React 및 Next.js에서 다수의 보안 취약점 공개, 즉시 패치 권고
React Server Components와 Next.js에서 DoS, SSRF, XSS, 캐시 오염, 미들웨어 우회 등 여러 취약점이 공개됐고, React 19.0.6/19.1.7/19.2.6 및 Next.js 15.5.16·16.2.5로의 즉시 업데이트가 권고됐습니다. 한국 개발팀 입장에선 프론트엔드 프레임워크 이슈가 아니라 운영 중인 서비스 보안 이슈에 가깝기 때문에, 의존성 업데이트와 WAF 적용 여부를 바로 점검할 필요가 있습니다.
GeekNews
Mythos Finds a Curl Vulnerability
curl 메인테이너 Daniel Stenberg는 Anthropic의 Mythos가 curl에서 실제 취약점 1건을 찾아냈다고 밝히면서도, 이미 AISLE·Zeropath·Codex Security 같은 AI 도구들이 지난 8~10개월간 수백 건의 수정과 다수의 CVE 발견에 기여했다고 설명합니다. ‘AI가 보안을 전부 대체한다’는 과장보다는, 오픈소스 유지보수에서 AI 코드 리뷰·정적 분석이 어떻게 실무적으로 쓰이는지 보여줘서 한국 보안·플랫폼 엔지니어에게 특히 참고할 만합니다.
Hacker News Best
NGINX Rift - 새로운 NGINX 익스플로잇
NGINX의 ngx_http_rewrite_module에 2008년부터 들어간 힙 버퍼 오버플로우(CVE-2026-42945)로, rewrite/set 지시어를 쓰는 서버에서 인증 없이 원격 코드 실행이 가능하다는 PoC가 공개됐습니다. 영향 버전과 수정 버전(오픈소스 1.31.0·1.30.1, NGINX Plus 패치 버전)까지 명시돼 있어, 국내에서도 NGINX 운영 팀은 설정 사용 여부 확인과 즉시 패치가 필요합니다.
GeekNews
구글, '안티그래비티' 2.0 업그레이드.."코딩 보조 넘어 에이전트 지휘로"
구글이 I/O 2026에서 여러 자율 에이전트를 독립 프로젝트에 병렬로 투입·조율하는 ‘안티그래비티 2.0’을 공개했습니다. IDE 보조를 넘어 에이전트 오케스트레이션으로 확장됐다는 점이 핵심이라, 국내 개발자와 AI 제품팀에도 실제 업무 자동화 방식이 바뀔 수 있는 중요한 신호입니다.
AITimes
Mirage - AI 에이전트를 위한 통합 가상 파일시스템
Mirage는 S3, Slack, Gmail, GitHub, Redis 같은 여러 서비스를 하나의 가상 파일시스템으로 마운트해, AI 에이전트가 bash/Unix 도구만으로 데이터를 다루게 해주는 오픈소스 프로젝트예요. Python·TypeScript SDK와 CLI, 주요 에이전트 프레임워크 연동까지 제공해서, 에이전트 워크플로를 실제 제품에 붙이려는 국내 개발팀에 꽤 실용적인 선택지가 될 수 있습니다.
GeekNews
Codex의 Goals를 활용하는 법
OpenAI가 Codex의 ‘Goals’ 기능을 소개하면서, 단발성 프롬프트 대신 지속적인 완료 조건을 가진 코딩 작업을 어떻게 관리할지 정리했습니다. `/goal`, pause/resume/clear 같은 명령으로 성능 최적화, flaky test 재현, 리팩터링 같은 다단계 작업을 이어갈 수 있다는 점이 포인트예요. 한국 개발자에게는 AI 코딩 도구를 단순 자동완성에서 ‘증거 기반으로 끝까지 밀어주는 작업 에이전트’로 쓰는 패턴을 보여준다는 점에서 실용성이 큽니다.
GeekNews
내 ID만 있으면 FIFA 월드컵 전체에 Rickroll을 틀 수 있었다
FIFA 에이전트 플랫폼에 일반 사용자로 가입한 뒤, 같은 Microsoft Entra 테넌트에 연결된 내부 시스템의 API가 서버 측 권한 검사를 하지 않는다는 점을 이용해 월드컵 2026 스트리밍 관리 패널까지 접근할 수 있었다는 보안 분석입니다. 기사에 따르면 경기별 카메라 피드, RTMP ingest URL, 스트림 키까지 노출됐고, 이는 대형 이벤트 인프라에서 IAM·API 권한 검증이 얼마나 치명적인지 보여줘 한국의 미디어·스포츠·엔터프라이즈 보안팀에도 시사점이 큽니다.
