Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierKorben

JaiLIP - L'image piégée qui débride les IA qui voient

Par : Korben ✨
28 juin 2026 à 06:19

Md Jueal Mia et Hadi Amini, deux chercheurs de Florida International University , ont mis au point une méthode qu'ils ont baptisée JaiLIP qui permet de forger une image capable de contourner les garde-fous des LLM pour les jailbreaker.

Pour cela, ils utilisent 2 techniques en simultanée. La première dit à l'image "reste identique à l'originale, qu'aucun humain ne voie la moindre différence" et la seconde dit "pousse le modèle à cracher la réponse interdite". Ainsi, en poussant ces 2 curseurs d'un coup, ils obtiennent une photo qui au premier abord a l'air normale mais qui fait dérailler les modèles IA.

Vous, vous repérez un chat, des contours, une scène et vous lui courez derrière pour lui faire des papouilles. L'IA, elle voit une grille de chiffres et des corrélations entre pixels. Du coup sa vie est nulle mais surtout, une retouche minuscule, totalement invisible à votre œil, suffit à déplacer ce qu'elle comprend de l'image.

Sur leurs tests, l'image trafiquée a quasiment doublé la part de réponses dangereuses par rapport à la même image laissée intacte, la toxicité étant mesurée avec des outils standards du domaine. Dans l'un de leurs exemples, ils ont trafiqué une image de signalisation routière qui a permis au modèle ensuite d'expliquer OKLM comment ignorer les règles de circulation et éviter les PV.

Les chercheurs ont testé l'attaque sur deux modèles vision-langage open source, BLIP-2 et MiniGPT-4. GPT-4V, Gemini et les autres gros modèles fermés, eux, n'ont pas été testés dans l'étude. Donc non, contrairement à ce que j'ai pu lire par ci et par là, ce n'est pas une faille prouvée dans ChatGPT ou peu importe l'assistant IA que vous utilisez tous les jours.

Et tromper une IA avec une image bricolée, ça existe depuis une bonne dizaine d'années. Mais la nouveauté de JaiLIP, c'est surtout sa recette d'optimisation. En jouant sur les deux pertes à la fois, l'image reste plus discrète à l'œil tout en se montrant un cran plus efficace que les bidouilles précédentes.

Et ce genre de détournement nous concerne tous parce que des modèles qui regardent des images, il y en a partout maintenant. Les agents IA qui bossent à partir de captures d'écran, les assistants à qui vous balancez vos photos, sans oublier la modération automatique qui trie les images avant publication. À cause de ça, l'image est dorénavant un canal d'attaque, exactement comme l'était déjà le texte...

On l'a vu avec le son inaudible qui pirate les assistants vocaux , on l'a vu avec les IA qu'on manipule sans qu'elles s'en aperçoivent , et c'est toujours la même logique qui revient. Ce n'est pas parce qu'en tant qu'humain, nous ne percevons rien, que l'IA elle n'est pas capable de capter le message 5/5.

Le cousin de cette attaque, côté perception, c'est par exemple le sticker qui trompe une voiture autonome . Et côté parade, nos chercheurs esquissent une piste légère : virer au hasard 10 à 30% des mots passés en entrée, histoire de casser l'attaque sans réentraîner le modèle.

Prometteur d'après eux, mais c'est pas encore une solution blindée. Pour le reste, leurs conseils tiennent du bon sens : Ne passez pas d'infos sensibles en image à un modèle, limitez qui peut envoyer des images à vos systèmes, et auditez sérieusement la sécurité avant de mettre un VLM en prod.

C'est pas le graal mais c'est mieux que rien. Bref méfiez vous des images que vous donnez à vos IA. On ne sait jamais.

Source : le papier JaiLIP sur arXiv

La faille d'Amazon Q : ouvrir un projet suffisait à se faire voler ses accès au cloud

27 juin 2026 à 10:52

Amazon Q, l'assistant de programmation dopé à l'IA que propose Amazon, pouvait se faire piéger d'une manière aussi simple qu'embarrassante.

Petit rappel pour situer. Amazon Q se greffe dans Visual Studio Code, l'éditeur de code de Microsoft que les développeurs utilisent au quotidien, et sert à écrire ou corriger du code à votre place.

Des chercheurs de Wiz, une société spécialisée dans la sécurité du cloud, ont découvert que cet assistant exécutait des commandes cachées à la simple ouverture d'un projet. La faille a reçu un identifiant officiel, CVE-2026-12957, et une note de gravité de 8,5 sur 10, ce qui est sérieux.

Le problème venait d'un fichier de configuration un peu particulier. Pour fonctionner, Amazon Q lit un fichier nommé .amazonq/mcp.json, qui s'appuie sur le MCP, pour Model Context Protocol, une sorte de prise standardisée qui permet de brancher une IA sur des outils extérieurs.

Sauf qu'il suffisait d'ouvrir un dépôt de code et d'activer Amazon Q pour que l'extension aille lire ce fichier et exécute son contenu. Sans fenêtre de confirmation, sans demander votre avis, et sans vérifier si vous faisiez confiance au dossier que vous veniez d'ouvrir.

Et c'est là que ça devient vraiment fourbe. Ces commandes héritaient de tout votre environnement de travail. Du coup, elles pouvaient récupérer au passage vos clés d'accès au cloud d'Amazon, vos jetons de connexion, vos secrets d'API et même l'accès à votre agent SSH, ce trousseau qui garde en mémoire vos connexions aux serveurs distants. En clair, tout ce qu'un développeur laisse ouvert pendant qu'il travaille.

