AI 25/05: Gemini 3.5 Flash, Vatican Encyclical, GitHub bị tấn công

Ngày 25/05/2026 có thể là một trong những ngày dày đặc sự kiện nhất của ngành AI trong năm nay. Trong khi hàng trăm triệu người dùng thầm lặng chuyển sang Gemini 3.5 Flash mà không hay biết, Pope Leo XIV và đồng sáng lập Anthropic cùng đứng trên sân khấu Vatican để ra tuyên ngôn đạo đức AI đầu tiên của Giáo hội Công giáo. Song song đó, một cuộc tấn công chuỗi cung ứng npm đang lan rộng và đã "đốt" cả OpenAI lẫn Ủy ban Châu Âu.

Đây không phải những tin tức bình thường của một ngày thứ Hai — đây là bức tranh thu nhỏ của toàn bộ cuộc chuyển dịch AI đang xảy ra trong năm 2026.

Sự kiện: Google chính thức đưa Gemini 3.5 Flash vào production hôm nay — đây là model mặc định trên app Gemini và AI Mode trong Google Search trên toàn cầu. Nghĩa là ngay lúc này, hàng trăm triệu người dùng đã đang dùng nó dù không ai thông báo.

Tại sao quan trọng: Tốc độ là điểm bán hàng chính — Gemini 3.5 Flash nhanh hơn 4 lần so với các frontier model cùng phân khúc, trong khi benchmark vượt Gemini 3.1 Pro ở coding và agentic tasks. Giá API chỉ $1.50/1M token đầu vào và $9.00/1M token đầu ra — rẻ hơn 3.1 Pro khoảng 25%.

Một điểm cần chú ý: model này có xu hướng "nói nhiều" — Artificial Analysis ghi nhận nó sinh ra gần gấp đôi số output token so với các model tương đương giá. Nếu bạn đang xây dựng pipeline tính phí per-output-token với volume lớn, hãy benchmark thực tế trước khi migrate.

Bạn nên làm gì: Test benchmark với dataset thực của bạn — đặc biệt nếu workflow có nhiều bước tool-calling. Gemini 3.5 Pro (mạnh hơn) dự kiến ra tháng 6/2026 nếu bạn muốn chờ thêm.

Sự kiện: Hôm nay tại Synod Hall, Vatican, Pope Leo XIV công bố *Magnifica Humanitas* — encyclical đầu tiên trong lịch sử Giáo hội Công giáo về trí tuệ nhân tạo. Đứng cạnh Giáo hoàng trên sân khấu là Christopher Olah, đồng sáng lập Anthropic và trưởng nhóm nghiên cứu interpretability (khả năng hiểu nội tâm AI).

Tài liệu được ký ngày 15/5 — kỷ niệm 135 năm Rerum Novarum, bản tuyên ngôn xã hội Công giáo về quyền lao động thời công nghiệp hóa. Thông điệp ẩn dụ rõ ràng: Vatican coi AI là Cách mạng Công nghiệp của thế kỷ 21, và họ muốn có tiếng nói trong cuộc chơi.

Tại sao quan trọng: Đây không chỉ là tuyên bố tôn giáo. Việc Vatican chọn Anthropic — công ty vừa bị Lầu Năm Góc liệt vào danh sách rủi ro chuỗi cung ứng vì từ chối bỏ các biện pháp bảo vệ chống AI tự động vũ trang — là một tín hiệu địa chính trị rõ ràng. Đây là hành động bảo lãnh uy tín cho một quan điểm: AI cần có đạo đức, và không phải mọi khách hàng đều đáng phục vụ.

Các diễn giả khác gồm Hồng y Víctor Manuel Fernández, Giáo sư Anna Rowlands (Đại học Durham), và Giáo sư Leocadie Lushombo (Jesuit School of Theology). Tài liệu này dự kiến được trích dẫn trong mọi cuộc tranh luận về chính sách AI tại EU và Thượng viện Mỹ trong Q3 2026.

Bạn nên làm gì: Nếu bạn đang xây dựng sản phẩm AI cho doanh nghiệp tại EU hay Mỹ Latin — hai thị trường có ảnh hưởng Công giáo mạnh — tài liệu này sẽ định hình kỳ vọng về đạo đức AI của khách hàng. Đáng đọc ít nhất phần tóm tắt (Vatican sẽ có bản dịch tiếng Việt).

Sự kiện: Cuộc tấn công TeamPCP bắt đầu từ 11/5 qua lỗ hổng trong hệ sinh thái npm TanStack Router, lan rộng qua Mini Shai-Hulud worm. Đến hôm nay, 500+ package npm và PyPI đã bị compromise. CVE-2026-45321 có CVSS score 9.6 — mức cực kỳ nghiêm trọng.

