Vermilion Cliffs Ventures, a solo GP firm founded by Ashley Smith in 2023, has closed a $25 million Fund II. The fund targets technical founders building in AI infrastructure, security, and developer tools, with check sizes between $500K and $1M. Smith raised the fund in about four months, largely from existing LPs, and plans to back at least 25 companies over the next two and a half years. The firm's debut $13M fund backed 35 companies including Keycard and CopilotKit. Smith leverages her operator background at Twilio, Facebook, GitHub, and GitLab to help portfolio founders with go-to-market strategies for developer and security audiences.
Nguồn: https://techcrunch.com/2026/07/08/solo-gp-ashley-smith-announces-25m-close-of-second-fund. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Các nhà nghiên cứu phát hiện lỗ hổng tấn công "HalluSquatting" dựa trên kỹ thuật prompt injection, lợi dụng khả năng "ảo giác" (hallucination) của các mô hình ngôn ngữ lớn (LLMs) trong trợ lý lập trình AI để lây nhiễm hàng loạt máy thông qua các gói giả mạo. Chín công cụ lập trình AI phổ biến, bao gồm Cursor, Gemini CLI, GitHub Copilot, đang bị khai thác để xây dựng botnet quy mô lớn.
Lập trình viên nên đọc bài này để hiểu cách bảo mật mã nguồn của mình chống lại những cuộc tấn công mới như HalluSquatting, có thể lây lan rộng rãi qua các công cụ AI hỗ trợ lập trình mà họ đang sử dụng hàng ngày.
Phiên bản pnpm 11.10 bổ sung tính năng _auth ràng buộc credential vào host URL, ngăn chặn việc chuyển hướng token tới registry độc hại. Bản cập nhật cũng khắc phục lỗi hồi quy từ tháng 6 liên quan đến biến môi trường trong registry private, đồng thời tăng cường bảo mật cho pnpm deploy và pnpm pack-app cùng nhiều cải tiến khác. Ngoài ra, người dùng có thể trải nghiệm pnpm v12 (viết bằng Rust) thông qua lệnh pnpm self-update next-12.
Lập trình viên nên đọc vì pnpm 11.10 nâng cấp bảo mật và hiệu suất bằng cách khóa xác thực đăng nhập registry theo URL, khắc phục lỗi bảo mật và hiệu suất trong các dự án sử dụng registry riêng, đồng thời giới thiệu tính năng chuẩn bị cho phiên bản Rust (v12) với tốc độ cao hơn.
GitHub triển khai tính năng public monitoring cho Secret Scanning, giám sát toàn bộ bề mặt công khai của github.com (bao gồm nội dung git, pull request, issues) để phát hiện các bí mật doanh nghiệp bị rò rỉ theo thời gian thực, nhưng vẫn tồn tại những hạn chế như không phát hiện được bí mật bị đánh cắp tới hạ tầng kiểm soát của kẻ tấn công, không quét logs workflow, và chỉ phát hiện sau khi xảy ra sự cố. Doanh nghiệp nên kết hợp tính năng này với các biện pháp kiểm soát egress runtime (như Harden-Runner) để ngăn chặn rò rỉ bí mật ngay từ lớp mạng.
Lập trình viên nên đọc bài này để hiểu cách bảo mật các mã nguồn công khai trên GitHub bị lộ thông qua các công cụ mới và hạn chế của chúng, giúp họ xây dựng chiến lược phòng thủ đa lớp (layered defense) hiệu quả hơn.
Lỗ hổng bảo mật chưa được vá trong Argo CD cho phép kẻ tấn công thực thi mã từ xa không cần xác thực và chiếm quyền kiểm soát toàn bộ cụm Kubernetes. Lỗ hổng nằm ở giao diện gRPC không có cơ chế xác thực của thành phần repo-server, cho phép kẻ tấn công tiêm mã độc KustomizeOptions nếu đã xâm nhập vào cụm.
Lập trình viên cần đọc bài này để hiểu cách bảo mật Kubernetes bị lỗ hổng nghiêm trọng trong Argo CD, từ đó cập nhật kiến thức về các rủi ro mới và cách phòng ngừa, đặc biệt khi sử dụng công cụ GitOps trong môi trường sản xuất.
Nhóm phát triển PHP vừa tung ra phiên bản 8.4.23, một bản cập nhật bảo mật quan trọng cho …
Matteo Collina, maintainer của HTTP stack và thư viện undici trong Node.js, cho rằng …
Một chiến dịch phishing giả mạo hơn 30 thương hiệu lớn như Adobe, Netflix, Coca-Cola và OpenAI nhằm nhắm vào chuyên gia marketing qua email phỏng vấn việc làm giả. Kẻ tấn công lợi dụng các nền tảng hợp pháp như PeopleForce và Salesforce Marketing Cloud để tạo chuỗi redirect lồng nhau, dẫn nạn nhân đến trang landing độc hại, nơi sử dụng kỹ thuật browser-in-the-browser (BitB) để hiển thị popup đăng nhập Google giả mạo, đánh cắp thông tin tài khoản. Chiến dịch đã hoạt động ít nhất 5 tháng, sử dụng tên và ảnh thật của nhà tuyển dụng để tăng độ tin cậy.
Lập trình viên nên đọc bài này để hiểu cách các cuộc tấn công phishing hiện đại sử dụng kỹ thuật browser-in-the-browser và chaining redirect để trộm mật khẩu Google, từ đó nâng cao kiến thức bảo mật cho ứng dụng web và hệ thống của mình.
Đội bảo mật nội bộ Databricks triển khai 17 tác nhân AI chuyên biệt để xử lý 100% cảnh báo bảo mật mức độ thấp theo thời gian thực bằng Spark Structured Streaming, lọc sớm các tín hiệu vô hại, sử dụng prompt chuyên biệt theo nguồn, tích hợp Threat Intelligence và theo dõi quyết định qua MLflow. Hệ thống tiết kiệm 6.500 giờ phân tích trong 30 ngày và nâng tỷ lệ cảnh báo thật (true positives) gấp 10 lần so với phương pháp cũ, đồng thời rút ra bài học về việc ưu tiên ngữ cảnh hành vi lịch sử và hạn chế phạm vi hướng dẫn của tác nhân để giảm false positives.
Để tối ưu hóa hiệu quả triệt để trong việc xử lý cảnh báo an ninh với chi phí nhân lực thấp và độ chính xác cao, lập trình viên nên tham khảo cách xây dựng hệ thống triệt giác thông minh bằng các agent chuyên biệt và streaming dữ liệu để tự động hóa phân loại cảnh báo an ninh từ thấp đến trung bình.