Le plus gênant, c'est que Visual Studio Code possède justement une sécurité prévue pour ça, la confiance d'espace de travail, qui vous demande si vous validez un dossier avant de le laisser agir. L'extension d'Amazon passait tout bonnement par-dessus.

Pour un pirate, le piège était facile à tendre. Il suffisait de glisser ce fichier dans un projet open source d'apparence anodine, ou dans un bout de code partagé sur un forum, et d'attendre qu'un développeur qui récupère un projet l'ouvre pour voir comment il fonctionne.

Amazon a corrigé le tir dans la version 1.65.0 de son serveur de langage et a confirmé la correction. Wiz note d'ailleurs que des failles très proches ont déjà touché d'autres outils de code boostés à l'IA.

Donner autant de pouvoir à une IA sans le moindre garde-fou, et laisser filer les clés du cloud avec, ça reste une erreur de débutant pour un géant comme Amazon.

Source : The Register

Dropbox se branche à Claude Code et lui permet de lire vos fichiers

Par : Korben ✨
26 juin 2026 à 16:22

Dropbox vient de sortir un plugin pour Claude Code , et leur idée c'est de pouvoir brancher vos fichiers Dropbox directement dans vos sessions de dev Claude Code / Cowork.

Alors je me suis demandé à quoi ça pouvait bien servir et voici ce que j'ai compris. Une fois que le plugin est en place, ça permet à Claude Code d'aller piocher dans votre Dropbox vos docs techniques, vos cahiers des charges, votre code...etc pour s'en faire du contexte. Tout devient de la matière fraiche pour corriger ou générer du code et quand c'est fini, ce qui est produit peut être à son tour stocké sur Dropbox.

Le plugin sait récupérer les fichiers en fonction de leur nom, de mots clés, de leur emplacement et bien sûr en fonction de leurs méta données. Même vos liens partagés il sait comment les gérer. Bref, il fait tout simplement le passe-plats entre tout le bordel que vous stockez sur Dropbox et Claude Code.

Cela dit, gardez la tête froide parce que tout ce que l'IA lit part sur les serveurs d'Anthropic pour être traité. Donc évitez quand même de le lâcher sur le dossier qui contient vos contrats, vos mots de passe ou vos données clients. Lui autoriser juste un dossier dédié avec ce que vous acceptez de partager, ce sera plus sain.

Pour l'installer, ça se passe dans Claude Code sur le web. Vous filez dans le menu Personnaliser, Connecteurs puis vous cherchez Dropbox en parcourant les plugins et vous cliquez sur ajouter. Une auth OAuth plus tard (vos identifiants Dropbox habituels), c'est branché. Un petit /reload-plugins et le plugin s'active alors dans la session en cours.

En plus de ce plugin, Dropbox propose également un serveur MCP classique en ligne de commande qui est un peu plus souple et surtout peut se brancher dans Cursor, Claude Desktop ou Devin.

Un bémol quand même, c'est pas open bar... sniiif. Eh oui, Dropbox plafonne tout ça à 5 Mo par fichier lu ou créé via l'intégration, et le contenu pondu par Claude ne se sauvegarde qu'en texte (.txt, .md, .html, .py), et pas en image ni en PDF. Quant aux limites de débit de l'API, on ne les connaît pas.

Bref, pour les gros fichiers ou les binaires, faudra donc passer par autre chose.

Si vous vivez dans Claude Code et que votre vie est rangée dans Dropbox, ça vaut peut-être le coup de jeter un œil ici.

Dream Server - Un serveur IA complet chez vous en une commande

Par : Korben ✨
26 juin 2026 à 14:41

Monter une vraie IA à la maison, c'est vite une galère. Vous achetez une super machine puis vous collez dessus toute votre liste au père Noël (Chat local, reco vocale, génération d'image, RAG et compagnie) et vous voilà à empiler des dockers à n'en plus finir. Eh bien Light Heart Labs en a eu marre de ces bricolages et nous a pondu Dream Server, un outil qui câble tout ce petit monde à votre place !

Une seule commande et c'est parti mon kiki (Linux et macOS) :

curl -fsSL https://raw.githubusercontent.com/Light-Heart-Labs/DreamServer/main/dream-server/get-dream-server.sh | bash

Ou Windows :

Set-ExecutionPolicy -Scope Process -ExecutionPolicy Bypass
git clone https://github.com/Light-Heart-Labs/DreamServer.git
cd DreamServer
.install.ps1

Ça va lancer le script qui va ensuite tout paramétrer tout seul et choisir le modèle d'IA qui collera le plus à votre matériel, et cela que vous ayez une RTX 4090, un Mac M4 avec mémoire unifiée ou encore une puce AMD Strix Halo voire un vieux PC sans GPU.

Edit : un lecteur m'a remonté un piège si vous êtes sous Linux configuré en français (ou n'importe quelle locale qui écrit les décimales avec une virgule). Le script génère tout seul les valeurs de votre fichier .env en suivant le format de nombres de votre système, et il vous colle des 16,0 au lieu de 16.0. Du coup l'install se vautre avec une erreur dans le genre COMFYUI_CPU_LIMIT: expected number, got '16,0'. La parade, confirmée par un des auteurs, c'est de relancer l'installeur en forçant la locale C (celle qui met des points à la place des virgules) :

LC_ALL=C ./install.sh

Ensuite, pendant que le LLM se télécharge à fond les ballons, un autre petit modèle de 1,5 milliards de paramètres en backup afin que vous puissiez quand même "discuter" avec votre Dreamserver.