GeekNews
Show GN: hera-agent-unity - CLI로 Unity를 제어하는 MCP 대안 (런타임 의존성 0)
hera-agent-unity는 Go CLI 1개와 Unity용 C# UPM 패키지 1개만으로 AI 에이전트가 라이브 Unity Editor를 직접 측정·제어할 수 있게 해주는 도구입니다. 로그 조회, Play Mode 실행, 리플렉션, UI 실측-보정 루프까지 제공해 ‘추측성 코드 생성’의 한계를 줄여주며, Unity 기반 프로토타이핑이나 에이전트 워크플로를 실험하는 국내 게임 개발자에게 특히 흥미로운 선택지입니다.
GeekNews
CUDA 커널을 실행하면 내부에서 벌어지는 일
이 글은 단순한 CUDA 벡터 합 예제를 시작으로 nvcc, PTX, SASS, 드라이버 호출, 수백 건의 ioctl, 메모리 매핑된 doorbell register까지 커널 실행의 전 과정을 해부합니다. GPU 성능 최적화나 CUDA 디버깅을 하는 엔지니어에게는 ‘커널 한 번 실행’ 뒤에 숨어 있는 시스템 레이어를 입체적으로 이해하게 해주는 자료입니다. AI 인프라와 GPU 비용이 중요한 한국 현업 팀에도 직접적인 학습 가치가 큽니다.
GeekNews
Postgres 19의 새로운 점: 베타 릴리스 심층 분석
Postgres 19 베타에는 코어에 들어온 REPACK CONCURRENTLY, SQL property graph queries, 더 완전해진 logical replication, 파티션 split/merge 같은 운영 친화적 기능이 포함됐습니다. 특히 대형 프로덕션 DB에서 락 부담 없이 블로트를 정리하거나 파티셔닝 전략을 나중에 더 유연하게 바꿀 수 있어, 한국의 백엔드·데이터 인프라 팀이라면 업그레이드 가치와 마이그레이션 포인트를 미리 점검해볼 만합니다.
GeekNews
KDE Plasma에서 샌드박스를 깨는 임의 코드 실행 취약점
KDE Plasma에서 샌드박스 앱이 작업 표시줄의 ‘Open New Window’ 동작을 악용해 호스트에서 임의 바이너리를 비샌드박스 상태로 실행할 수 있다는 PoC가 공개됐습니다. Flatpak 같은 데스크톱 리눅스 앱 배포 모델의 신뢰 가정을 흔드는 이슈라서, 리눅스 데스크톱·보안·오픈소스 패키징을 다루는 국내 개발자라면 꼭 체크할 만합니다.
GeekNews
Show GN: ts6to7 - TypeScript 5/6 → 7(tsgo) 마이그레이션 자동화 codemod
TypeScript 5/6 프로젝트를 TypeScript 7(tsgo)로 옮겨주는 자동 codemod가 공개됐습니다. deprecated 옵션 제거, moduleResolution·target 변경, package.json 의존성 업데이트까지 처리하고 수동 점검이 필요한 항목도 체크리스트로 알려줘서, TS7 마이그레이션을 준비하는 팀에게 바로 쓸 만한 도구입니다.
GeekNews
Patch for Windows Defender 0-day could allow attackers to fill hard disk
Microsoft가 Windows Defender 엔진의 제로데이(CVE-2026-50656)를 패치했지만, 보안 연구자에 따르면 이 수정이 오히려 대용량 파일 쓰기를 유발해 디스크를 가득 채울 수 있는 새 문제를 만들 수 있습니다. Windows 10·11 환경 전반에 걸친 보안 엔진 이슈라 기업 IT·보안팀, 엔드포인트 운영 담당자라면 패치 적용 후 이상 징후와 저장공간 고갈 리스크를 함께 점검해야 합니다.
Ars Technica
Weave Router - 프롬프트마다 최적의 모델로 라우팅하는 에이전트용 모델 라우터
Weave Router는 Anthropic, OpenAI, Gemini, 오픈소스 모델까지 하나의 엔드포인트로 연결하고 프롬프트별로 최적 모델을 자동 선택해주는 에이전트용 라우터입니다. Claude Code, Codex, Cursor 같은 도구를 localhost나 호스팅 라우터에 바로 붙일 수 있고, OTLP 추적과 대시보드까지 제공해 운영 관점에서도 꽤 실용적입니다. 멀티모델 비용·품질 최적화가 중요한 한국 AI 제품팀에게 바로 적용 가능한 인프라 패턴입니다.
