Weekly Update 510: Live From Mallorca with Scott Helme

Cursor now has a mobile app for guiding your coding agent on the go

Cursor vừa ra mắt ứng dụng di động iOS, cho phép nhà phát triển điều khiển các coding agent từ xa mà không cần truy cập máy tính để bàn hay kho mã nguồn lớn. Tính năng này tích hợp với kiến trúc agent-focused của Cursor 2.0, hỗ trợ khởi tạo hoặc tiếp tục phiên làm việc đã bắt đầu trên desktop. Xu hướng này cũng xuất hiện ở Anthropic và OpenAI, khi các nhà phát triển dần chuyển sang workflow lập trình AI trên di động, đóng vai trò giám sát thay vì viết code trực tiếp.

Là lập trình viên muốn tối ưu hóa thời gian và linh hoạt trong công việc, bạn nên đọc bài này để khám phá cách sử dụng ứng dụng di động Cursor giúp bạn giám sát và điều khiển các agent AI từ xa, từ đó tiết kiệm thời gian và tăng hiệu suất trong các dự án coding trên đường đi.

I gave Claude Code a 200-line CLAUDE.md, and it was the worst decision I made

Việc nhồi nhét 200 dòng hướng dẫn vào file CLAUDE.md đã gây ra hậu quả khi chiếm dụng quá nhiều ngữ cảnh, hạn chế dung lượng cho code và logic thực tế. Tốt nhất nên giữ file này ngắn gọn, chỉ bao gồm các quy tắc bắt buộc, lệnh quan trọng (lint, test, build) và quy ước dự án, đồng thời liên tục cập nhật để loại bỏ những hướng dẫn lỗi thời.

Lập trình viên nên đọc bài này để tránh rơi vào sai lầm của một file CLAUDE.md quá dài, làm giảm hiệu suất làm việc và gây khó khăn khi cần linh hoạt trong quá trình phát triển.

Using Local Coding Agents

Hướng dẫn chi tiết cách thiết lập một hệ thống coding agent hoàn toàn cục bộ bằng các mô hình ngôn ngữ mã nguồn mở (LLM) như Qwen3.6 35B-A3B thông qua Ollama, thay thế các dịch vụ độc quyền như Claude Code hay Codex. Bài viết bao gồm kết nối với ba harness (Qwen-Code, Codex CLI, Claude Code), đánh giá hiệu suất, kiểm tra bảo mật, cấu hình quyền riêng tư, so sánh token usage, thiết lập SSH tunnel giữa máy Mac và DGX Spark, cùng kết quả benchmark cho thấy Qwen3.6 và North Mini Code vượt trội hơn Gemma 4 E2B trong các tác vụ sử dụng công cụ.

Nếu bạn muốn tự chủ hóa công cụ AI hỗ trợ lập trình, tránh phụ thuộc vào các dịch vụ cloud đắt tiền và có rủi ro về quyền riêng tư, bài hướng dẫn này sẽ giúp bạn xây dựng một hệ sinh thái mã nguồn mở hoàn toàn trên máy tính cá nhân của mình, tối ưu hóa hiệu suất và bảo mật.

Clean GitHub repo tricks AI coding agents into running malware

Các nhà nghiên cứu của Mozilla 0DIN phát hiện ra cách tấn công tinh vi khiến các AI coding agent như Claude Code vô tình chạy malware từ kho GitHub sạch. Kẻ tấn công sử dụng ba thành phần hợp pháp: kho chứa tiêu chuẩn, gói Python gây lỗi và hướng dẫn chạy lệnh init, cùng script init tải payload từ record DNS TXT do kẻ tấn công kiểm soát. AI agent tự động sửa lỗi sẽ vô tình kích hoạt toàn bộ chuỗi tấn công, tạo ra reverse shell với quyền của nhà phát triển.

Lập trình viên nên đọc bài này để hiểu cách các công cụ AI tự động hóa có thể bị lừa bằng các kỹ thuật social engineering nhẹ nhàng trong mã nguồn, từ đó bảo vệ dự án của mình khỏi các cuộc tấn công không trực tiếp mà vẫn có thể gây thiệt hại nghiêm trọng.

Master the Agentic Development Lifecycle for Agentforce

Quy trình phát triển theo hướng thiết kế (design-first) cho các agent trên Salesforce (Agentforce) sử dụng trợ lý lập trình như Claude Code hay Codex kết hợp với Agent Skills, bao gồm cài đặt thư viện kỹ năng, khởi tạo dự án, thiết kế trước khi code, sinh metadata tự động với vòng lặp sửa lỗi, kiểm thử bằng smoke test và YAML, debug qua traces. Thực hành quan trọng: không cấp quyền sản xuất cho agent, giới hạn phạm vi triển khai, và commit Agent Script vào source control.

Lập trình viên nên đọc để hiểu cách xây dựng các hệ thống agent tự động hóa trên Salesforce một cách hiệu quả, từ thiết kế trước đến triển khai, giúp tối ưu hóa hiệu suất, giảm lỗi và đảm bảo an toàn thông qua các quy trình tự động hóa và kiểm thử chuyên nghiệp.

UNC1151 Ghostwriter Hackers Target Belarusian Politician in Gmail Phishing Campaign

The UNC1151 (Ghostwriter) threat group ran a targeted phishing campaign against Belarusian pro-democracy politician Yury Hubarevich using a fake Google account-security warning in Russian. The attack chain used a compromised Ukrainian site to redirect victims to a fake Gmail login page that employed a real-time WebSocket connection to capture credentials and MFA codes, effectively bypassing SMS-based and OTP multi-factor authentication. Researchers at Censys traced the campaign through certificate artifacts and infrastructure pivoting to a broader phishing network targeting users in Belarus and Ukraine, including users of regional portals. Key takeaways for security teams include prioritizing phishing-resistant MFA (hardware keys/passkeys) for high-risk users, training users to verify account warnings via official channels rather than email links, and monitoring certificate reuse and domain naming patterns to uncover related phishing infrastructure.

Claude Code: creating Kubernetes debugging AI Agent for VictoriaMetrics

A hands-on walkthrough of building a read-only Kubernetes debugging AI agent using Claude Code, packaged as a Claude Code Plugin within a custom Marketplace. The agent integrates VictoriaMetrics, VictoriaLogs, and Alertmanager via Skills (rather than MCP) to diagnose Pod failures like CrashLoopBackOff, OOMKilled, and ImagePullBackOff. The post covers the full project structure: marketplace.json, plugin.json, agent frontmatter with allowed/deny-tools enforcing least privilege, a reusable SKILL.md with MetricsQL/LogsQL query templates, and a cross-platform bootstrap script for environment setup.