Le rôle de Dreamserver c'est donc juste de prendre toutes les briques de l'IA pour vous en faire un truc clé en main. Open WebUI pour le chat, llama-server pour l'inférence, Whisper et Kokoro pour la voix, ComfyUI pour les images, Qdrant pour le RAG, SearXNG pour la recherche web sans mouchard, et bien sûr n8n pour brancher tout ça à vos automatisations.

Et une fois que c'est en route, suffit de lancer la commande dream et là vous pourrez tout faire.

Par exemple dream status pour visualiser l'état des services et du GPU, dream model swap T3 pour changer de "palier" sur votre matos, dream enable n8n pour activer une extension ou encore dream mode hybrid pour avoir de l'inférence en local avec possibilité de basculer sur une IA dans le cloud via une API.

Dreamserver reste un orchestrateur, et pas un moteur IA magique, donc si vous adorez tout assembler vous-même, vous n'avez clairement pas besoin de ça. Par contre, si vous vous en foutez, et que vous voulez juste votre IA qui tourne ce soir, ça vous fera gagner des heures de bidouille.

Faut dire qu'à mesure que l'IA devient une infrastructure de base, dépendre à 100% d'un abonnement cloud qui peut tripler ses tarifs ou couper votre accès du jour au lendemain, ça craint un peu. Donc je pense qu'on est tous bien contents d'avoir des solutions clé en main comme celle-ci.

Si ça vous tente, c'est sur le dépôt de Dream Server .

Une IA a lu un rouleau carbonisé par le Vésuve il y a près de 2 000 ans

26 juin 2026 à 08:38

Pour la première fois, on connaît le titre exact d'un livre antique sans avoir ouvert le livre. Les chercheurs de la Vesuvius Challenge ont lu, écrit en plein milieu d'un papyrus carbonisé, la mention "Sur les vices, livre 1", un traité de philosophie grecque signé Philodème, un penseur épicurien actif au Ier siècle avant notre ère, dont le rouleau était resté soudé sur lui-même depuis l'éruption du Vésuve en l'an 79.

Ce rouleau, baptisé PHerc. 1667, vient d'être déchiffré d'un bout à l'autre. C'est le premier lu en entier.

Pour comprendre l'exploit, il faut imaginer l'état de ces documents : retrouvés en 1752 dans une luxueuse villa d'Herculanum, probablement celle du beau-père de Jules César, les quelque 1 800 rouleaux ont été changés en bâtons de charbon par la chaleur de l'éruption, au point que les dérouler à la main revient encore aujourd'hui à les réduire en miettes.

D'où l'idée, mise au point en vingt ans par Brent Seales, informaticien à l'université du Kentucky, de ne jamais y toucher. On glisse le rouleau dans un accélérateur de particules qui en réalise un scanner à rayons X d'une finesse extrême, on reconstitue en 3D chacune des couches enroulées à l'intérieur, puis on les déplie virtuellement à l'écran comme on aplatirait une viennoiserie feuilletée sans la déchirer.

Restait le pire. L'encre de l'époque est faite de carbone, exactement comme le papyrus brûlé qui la porte, donc elle est quasiment invisible sur les scans, et c'est là qu'intervient une IA entraînée à repérer les infimes différences de texture laissées par les lettres pour redessiner peu à peu un texte que l'œil humain ne voit pas.

Le résultat est franchement fort, avec 70 nouvelles colonnes de texte exhumées et, sur un autre rouleau, la mention "Philodème, Sur les dieux, livre 8" qui révèle aux historiens que cet ouvrage comptait plusieurs tomes, ce que personne ne soupçonnait jusqu'ici.

Et pour les spécialistes de l'Antiquité, ça compte vraiment, parce que la bibliothèque carbonisée d'Herculanum est la seule de tout le monde gréco-romain à nous être parvenue à peu près complète, et non en fragments recopiés au Moyen Âge par des moines.

Honnêtement, lire 2 000 caractères tracés par un Romain juste avant que tout brûle, ça vaut largement tous les chatbots qui écrivent des e-mails à votre place.

Source : The Register , Scrollprize

OS9Map - OpenStreetMap sur votre Mac de 1999

Par : Korben ✨
26 juin 2026 à 06:14

Un dev prénommé Yllan vient de sortir OS9Map , une application qui affiche OpenStreetMap directement sur Mac OS 9. Oui, je parle bien du système d'exploitation de 1999 qui ronronnait sur nos vieux PowerPC.

Pour l'installer, c'est un bon vieux fichier .sit à décompresser (StuffIt Expander sur la machine d'époque, The Unarchiver si vous passez par un Mac moderne), et il vous faudra un PowerPC sous OS 9 avec 16 Mo de RAM (32 recommandés) et une connexion qui passe par Open Transport. Une fois lancé, vous avez alors une recherche d'adresses qui tape dans Nominatim, le moteur de géocodage d'OpenStreetMap, et vous pouvez mettre vos endroits favoris en signets pour y revenir d'un clic depuis le menu. Bref, un vrai petit client carto !

