời gian, chi phí và token-rate. Giải pháp chủ yếu là cắt bỏ latency tail bằng cách gửi song song các yêu cầu hedge (p95) thay vì chờ đợi, giúp giảm p99 từ ~60s xuống ~25s trong dữ liệu thực tế. Cần lưu ý phân biệt slowness tạm thời, khối lượng công việc lớn hay câu trả lời sai để điều chỉnh model phù hợp, đồng thời tránh tiêu tốn TPM budget lặp lại.

Lập trình viên phải đọc bài này để hiểu cách tối ưu hóa các workflow tự động hóa dựa trên LLM bằng cách xử lý không chỉ là độ chính xác mà là sự đáng tin cậy trong các điều kiện cạnh tranh về thời gian, chi phí và tốc độ token, đặc biệt khi ứng dụng phải hoạt động liên tục trước API khách hàng.

AI inference is obviously profitable

Phân tích chi phí sơ lược cho thấy suy luận (inference) AI thực sự sinh lời, với chi phí ước tính khoảng 1 USD cho mỗi triệu token đầu ra, thấp hơn nhiều so với mức giá 4,5 USD trở lên của các nhà cung cấp như OpenAI, qua đó đạt biên lợi nhuận gộp 70–80%. Suy luận AI có lợi nhuận, nhưng các phòng thí nghiệm AI như OpenAI và Anthropic sử dụng khoản lợi nhuận này để bù đắp chi phí đào tạo mô hình tốn kém.

Là người phát triển muốn tối ưu chi phí cho ứng dụng AI của mình, bài viết này giúp bạn hiểu rõ về lợi nhuận thực tế của quá trình inference AI, từ đó có thể xây dựng mô hình kinh doanh hiệu quả và tránh bỏ lỡ cơ hội tiết kiệm chi phí mà không phụ thuộc vào sự hỗ trợ từ các công ty lớn.

Okta is the first to bring AI agent governance inside FedRAMP boundaries

Okta ra mắt nền tảng quản trị AI Agent (Okta for AI Agents – Core) tương thích FedRAMP và HIPAA, quản lý AI Agent như danh tính cấp cao với token ngắn hạn thay thế API keys tĩnh. Tính năng bao gồm đăng ký agent, kiểm soát truy cập tối thiểu, nhật ký kiểm toán và công tắc ngắt agent độc hại, đáp ứng lệnh hành pháp về triển khai AI an toàn trong cơ quan chính phủ.

Lập trình viên cần đọc bài này để hiểu cách quản lý an toàn và tuân thủ tiêu chuẩn FedRAMP/HIPAA cho các ứng dụng AI agent, giúp họ xây dựng hệ thống bảo mật cao hơn trong môi trường công nghệ liên bang hoặc y tế.

FFmpeg fixes PixelSmash flaw in widely used video decoder

Lỗ hổng ghi vượt giới hạn heap (CVE-2026-8461) có tên PixelSmash được phát hiện trong bộ giải mã MagicYUV của FFmpeg, ảnh hưởng đến nhiều ứng dụng sử dụng libavcodec như Kodi, OBS Studio, Nextcloud, PhotoPrism, Emby và Jellyfin. FFmpeg 8.1.2 đã vá lỗ hổng này, có thể gây RCE hoặc từ chối dịch vụ tùy thuộc vào điều kiện hệ thống.

Lập trình viên nên đọc bài này vì PixelSmash là lỗ hổng nghiêm trọng trong FFmpeg, có thể dẫn đến tấn công xâm nhập từ xa (RCE) hoặc cản trở hoạt động của ứng dụng sử dụng libavcodec, từ các nền tảng như Kodi đến hệ thống quản lý media như Jellyfin, ảnh hưởng đến cả hệ thống của bạn nếu không được cập nhật.

Anthropic’s Mythos found flaws in classified US systems during a government test

Mô hình AI Mythos của Anthropic đã phát hiện lỗ hổng trong các hệ thống bí mật của chính phủ Mỹ trong một cuộc thử nghiệm kiểm tra đỏ có kiểm soát, chứ không phải do tấn công từ bên ngoài. Kết quả này nhấn mạnh khả năng của Mythos trong việc tìm ra hàng nghìn lỗ hổng zero-day trên các hệ điều hành và trình duyệt lớn, dù chính phủ Mỹ từng hạn chế công khai mô hình này sau một vụ jailbreak riêng.

Những phát hiện về khả năng phát hiện lỗ hổng trong hệ thống an ninh quốc gia của Mỹ cho thấy AI mạnh mẽ như Mythos có thể trở thành công cụ quan trọng trong bảo mật, nhưng cũng đặt ra thách thức về kiểm soát và ứng dụng công bằng—là vấn đề cần thảo luận để xây dựng hệ sinh thái an toàn và minh bạch cho công nghệ AI.