Danh sách nạn nhân được xác nhận: - OpenAI: 2 thiết bị nhân viên bị ảnh hưởng, một số credential nội bộ bị lấy. Chứng chỉ ký code iOS/macOS/Windows đã được rotate; chứng chỉ macOS sẽ bị thu hồi hoàn toàn ngày 12/6. - Mistral AI: 1 thiết bị developer, bị tống tiền $25.000 bằng Monero. - Ủy ban Châu Âu: Website công khai bị ảnh hưởng. - Mercor (công ty data contracting): Cũng bị xác nhận.

Tại sao quan trọng: Trend Micro đã theo dõi 7 đợt tấn công TeamPCP riêng biệt trong năm 2026. Đây không phải incident đơn lẻ — đây là nhóm tấn công có tổ chức nhắm vào hệ sinh thái AI tooling, và họ đang ngày càng chuyên nghiệp hơn.

Bạn nên làm gì ngay bây giờ: Chạy npm audit và pip-audit trên mọi project production. Kiểm tra dependency tree theo danh sách package bị ảnh hưởng từ GitHub Security Advisory (CVE-2026-45321). Nếu bạn là developer Việt Nam làm remote cho công ty nước ngoài và có quyền truy cập code repo — báo cáo cho security team ngay.

Sự kiện: Adobe Firefly, Canva Magic Layers, và CapCut đều vừa thông báo tích hợp trực tiếp với Gemini app. Người dùng có thể mô tả yêu cầu thiết kế bằng ngôn ngữ tự nhiên ngay trong Gemini chat, rồi export thành phẩm sang app gốc mà không cần đăng nhập lại hay chuyển tab.

Canva đang chạy beta với Magic Layers đã hoạt động. Adobe kết nối với bộ Firefly generative suite. CapCut cho phép tạo video từ prompt trong Gemini. Rollout dự kiến hoàn tất theo từng khu vực trước tháng 7/2026.

Tại sao quan trọng: Đây là bước đi để Gemini trở thành "ambient AI layer" — không phải chatbot riêng biệt mà là lớp thông minh phủ lên toàn bộ workflow. Với người dùng Việt Nam đang dùng Canva hay CapCut để làm content (rất phổ biến ở các creator nhỏ, shop bán online Shopee/Lazada), đây là nâng cấp đáng chú ý.

Ví dụ cụ thể: Bạn chat với Gemini bằng tiếng Việt "làm banner Shopee flash sale 11.11, màu đỏ vàng, font dễ đọc, kích thước 800×800" → Canva tự render draft → bạn export PNG trong vòng 2 phút. Không cần biết Canva shortcuts.

Bạn nên làm gì: Nếu bạn đang tạo content thường xuyên cho mạng xã hội, hãy link tài khoản Canva với Gemini ngay khi tính năng ra mắt tại Việt Nam (dự kiến tháng 7). Early adopter sẽ tiết kiệm được 30-40 phút mỗi ngày so với workflow hiện tại.

Sự kiện: Theo báo cáo tuần này, Anthropic đạt doanh thu annualized $10.9 tỷ USD trong Q2 2026 — và lần đầu tiên ghi nhận lợi nhuận hoạt động dương: $559 triệu USD. Đây sớm hơn 2 năm so với dự phóng ban đầu. So sánh: cuối 2025, doanh thu Anthropic mới chỉ ở mức $9B/năm.

Vòng gọi vốn $30 tỷ USD của Anthropic (định giá $900 tỷ+, dẫn đầu bởi Sequoia) đã đóng ngày 22/5. Google đã đầu tư tổng cộng $40 tỷ vào Anthropic — thỏa thuận lớn nhất trong lịch sử AI ngoài mối quan hệ Microsoft-OpenAI.

Tại sao quan trọng với doanh nghiệp Việt: Khi Anthropic có lãi và sắp IPO, Claude API sẽ không biến mất. Đây là tín hiệu tốt cho những ai đang xây dựng product trên Claude. Ngược lại, áp lực cổ đông sau IPO có thể khiến Anthropic điều chỉnh giá hoặc chính sách usage — nên theo dõi Terms of Service.

Bạn nên làm gì: Nếu bạn đang cân nhắc giữa GPT-4o và Claude cho product dài hạn, sức khỏe tài chính của Anthropic là yếu tố cộng điểm quan trọng. Thử ngay Claude 3.7 Sonnet qua OneGen để đánh giá trước khi commit.

Nhìn lại 5 sự kiện hôm nay, có một điểm chung: AI đang trở thành infrastructure, không còn là novelty.

Gemini 3.5 Flash âm thầm trở thành default cho hàng trăm triệu người. Anthropic có lãi và sắp IPO. Adobe/Canva/CapCut tích hợp AI vào giữa workflow thiết kế. Vatican — tổ chức 2.000 tuổi — cũng bắt đầu đưa ra tuyên ngôn về AI.

Và GitHub bị tấn công chuỗi cung ứng quy mô lớn nhắc nhở rằng: infrastructure càng quan trọng thì trở thành mục tiêu càng hấp dẫn.