Et c'est là que je trouve ça beau puisque 16 Mo de RAM pour afficher une carte mondiale interactive, c'est très peu. Pour vous situer, un seul onglet Chrome aujourd'hui c'est plusieurs centaines de Mo, donc faut saluer l'exploit d'Yllan.

Maintenant si l'idée d'une carte minimaliste vous parle, dans le genre bien dépouillé j'avais aussi joué avec MapSCII qui balance le monde entier en ASCII dans un terminal. OS9Map joue dans une autre cour, mais on retrouve un peu la même philosophie.

Le truc qui rend tout ça possible, c'est évidemment OpenStreetMap qui propose toutes ses données en accès libre ! Alors rien que pour ça, merci à OpenStreetMap et ses contributeurs.

Et puis si vous n'avez plus de PowerPC qui traîne au grenier, vous pouvez quand même goûter à OS 9 dans votre navigateur via Infinite Mac .

OS9Map est en version 1.0.0 et se télécharge gratuitement sur le site de yllan .

SAMDUO propose une batterie domestique ultra fine

20 juin 2026 à 09:47

D'habitude, une batterie domestique, c'est un gros bloc qu'on planque à la cave ou au garage. SAMDUO prend le contre-pied avec sa gamme Nex, présentée cette semaine à Amsterdam, et veut en faire un objet qu'on assume de laisser à la vue de tous.

Le modèle E6000 ressemble à un grand cadre fixé au mur, 11,9 cm d'épaisseur seulement, soit la plus fine du monde d'après la marque. Sa variante E6000H abandonne le mur pour un cube de la taille d'un micro-ondes, à glisser dans un coin. Même capacité. Deux façons de la ranger.

Derrière SAMDUO se cache un industriel chinois quasi inconnu il y a encore six mois, qui arrive en Europe avec de gros moyens. Les deux E6000 stockent 6 kWh et visent le tarif de 1999 euros, avec une sortie française au troisième trimestre.

Vient ensuite la question du branchement. Pas besoin de toucher à vos panneaux, la batterie se greffe sur le circuit électrique de la maison et récupère le surplus produit dans la journée. On appelle ça du couplage en courant alternatif, et le bon côté, c'est que ça fonctionne avec à peu près n'importe quelle installation déjà posée.

Côté France, le souci, c'est que la batterie doit savoir en temps réel ce que consomme la maison. SAMDUO a prévu un petit boîtier pour ça, mais il est pensé pour les compteurs néerlandais pour le moment. Chez nous, il faudra ajouter un module dans le tableau électrique.

Pour ceux qui partent de zéro, il y a aussi la P2800 Pro, plus petite avec ses 2,73 kWh extensibles jusqu'à 16,41 kWh, mais qui se relie directement aux panneaux par quatre entrées dédiées. Une approche plus classique, au tarif encore tenu secret.

On a pu jeter un oeil à l'application, et c'est propre. Elle affiche en direct ce qui entre et ce qui sort, jongle avec les heures creuses chez 800 fournisseurs européens dont EDF, mais l'API ouverte n'est pas encore prête.

Si tout le monde se précipite sur ces batteries, c'est que revendre son électricité est de moins en moins rentable, même en France. Les Pays-Bas, eux, où nous étions pour le lancement de la marque avec l'ami Korben, suppriment leur système de revente avantageux dès 2027.

En tous cas le pari du design est réussi. À 2000 euros pièce, par contre, il faudra quelques années avant de le rentabiliser.

EQ-Bench - Le benchmark de l'intelligence émotionnelle des IA

Par : Korben ✨
19 juin 2026 à 10:01

Sam Paech s'est rendu compte qu'on testait toujours les IA sur le code, les maths, et à qui battra un prochain record , mais presque jamais sur leur capacité à comprendre les émotions humaines ou à pondre un texte qui ne sente pas le slop de bot à plein nez. Et c'est pour ça qu'il a monté EQ-Bench , un benchmark qui note l**'intelligence émotionnelle des grands modèles de langage**.

Pour alimenter son benchmark, il colle tout un tas de modèles dans des jeux de rôle un peu tordus (45 scénarios dans sa dernière version) et c'est un autre modèle (Claude, en l'occurrence) qui joue l'examinateur. Il note alors chaque réponse sur huit dimensions, telles que l'empathie, la finesse sociale ou la capacité à poser une limite quand il faut, puis nous sort un classement façon Elo (le classement des échecs). Tout est open source, documenté dans un papier de recherche et Paech finance ce bazar avec ses propres deniers.

Et depuis 2023, c'est devenu une véritable collection de tests...

Y'a un test d'écriture créative, un autre qui regarde si le modèle vous cire les pompes au lieu de vous recadrer quand la conversation s'éternise, un sur l'humour, et même un où les IA jouent à Diplomacy pour voir lesquelles savent négocier et bluffer.

Mais mon préféré c'est le Slop Score, qui mesure à quel point un texte pue l'IA. Pour cela, il traque les mots sur-utilisés et le fameux tic du "pas X, mais Y". Bref, de quoi objectiver (un peu) ce qui rend la moitié du web illisible ces temps-ci.

Paech prévient quand même que son "juge" reste quelque chose de totalement subjectif et qu'il n'existe aucune vérité absolue sur l'intelligence émotionnelle. C'est donc plutôt à lire comme une boussole et pas comme un verdict gravé dans le marbre (ou le silicium ^^).

