Troy Hunt and Scott Helme have launched 'Why no Passkeys?', a site inspired by their 8-year-old 'Why no HTTPS?' project that publicly tracked websites failing to implement HTTPS. The new site aims to similarly shame companies that haven't adopted passkeys, encouraging community pressure by country. Scott built the project largely solo using Claude Code, following Troy's original intent after a phishing incident prompted him to register the domain.
Nguồn: https://www.troyhunt.com/weekly-update-510. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Hướng dẫn thực hành sử dụng Claude Code cho workflows Infrastructure as Code (IaC) với Terraform và OpenTofu, tập trung vào mô hình mental agents tạo diffs thay vì triển khai trực tiếp. Bài viết đề cập các tính năng quan trọng của Claude Code như CLAUDE.md, skills, permission model, hooks, MCP servers, cũng như các lỗi thường gặp như hallucinated arguments và giới hạn ngữ cảnh, kèm theo các best practices và ví dụ cấu hình chi tiết. Ngoài ra, còn giới thiệu cách Spacelift Intelligence mở rộng Claude Code với policy enforcement, audit trails và tích hợp MCP server.
Lập trình viên nên đọc bài này để hiểu cách áp dụng Infrastructure as Code (IaC) hiệu quả hơn bằng cách kết hợp agent-based diffs với các công cụ như Terraform và OpenTofu, từ đó tối ưu hóa quy trình triển khai an toàn và linh hoạt.
Cursor vừa ra mắt ứng dụng di động iOS, cho phép nhà phát triển điều khiển các coding agent từ xa mà không cần truy cập máy tính để bàn hay kho mã nguồn lớn. Tính năng này tích hợp với kiến trúc agent-focused của Cursor 2.0, hỗ trợ khởi tạo hoặc tiếp tục phiên làm việc đã bắt đầu trên desktop. Xu hướng này cũng xuất hiện ở Anthropic và OpenAI, khi các nhà phát triển dần chuyển sang workflow lập trình AI trên di động, đóng vai trò giám sát thay vì viết code trực tiếp.
Là lập trình viên muốn tối ưu hóa thời gian và linh hoạt trong công việc, bạn nên đọc bài này để khám phá cách sử dụng ứng dụng di động Cursor giúp bạn giám sát và điều khiển các agent AI từ xa, từ đó tiết kiệm thời gian và tăng hiệu suất trong các dự án coding trên đường đi.
Việc nhồi nhét 200 dòng hướng dẫn vào file CLAUDE.md đã gây ra hậu quả khi chiếm dụng quá nhiều ngữ cảnh, hạn chế dung lượng cho code và logic thực tế. Tốt nhất nên giữ file này ngắn gọn, chỉ bao gồm các quy tắc bắt buộc, lệnh quan trọng (lint, test, build) và quy ước dự án, đồng thời liên tục cập nhật để loại bỏ những hướng dẫn lỗi thời.
Lập trình viên nên đọc bài này để tránh rơi vào sai lầm của một file CLAUDE.md quá dài, làm giảm hiệu suất làm việc và gây khó khăn khi cần linh hoạt trong quá trình phát triển.
Hướng dẫn chi tiết cách thiết lập một hệ thống coding agent hoàn toàn cục bộ bằng các mô hình ngôn ngữ mã nguồn mở (LLM) như Qwen3.6 35B-A3B thông qua Ollama, thay thế các dịch vụ độc quyền như Claude Code hay Codex. Bài viết bao gồm kết nối với ba harness (Qwen-Code, Codex CLI, Claude Code), đánh giá hiệu suất, kiểm tra bảo mật, cấu hình quyền riêng tư, so sánh token usage, thiết lập SSH tunnel giữa máy Mac và DGX Spark, cùng kết quả benchmark cho thấy Qwen3.6 và North Mini Code vượt trội hơn Gemma 4 E2B trong các tác vụ sử dụng công cụ.
Nếu bạn muốn tự chủ hóa công cụ AI hỗ trợ lập trình, tránh phụ thuộc vào các dịch vụ cloud đắt tiền và có rủi ro về quyền riêng tư, bài hướng dẫn này sẽ giúp bạn xây dựng một hệ sinh thái mã nguồn mở hoàn toàn trên máy tính cá nhân của mình, tối ưu hóa hiệu suất và bảo mật.
Các nhà nghiên cứu của Mozilla 0DIN phát hiện ra cách tấn công tinh vi khiến các AI coding agent như Claude Code vô tình chạy malware từ kho GitHub sạch. Kẻ tấn công sử dụng ba thành phần hợp pháp: kho chứa tiêu chuẩn, gói Python gây lỗi và hướng dẫn chạy lệnh init, cùng script init tải payload từ record DNS TXT do kẻ tấn công kiểm soát. AI agent tự động sửa lỗi sẽ vô tình kích hoạt toàn bộ chuỗi tấn công, tạo ra reverse shell với quyền của nhà phát triển.
Lập trình viên nên đọc bài này để hiểu cách các công cụ AI tự động hóa có thể bị lừa bằng các kỹ thuật social engineering nhẹ nhàng trong mã nguồn, từ đó bảo vệ dự án của mình khỏi các cuộc tấn công không trực tiếp mà vẫn có thể gây thiệt hại nghiêm trọng.
Quy trình phát triển theo hướng thiết kế (design-first) cho các agent trên Salesforce (Agentforce) sử dụng trợ lý lập trình như Claude Code hay Codex kết hợp với Agent Skills, bao gồm cài đặt thư viện kỹ năng, khởi tạo dự án, thiết kế trước khi code, sinh metadata tự động với vòng lặp sửa lỗi, kiểm thử bằng smoke test và YAML, debug qua traces. Thực hành quan trọng: không cấp quyền sản xuất cho agent, giới hạn phạm vi triển khai, và commit Agent Script vào source control.
Lập trình viên nên đọc để hiểu cách xây dựng các hệ thống agent tự động hóa trên Salesforce một cách hiệu quả, từ thiết kế trước đến triển khai, giúp tối ưu hóa hiệu suất, giảm lỗi và đảm bảo an toàn thông qua các quy trình tự động hóa và kiểm thử chuyên nghiệp.
The UNC1151 (Ghostwriter) threat group ran a targeted phishing campaign against Belarusian pro-democracy politician Yury Hubarevich using a fake Google account-security warning in Russian. The attack chain used a compromised Ukrainian site to redirect victims to a fake Gmail login page that employed a real-time WebSocket connection to capture credentials and MFA codes, effectively bypassing SMS-based and OTP multi-factor authentication. Researchers at Censys traced the campaign through certificate artifacts and infrastructure pivoting to a broader phishing network targeting users in Belarus and Ukraine, including users of regional portals. Key takeaways for security teams include prioritizing phishing-resistant MFA (hardware keys/passkeys) for high-risk users, training users to verify account warnings via official channels rather than email links, and monitoring certificate reuse and domain naming patterns to uncover related phishing infrastructure.
A hands-on walkthrough of building a read-only Kubernetes debugging AI agent using Claude Code, packaged as a Claude Code Plugin within a custom Marketplace. The agent integrates VictoriaMetrics, VictoriaLogs, and Alertmanager via Skills (rather than MCP) to diagnose Pod failures like CrashLoopBackOff, OOMKilled, and ImagePullBackOff. The post covers the full project structure: marketplace.json, plugin.json, agent frontmatter with allowed/deny-tools enforcing least privilege, a reusable SKILL.md with MetricsQL/LogsQL query templates, and a cross-platform bootstrap script for environment setup.