GeekNews
Google shoehorned Rust into Pixel 10 modem to make legacy code safer
구글이 Pixel 10 모뎀의 전체 코드를 갈아엎는 대신, 메모리 안전성이 중요한 일부 컴포넌트에 Rust를 끼워 넣는 방식으로 보안을 강화했습니다. Project Zero가 Exynos 모뎀 취약점을 여러 차례 지적한 뒤 나온 대응이라는 점에서, 한국 개발자·보안 담당자에게도 ‘레거시 C/C++ 시스템을 어떻게 점진적으로 안전하게 바꿀 것인가’에 대한 현실적인 참고 사례입니다.
Ars Technica
microsoft/mimalloc - 고성능 범용 메모리 할당자
Microsoft의 오픈소스 메모리 할당자 mimalloc은 낮은 지연시간, 낮은 단편화, 멀티스레드 경쟁 완화 같은 특성으로 대규모 서비스와 런타임에 실제로 쓰이는 수준의 성숙도를 보여줍니다. LD_PRELOAD 같은 방식으로 기존 프로그램에 거의 코드 수정 없이 붙일 수 있어서, 성능 최적화나 런타임 튜닝이 중요한 한국 개발팀에게 바로 시도해볼 만한 도구입니다.
GeekNews
Unlocking asynchronicity in continuous batching
Hugging Face가 연속 배치(continuous batching)에서 CPU 배치 준비와 GPU 연산을 비동기로 분리해 추론 처리량을 크게 높이는 방법을 설명했습니다. GPU 유휴 시간이 전체 런타임의 거의 4분의 1까지 차지할 수 있다는 점을 짚으면서, LLM 서빙 비용 최적화에 바로 적용할 수 있는 실전 인프라 팁을 제공합니다. 한국의 AI 서비스팀이나 GPU 비용에 민감한 스타트업에게 특히 유용한 글입니다.
Hugging Face Blog
수많은 가능성을 품은 Typst 0.15
Typst 0.15는 변수 폰트 지원, MathML이 포함된 HTML export 확장, multi-file bundle export, 복수 bibliography, 동시 다중 PDF 표준 지원 등 대형 기능 업데이트를 담았습니다. LaTeX 대안이나 기술 문서 자동화에 관심 있는 한국 개발자·연구팀에겐 문서 생성 워크플로를 더 현대적으로 바꿀 수 있는 실질적 업그레이드입니다.
GeekNews
Contrary to popular superstition, AES 128 is just fine in a post-quantum world
AES-128이 양자컴퓨터 시대에 곧바로 무력화된다는 통념은 과장됐고, Grover 알고리즘의 실제 제약을 보면 대칭키 암호까지 당장 AES-256으로 전면 교체할 필요는 없다는 설명입니다. 한국의 보안·인프라 팀 입장에선 PQC 전환 우선순위를 다시 정리하고, 실제로 더 급한 공개키 영역 마이그레이션에 집중하는 데 도움이 되는 내용입니다.
Ars Technica
Zerobox - OpenAI Codex 런타임 기반의 경량 크로스 플랫폼 프로세스 샌드박싱 도구
Zerobox는 OpenAI Codex 런타임에서 분리해낸 경량 샌드박싱 도구로, 파일 쓰기·네트워크·환경변수·자격증명을 기본 차단하는 deny-by-default 정책을 제공합니다. Docker나 VM 없이 단일 바이너리로 약 10ms 오버헤드만 추가되고, AI 에이전트의 tool call을 권한별로 분리할 수 있어 한국 개발 조직의 AI 코드 실행 보안에 바로 적용할 수 있습니다.
GeekNews
Open Code Review: AI 기반 코드 리뷰 CLI 도구
알리바바가 내부에서 수만 명 개발자와 수백만 건 결함 탐지에 사용해온 AI 코드 리뷰 CLI를 오픈소스로 공개했습니다. 일반 LLM 에이전트의 누락·위치 오차·품질 불안정을 줄이기 위해 deterministic 엔지니어링과 에이전트를 결합한 구조가 핵심이라, 사내 코드리뷰 자동화나 PR 품질 관리에 관심 있는 한국 개발팀에 바로 참고할 만합니다.
Hacker News Best
Databricks, AI 에이전트 발목 잡던 수십 년 묵은 데이터 파이프라인 문제 해결 주장
Databricks가 Data + AI Summit에서 Lakehouse//RT와 LTAP를 발표하며, 운영 DB와 분석 DB 사이의 ETL 파이프라인을 없애겠다는 청사진을 내놨습니다. Postgres 트랜잭션 데이터를 처음부터 Delta·Iceberg 포맷으로 저장해 실시간 질의와 거버넌스를 동시에 노리는 접근이라, 한국 데이터·플랫폼 팀에는 AI 에이전트용 데이터 스택 단순화 흐름을 읽는 데 중요한 신호입니다.