Toutefois, pour savoir si un modèle écrit comme un humain plutôt que comme un employé d'agence de branding, c'est plutôt pratique. Et je vous conseille d'aller fouiller un peu dans les classements, comme ça vous verrez que le meilleur en code n'est pas forcement le plus futé côté émotions...

Bref, vivement le retour de Fable 5 ^^

Un bug qui gèle l'écran des portables AMD sous Linux traîne depuis 2017, et c'est Claude qui a aidé à le corriger

19 juin 2026 à 09:47

Si vous utilisez un ordinateur portable à puce graphique AMD Radeon sous Linux, vous avez peut-être déjà vu l'écran se figer d'un coup, sans raison apparente, à peu près une fois par semaine. Ce bug agace les utilisateurs depuis des années, et un correctif vient enfin de pointer le bout de son nez.

Le coupable se cache dans AMDGPU, le pilote graphique libre qu'AMD maintient pour Linux. On parle ici du logiciel qui fait le lien entre la carte graphique et le système d'exploitation.

Le problème ne date pas d'hier. En fouillant l'historique du code, le développeur à l'origine du correctif a remonté la piste jusqu'à une modification introduite en 2017. Presque huit ans de gels d'écran.

Le symptôme typique, c'est une erreur "flip_done timed out" dans les journaux du système. Pour faire simple, l'ordinateur attend que l'écran affiche l'image suivante, ce signal n'arrive jamais. Et tout gèle.

Le souci touche plusieurs machines, bien connues du monde Linux, comme le Lenovo ThinkPad T14 Gen1 en version AMD ou le Framework Laptop 13 équipé d'un processeur Ryzen 7 7840U. Jusqu'ici, le seul remède consistait à désactiver le PSR, pour "Panel Self Refresh".

Cette fonction d'économie d'énergie laisse l'écran réafficher tout seul sa dernière image fixe sans réveiller la carte graphique, histoire d'économiser de la batterie. Pratique sur un portable, sauf que c'est précisément elle qui déclenchait les gels.

Le plus intéressant, c'est la méthode employée. Le correctif a été mis au point en "vibe debugging" avec Claude Code, l'assistant de programmation d'Anthropic, le concurrent direct d'OpenAI. Le développeur a décrit le bug à l'IA, qui l'a aidé à explorer le code et à affiner les correctifs, plutôt que de dérouler une procédure de débogage classique.

Concrètement, les patchs revoient la gestion du "vblank" et du "page-flip" dans le bloc d'affichage DCN, c'est-à-dire la mécanique interne qui synchronise le moment où une nouvelle image remplace l'ancienne à l'écran. D'autres tentatives avaient échoué par le passé, mais cette série semble enfin tenir la route.

Maintenant patience, rien n'est encore intégré dans le noyau Linux officiel. Les correctifs doivent passer par les tests et la validation des mainteneurs avant d'arriver chez tout le monde, ce qui peut quand même prendre plusieurs versions du kernel.

Bref, on est là devant un bug fantôme qui date d'lil y a huit ans, débusqué en discutant avec une IA, voilà qui résume assez bien l'année 2026 côté développement.

Source : Phoronix

Linux tire un trait sur AppleTalk

18 juin 2026 à 10:12

C'est la fin d'une époque. Le noyau Linux, le cœur du système qui pilote le matériel et les communications, s'apprête à supprimer le support d'AppleTalk, ce vieux protocole réseau qu'Apple utilisait dans les années 80 et 90 pour faire dialoguer ses Mac entre eux avant que TCP/IP, le langage commun d'internet, ne s'impose partout.

À l'époque, c'était plutôt malin: vous branchiez deux machines et une imprimante, et elles se trouvaient toutes seules, sans la moindre configuration, du plug-and-play avant l'heure à un moment où monter un réseau relevait encore du casse-tête réservé aux initiés.

Aujourd'hui, plus grand monde ne parle ce dialecte. Il en subsiste quelques traces dans Bonjour, la techno maison qui détecte automatiquement imprimantes et appareils sur un réseau local, mais le protocole d'origine, lui, est mort depuis longtemps.

Près de 4000 lignes de code vont donc disparaître avec la version 7.2 du noyau, et Apple avait lui-même enterré AppleTalk dès 2009, du temps de Mac OS X Snow Leopard. Autant dire que le préavis a été large.

Le plus étonnant, c'est ce qui a déclenché le grand ménage. Ce n'est pas vraiment l'abandon par les utilisateurs, mais une vague de correctifs générés par intelligence artificielle qui a fini par saturer la liste de diffusion des développeurs réseau.

Depuis quelques mois, des outils basés sur des grands modèles de langage, balancent automatiquement des "corrections" de bugs sur du code que personne n'avait réclamé, pour un protocole que plus aucun matériel ne fait tourner.

Et chaque proposition, même inutile, mobilise un humain qui doit la lire, la tester et vérifier qu'elle ne casse rien ailleurs, du temps précieux soustrait au vrai travail de mainteneurs déjà débordés par les contributions légitimes.

C'est Jakub Kicinski, qui supervise toute la pile réseau du noyau, qui a fini par trancher: plutôt que de faire éplucher par ses équipes des patchs pondus en série par des machines pour réparer une techno morte, il a préféré retirer AppleTalk d'un seul geste.

Et il n'en est pas à son coup d'essai. Au cycle précédent, pour Linux 7.1, il avait déjà passé à la trappe ARCnet, l'ISDN, la radio amateur et toute une collection de vieux pilotes réseau oubliés, soit près de 138 000 lignes effacées d'un coup, dans ce qu'il a lui-même baptisé la "LLM-pocalypse".

