Vũ Nguyễn
Writer
Hôm nay 31/3, là một ngày khá hỗn loạn trong ngành công nghệ, đặc biệt Axios là vụ nguy hiểm nhất cần xử lý ngay nếu bạn dùng package này).
1. Tấn công chuỗi cung ứng (supply-chain attack) trên package Axios
Hai phiên bản Axios (1.14.1 và 0.30.4) bị hacker chiếm quyền tài khoản maintainer trên npm. Hacker thêm dependency giả plain-crypto-js@4.2.1 chứa mã độc (RAT – remote access trojan).
Ai chạy npm install trong khoảng thời gian ngắn hôm nay đều có nguy cơ bị nhiễm malware trên Windows, macOS và Linux.
Axios là thư viện HTTP Client (khách hàng HTTP) phổ biến nhất trong cộng đồng JavaScript. Nó giúp bạn gửi và nhận dữ liệu qua mạng (API, server) một cách siêu dễ dàng, thay vì phải dùng Fetch API hay XMLHttpRequest thủ công. Axios có hơn 300 triệu lượt tải/tuần, nên phạm vi ảnh hưởng rất lớn. Hiện npm đã gỡ 2 phiên bản độc, khuyến nghị dùng version sạch 1.14.0 hoặc 0.30.3.
2. Anthropic vô tình leak source code của Claude Code CLI
Anthropic công khai nhầm file source map (cli.js.map) trong package @anthropic-ai/claude-code version 2.1.88. Ai cũng có thể reconstruct được gần 500.000 dòng code TypeScript (hơn 2.300 file) và đã được mirror công khai lên GitHub.
Đây là lỗi cấu hình, không phải hack model Claude hay dữ liệu huấn luyện. Tuy nhiên vẫn lộ một phần logic và tính năng agentic chưa công bố.
3. Nhóm LAPSUS$ claim đánh cắp 4TB dữ liệu của Mercor
Nhóm hack LAPSUS$ công khai tuyên bố đã exfil 4TB dữ liệu từ Mercor (nền tảng tuyển dụng và talent AI). VECERT (Việt Nam) và một số nguồn xác nhận họ đang claim vụ này. Mercor chưa có thông báo chính thức, nhưng claim của LAPSUS$ là có thật (nhóm này từng thực hiện nhiều vụ lớn trước đây).
4. Bug rate limit của Claude Opus (và một số model khác)
Từ khoảng cuối tháng 3/2026, nhiều người dùng plan Pro/Max báo rate limit (cửa sổ 5 giờ) bị “đốt” cực nhanh chỉ sau 1–2 prompt hoặc vài chục phút. Vấn đề xảy ra trên Claude Code CLI và một số giao diện khác. Anthropic chưa có fix chính thức, cộng đồng nghi ngờ do bug liên quan đến prompt caching hoặc server-side.
5. Nghiên cứu mới của Google về quantum computer và Bitcoin
Hôm nay Google Quantum AI và Oratomic cùng công bố paper tối ưu hóa thuật toán Shor. Kết quả cho thấy số qubit cần để crack mã ECC-256 (dùng trong Bitcoin và Ethereum) đã giảm mạnh.
Google ước tính khoảng 500.000 physical qubits là đủ; Oratomic đưa con số thấp hơn (~26.000). Post gốc nói “10k qubits” hơi thấp hơn thực tế một chút, nhưng xu hướng là đúng: rủi ro post-quantum đang gần hơn. Google khuyến nghị nên migrate sang crypto hậu lượng tử trước năm 2029.
1. Tấn công chuỗi cung ứng (supply-chain attack) trên package Axios
Hai phiên bản Axios (1.14.1 và 0.30.4) bị hacker chiếm quyền tài khoản maintainer trên npm. Hacker thêm dependency giả plain-crypto-js@4.2.1 chứa mã độc (RAT – remote access trojan).
Ai chạy npm install trong khoảng thời gian ngắn hôm nay đều có nguy cơ bị nhiễm malware trên Windows, macOS và Linux.
Axios là thư viện HTTP Client (khách hàng HTTP) phổ biến nhất trong cộng đồng JavaScript. Nó giúp bạn gửi và nhận dữ liệu qua mạng (API, server) một cách siêu dễ dàng, thay vì phải dùng Fetch API hay XMLHttpRequest thủ công. Axios có hơn 300 triệu lượt tải/tuần, nên phạm vi ảnh hưởng rất lớn. Hiện npm đã gỡ 2 phiên bản độc, khuyến nghị dùng version sạch 1.14.0 hoặc 0.30.3.
2. Anthropic vô tình leak source code của Claude Code CLI
Anthropic công khai nhầm file source map (cli.js.map) trong package @anthropic-ai/claude-code version 2.1.88. Ai cũng có thể reconstruct được gần 500.000 dòng code TypeScript (hơn 2.300 file) và đã được mirror công khai lên GitHub.
Đây là lỗi cấu hình, không phải hack model Claude hay dữ liệu huấn luyện. Tuy nhiên vẫn lộ một phần logic và tính năng agentic chưa công bố.
3. Nhóm LAPSUS$ claim đánh cắp 4TB dữ liệu của Mercor
Nhóm hack LAPSUS$ công khai tuyên bố đã exfil 4TB dữ liệu từ Mercor (nền tảng tuyển dụng và talent AI). VECERT (Việt Nam) và một số nguồn xác nhận họ đang claim vụ này. Mercor chưa có thông báo chính thức, nhưng claim của LAPSUS$ là có thật (nhóm này từng thực hiện nhiều vụ lớn trước đây).
4. Bug rate limit của Claude Opus (và một số model khác)
Từ khoảng cuối tháng 3/2026, nhiều người dùng plan Pro/Max báo rate limit (cửa sổ 5 giờ) bị “đốt” cực nhanh chỉ sau 1–2 prompt hoặc vài chục phút. Vấn đề xảy ra trên Claude Code CLI và một số giao diện khác. Anthropic chưa có fix chính thức, cộng đồng nghi ngờ do bug liên quan đến prompt caching hoặc server-side.
5. Nghiên cứu mới của Google về quantum computer và Bitcoin
Hôm nay Google Quantum AI và Oratomic cùng công bố paper tối ưu hóa thuật toán Shor. Kết quả cho thấy số qubit cần để crack mã ECC-256 (dùng trong Bitcoin và Ethereum) đã giảm mạnh.
Google ước tính khoảng 500.000 physical qubits là đủ; Oratomic đưa con số thấp hơn (~26.000). Post gốc nói “10k qubits” hơi thấp hơn thực tế một chút, nhưng xu hướng là đúng: rủi ro post-quantum đang gần hơn. Google khuyến nghị nên migrate sang crypto hậu lượng tử trước năm 2029.