VentureBeat
let-go - Go로 만든 7ms 기동 Clojure 계열 언어
let-go는 Go로 만든 Clojure dialect로, 약 10MB 바이너리와 6.7~7ms 콜드스타트, JVM 없는 실행 환경을 내세웁니다. Clojure 테스트 스위트 기준 95.4% 호환성, standalone 바이너리와 WASM 출력까지 지원해서, 한국 개발자 입장에선 스크립팅·CLI·서버리스·내장형 런타임 실험에 꽤 흥미로운 대안입니다.
GeekNews
Building a safe, effective sandbox to enable Codex on Windows
OpenAI가 Codex를 Windows에서도 안전하게 돌리기 위해 자체 샌드박스를 어떻게 설계했는지 공개했습니다. AppContainer나 Windows Sandbox 같은 기존 옵션이 왜 부족했는지, 파일 쓰기/네트워크 권한을 어떻게 제한했는지까지 설명해 AI 코딩 에이전트를 도입하는 개발팀에 꽤 실용적인 참고자료가 됩니다.
OpenAI Blog
I turned a $80 RK3562 Android tablet into a Debian Linux workstation
80달러짜리 RK3562 기반 안드로이드 태블릿에서 SD카드 부팅만으로 Debian 12를 구동하는 오픈소스 프로젝트입니다. 디스플레이·터치·와이파이·블루투스·오디오·배터리·NPU까지 상당수 기능이 동작하고, 내부 저장소를 건드리지 않아 원복도 쉬워서 저비용 ARM 리눅스 개발·엣지 AI 실험용으로 꽤 매력적입니다.
Hacker News Best
수백 개 조직에 영향 준 PeopleSoft 0-day, 수GB 데이터 탈취
오라클 PeopleSoft의 치명적 SSRF 취약점(CVE-2026-35273, CVSS 9.8)이 최소 2주간 제로데이로 악용됐고, 약 100개 조직·300개 엔드포인트가 표적이 된 것으로 보입니다. 특히 고등교육 기관 비중이 68%에 달해 대학·공공 SI를 다루는 한국 보안팀에도 경고 신호이고, 아직 완전한 패치가 아닌 임시 대응만 나온 상태라 즉시 점검이 필요합니다.
Ars Technica
디자이너가 새로운 SWE인가…Figma Make, 양방향 GitHub 연동으로 디자인을 운영 코드로 전환
피그마 메이크가 기존 프로토타입 도구를 넘어, 기존 Git 저장소를 불러와 시각적으로 코드를 수정하고 GitHub PR로 반영하는 양방향 개발 흐름을 지원합니다. 중요한 점은 CI·보안 검사·코드리뷰 같은 기존 엔지니어링 가드레일을 그대로 유지한다는 점으로, 한국 조직에서도 디자이너·PM의 생산성을 높이면서도 코드 거버넌스를 지키는 협업 방식으로 주목할 만합니다.
VentureBeat
이제 웹사이트가 하드 드라이브를 통해 당신을 감시할 수 있다
새로 공개된 FROST 기법은 브라우저의 OPFS와 SSD I/O 타이밍을 이용해 사용자가 다른 탭에서 어떤 사이트를 보고 있는지, 어떤 앱을 열었는지까지 추론할 수 있게 합니다. 별도 클릭 없이 웹페이지 방문만으로 가능한 공격이라 브라우저 보안 모델 자체를 다시 보게 만드는 연구고, 한국 웹·브라우저·보안 엔지니어들에게도 매우 중요한 이슈입니다.
Wired
Claude Code, 문서에 없는 설정 가능한 모든 것
Anthropic의 Claude Code npm 패키지 소스코드를 직접 분석해, 공식 문서에 없는 훅 반환 필드·권한 자동승인 규칙·에이전트 메모리·파일 감시 같은 숨은 설정을 정리한 글입니다. 특히 `updatedInput`, `permissionDecision`, `additionalContext`처럼 실제 워크플로를 바꿀 수 있는 옵션이 예제와 함께 제시돼서, AI 코딩 도구를 팀 개발 환경에 붙이는 한국 개발자에게 바로 참고할 만한 내용이에요.
Hacker News Best
Typst 0.15.0
Typst 0.15.0은 가변 폰트, MathML 기반 수식 HTML 출력, 멀티 파일 번들 export, 복수 bibliography, spot color 지원 등 문서 워크플로를 크게 넓힌 업데이트입니다. 동시에 경로 문법 변경 같은 브레이킹 체인지와 마이그레이션 포인트도 포함돼 있어 기존 사용자라면 꼭 확인해야 해요. 한국의 개발 문서팀·출판·테크니컬 라이팅 조직에선 PDF와 웹을 함께 겨냥한 문서 파이프라인 개선에 바로 연결될 수 있습니다.
Hacker News Best