Le code d'AppleTalk ne finit quand même pas tout à fait à la poubelle, puisqu'il rejoint AX.25 et la radio amateur dans un dépôt GitHub mis de côté, pour les rares curieux qui voudraient encore bidouiller avec.

Bref, c'est une première: des contributions automatisées qui font retirer du code encore fonctionnel. L'IA ne crée pas toujours. Parfois, elle déblaie.

Source : Phoronix

Tapo C675D KIT - 2 objectifs 4K et zéro angle mort

Par : Korben ✨
18 juin 2026 à 07:54
-- Article en partenariat avec Tapo - Contient des liens affiliés --

La Tapo C675D KIT de TP-Link est une caméra de surveillance solaire qui vient de sortie, avec un truc qu'on voit rarement à ce tarif : 2 objectifs 4K.

Un grand-angle fixe qui surveille toute la scène, et un second monté sur rotule qui zoome et suit l'action tout seul comme un grand. J'avais déjà testé sa petite sœur, la Tapo C665G , et là j'avoue que Tapo monte clairement d'un cran.

Les deux objectifs, c'est malin parce que sur une caméra motorisée classique, dès qu'elle pivote pour suivre quelqu'un, elle perd le reste du champ. Ainsi, pendant qu'elle zoome sur le mec qui crochète votre portail, votre bagnole sort du cadre et son complice peut se barrer avec... Alors qu'ici, non. Le grand-angle reste planté sur ses 169° et filme tout en permanence, tandis que le téléobjectif part chasser le mouvement en tournant sur 360°. Et tout ça est diffusé sur deux flux 4K séparés.

Et le mieux, c'est que les deux bossent ensemble puisque c'est le grand-angle qui fait le boulot de détection : il repère le mouvement et envoie le téléobjectif se verrouiller dessus pour le suivre en temps réel. Tapo appelle ça le suivi intelligent synchronisé, moi j'appelle ça "la caméra qui te colle aux cul". Les deux capteurs crachent du vrai 4K (3840 x 2160), le grand-angle ouvre à 169° et le téléscopique à 66° avec un zoom x5 pour aller lire une plaque ou reconnaitre un visage au fond du jardin.

Pour l'installation, rien de sorcier comme d'hab avec Tapo. Le panneau solaire doit être orienté plein sud sinon il prend pas assez de lumière, et la caméra se fixe avec des vis. Y'a 9 vis et 9 chevilles dans la boîte, plus un gabarit autocollant pour percer droit. La recharge passe également par un port USB-C planqué sous une trappe étanche, et comme le câble entre le panneau et la caméra fait 3,6 mètres, vous pouvez vraiment placer le panneau looooiiin si la caméra est à l'ombre. Et surtout, les ports et les boitiers sont étanches (IP65), donc y'a pas de flotte qui rentre.

Côté énergie, y'a une batterie de 10000 mAh et un panneau solaire de 4,5 W donc il faut environ 90 minutes de soleil direct par jour pour tenir la journée, et jusqu'à 3 mois d'autonomie sur une charge si jamais le ciel fait la gueule. Avec les longues journées d'été et la canicule permanente qu'on se prend, zéro souci donc de ce côté.

Reste à voir cet hiver ce que ça donne, comme d'hab avec le solaire.

Petite différence quand même avec la C665G, ici, pas de 4G. C'est uniquement du WiFi bi-bande 2.4 et 5 GHz. Donc faut avoir du réseau là où vous la posez. C'est donc un peu moins polyvalent pour le fond du jardin, mais pour surveiller une maison, une cour ou une allée, le WiFi suffit largement et ça vous évitera de bloquer un forfait data pour ça.

Et pour le mode nuit, vous avez le choix : infrarouge classique en 850 nm pour le noir total, ou la vision nocturne couleur grâce aux projecteurs intégrés. Comme ça, plus besoin de deviner si c'est un chat noir ou un tout petit cambrioleur en sweat à capuche. La détection IA distingue également les personnes, les animaux et les véhicules, et ces fonctionnalités sont gratuites et sans abonnement, puisque tout est traité directement en local sur la caméra. Vous pouvez aussi définir des zones d'activité, genre surveiller l'allée mais ignorer la rue pour pas vous faire alerter à chaque voiture qui passe (puis de toute façon, c'est illégal de filmer la rue).

Pour le stockage, vous pouvez y glisser soit une carte microSD jusqu'à 512 Go en local, soit opter pour le cloud Tapo Care si vous préférez. Le mode capture 24/7 permet aussi à la caméra d'enregistrer en continu par petits intervalles pour ne pas vider la batterie, mais dès qu'elle détecte un truc qui gigote, elle passe en mode film complet. Y'a aussi l'audio bidirectionnel pour engueuler le livreur à distance, une sirène et des lumières d'alarme rouge et bleu pour faire fuir les curieux et le tout encaisse de -20°C à 45°C. Ah et j'oubliais, c'est compatible Alexa et Google Home, et tout est piloté depuis l'appli Tapo.

Pour les bidouilleurs, sachez que comme souvent sur les Tapo sur batterie, y'aura pas de flux RTSP à récupérer. C'est vraiment dommage et je comprends pas pourquoi les constructeurs n'en proposent pas d'office (ah oui, leur abonnement, c'est vrai...). Donc si vous vouliez la brancher à un Frigate ou à Motion sous Linux pour la gérer avec vos autres caméras, bah c'est mort. Par contre sur vos caméras qui exposent du RTSP, Cameradar reste très pratique pour tester si vos flux sont bien sécurisés, je vous invite à tester !

Bref, la C675D KIT, c'est la version "je veux tout voir et tout savoir" de la caméra solaire avec un vrai double objectif qui règle enfin ce défaut des caméras motorisées. Sans parler du panneau solaire qui vous évitera de tirer des câbles partout comme un électricien qui aurait bu trop de café.

Vous pouvez la trouver ici si ça vous tente !

Qwen-Robot Suite - Alibaba donne un corps à son IA

Par : Korben ✨
18 juin 2026 à 06:56

Voici une news concernant l'intelligence artificielle, qui je pense devrait vous plaire si vous vous intéressez à la robotique. Alibaba qu'on ne présente plus, vient de sortir sa Qwen-Robot Suite, 3 modèles IA signés Tongyi Lab (les gens derrière Qwen ) imaginé pour donner un corps à l'IA. Parce qu'une machine capable de décrire votre cuisine au millimètre près mais complétement infoutue d'y attraper une tasse, voilà un peu ce qu'on a en robotique en ce moment...

Car "comprendre" le monde, ça les modèles savent faire. Mais agir dedans, c'est une autre paire de manches. Cette Qwen-Robot Suite découpe donc ça en trois briques, RobotNav pour se déplacer, RobotManip pour saisir des objets, et RobotWorld qui joue les boules de cristal en prédisant ce qui va se passer avant même que le robot ne bouge. Et si vous voulez expérimenter tout ça tout de suite, sans mettre les mains dans le cambouis, y'a même une démo Chat2Robot , où vous tapez une instruction dans votre navigateur et un bras robotique l'exécute en direct !

Mais le plus parlant dans leurs démos, c'est ce chien-robot Unitree Go2 ( bourré de failles de sécu, qui balance toutes vos données en chine ) qui, une fois lâché chez vous avec sa seule petite caméra bas de gamme, peut se balader dans toute la maison pour vous rendre tout un tas de services. Sauf qu'ici il opère dans des lieux qu'il n'a jamais vus, en suivant vos consignes vocales de pièce en pièce, et il peut même refaire tout le trajet à l'envers sur commande. C'est en tout cas, assez cool de voir ces world models enfin capables d'apprendre à résoudre des problèmes auxquels il n'a encore jamais été confronté.

L'astuce, c'est d'entraîner un seul modèle sur les données de plein de robots différents d'un coup, au lieu de repartir de zéro pour chaque machine. Du coup un geste appris sur un bras X se transfère direct sur un autre bras Y, et chaque robot profite ainsi, en quelque sorte, de l'expérience accumulée par tous les congénères du lot. Et tout ça a été nourri avec plus de 38 000 heures de données, uniquement en l'open-source, dont des vidéos de gens filmés en train de faire des trucs, et adapté pour que la machine puisse apprendre en regardant faire des humains .

Et niveau perfs, ça tape fort apparemment !

Sur les benchmarks de manipulation, RobotManip passe devant π0.5, un modèle de Physical Intelligence dont je vous avais déjà parlé, avec quand même 7 points d'avance, sur un benchmark de manipulation standard. Il finit aussi premier sur RoboChallenge, le classement généraliste du secteur. Bon, ce sont des chiffres de labo bien sûr, mais le saut par rapport à la concurrence fait mal ^^.

Ce que Qwen veut faire surtout, c'est de tout passer par le langage naturel comme ça une commande de bras, un virage de voiture, un point de navigation et compagnie... tout devient une simple phrase. Cela permet aux modèles Qwen classiques d'appeler ces briques comme des outils, et de brancher l'intelligence artificielle classique (les LLMs) directement sur l'action physique (les World Model). La presse parle déjà d'un "moment Android" pour la robotique, autrement dit un cerveau logiciel que n'importe quel fabricant de bras ou de roues pourrait embarquer sans avoir à fabriquer la quincaillerie. Ce serait fou !

Après, Chat2Robot tourne sur 50 tâches seulement et n'est pas parfait. Le tout est en test pilote chez quelques clients d'Alibaba Cloud, donc c'est pas encore pour votre robot aspirateur... Mais si le concept de robot à la maison vous intéresse, c'est une approche intéressante je trouve. Entre Physical Intelligence, Gemini Robotics chez Google et GR00T chez NVIDIA, tout le monde semble chercher le même Graal, à savoir une IA généraliste capable de piloter n'importe quel corps mécanique. Bref, Alibaba ne vend pas de robot, mais le cerveau qui va dedans, et le fait que ce soit entièrement open-source et orienté langage me fait dire qu'on risque de voir plein de projets cools et surtout accessibles se monter autour de ça.

Source

Commodore Callback 8020 - Le flip phone anti-réseaux sociaux

Par : Korben ✨
16 juin 2026 à 16:10

Commodore est de retour les amis ! Et pas avec une énième réédition miniaturisé avec IA du C64. Non, la marque, rachetée l'an dernier par le YouTubeur Peri Fractic devenu maintenant son PDG, sort un téléphone à clapet !

Un vrai de vrai de boomer qui se ferme d'un coup sec quand vous en avez marre d'écouter les conneries de votre correspondant. Il s'appelle le Callback 8020 et sa promesse c'est de faire tout ce dont vous avez besoin, et rien de ce qui vous bouffe la vie.

Sous le clapet, pas d'Android classique donc mais un Sailfish OS , le système Linux développé par Jolla, l'équipe d'ex-ingénieurs Nokia dont je vous ai déjà causé. Le navigateur web et les réseaux sociaux sont bloqués au niveau du système, et il est parfaitement impossible de les réactiver (normalement...mais bon, j'imagine qu'un bidouilleur y arrivera).

Mais peu importe, c'est le but et en échange, ce bidule fait tourner 99% des apps Android sans passer par Google : WhatsApp, Signal, Maps, Spotify, Ubert...etc, tout ça répond présent. Mais par contre, pas d'email, pas de Slack ni de Teams.

Quand vous n'êtes pas au boulot, vous n'êtes pas au boulot !

Le reste ensuite, c'est du concentré de nostalgie bien pensée.

On y retrouve donc un écran interne de 3,25 pouces, un petit écran externe de 1,77 pouce qui n'affiche que l'heure, la batterie et le signal du réseau, un clavier T9 à l'ancienne, et surtout pas de tactile pour vous couper l'envie de scroller.

La caméra arrière est une 48MP de Sony, il y a également une prise jack 3,5mm et une radio FM. Le son passe par un DAC audiophile signé ESS et Cirrus Logic, et ça tombe bien puisque c'est justement ESS qui avait fait la synthèse vocale de Ghostbusters et Mission Impossible sur C64. Du coup le téléphone est bourré de sonneries basées sur la puce SID, et il peut même piloter le Commodore 64 Ultimate quand les deux sont sur le même réseau WiFi.

L'idée d'avoir un téléphone qui vous force à lâcher l'écran n'est pas neuve... Je pense par exemple au Light Phone III fait déjà ça, mais à 799 dollars et sans WhatsApp ni applis utiles, bof. Alors que ce Commodore est bien moins cher et garde tout l'aspect pratique du téléphone. Le projet s'appuie aussi sur des études sérieuses, notamment une de PNAS Nexus en 2025 qui montre que couper l'accès en ligne améliore l'attention et le bien-être, et également un sondage Pew la même année où 45% des ados disent passer trop de temps sur les réseaux.

Même Leonard Tramiel, le fils de Jack Tramiel le fondateur de Commodore, valide le truc en parlant d'un vrai break sans option pour ceux qui en ont besoin.

Et pour les bidouilleurs, tout n'est pas verrouillé puisque vous pouvez sideloader vos propres APK, sauf les applis de réseaux sociaux et les navigateurs qui resteront bloqués quoi qu'il arrive. Il y a même un app store maison, le Commostore, où vous pourrez demander qu'une appli soit whitelistée via un formulaire. Ensuite, si c'est validé, ça peut aller vite (environ 24 heures).

Je vous avoue que ça me chauffe bien... J'ai commencé ma carrière sur un Commodore 64 et chaque jour qui passe, quand je vois ce qu'est devenu Internet, j'ai envie de tout arrêter et de me débrancher... Alors ce dumb-smartphone c'est peut un signe pour moi que la boucle est bouclée. En plus je le trouve magnifique surtout la version beige très début des années 80 !

J'avoue, je me tâte... C'est en pré-commande et la livraison est promise pour fin 2026. Après ouiiii, je sais, je connais le destin chaotique des reboots de Commodore (la marque a déjà essayé de renaître plus d'une fois) donc pas sûr que ce soit un bon investissement.

Surtout que c'est vendu une coucouille à partir de 499 dollars pour l'entrée de gamme, 549 pour la version translucide Starlight et 639 pour la "Founders" avec son bouton C= plaqué or pour ceux qui se prennent pour Elon Musk. Je suis donc extrêmement halluciné de voir un dumbphone à ce prix-là .

Reste à voir si le Callback sortira vraiment et tiendra ses promesses, mais l'idée d'un téléphone Commodore qui vous aide à décrocher, en 2026, j'avoue que ça me parle foooort ! Pré-commandes le 30 juin.

Test du Dreo TurboCool 516S : je n’ai plus peur de la canicule

16 juin 2026 à 12:32
- Contient des liens affiliés Amazon -

J'ai posé le Dreo TurboCool 516S sur mon bureau au début de la vague de chaleur, et c'est vite devenu mon arme anti-canicule pour bosser. Ce n'est ni un ventilateur classique, ni un de ces brumisateurs de terrasse qui finissent par coller les touches du clavier.

L'idée tient dans la techno maison, baptisée TurboCool Ultra Mist. Une petite plaque ultrasonique fait vibrer l'eau à 1,7 MHz pour la casser en gouttelettes microscopiques de 11 microns, soit bien plus fines que la bruine d'un brumisateur ordinaire.

Du coup, la brume s'évapore quasi instantanément dans le flux d'air au lieu de mouiller ce qu'elle touche. Ma température ressentie baisse d'environ 3 degrés, que je confirme clairement, et le bureau reste sec. J'ai tenté le test du mouchoir devant la sortie d'air : il ne prend pas l'humidité, c'est assez fou.

Screenshot

Le réservoir de 1,3 litre tient une bonne journée de boulot, jusqu'à 12 heures sur le débit le plus faible. On a six vitesses de ventilation, deux modes et trois niveaux de brumisation, de quoi doser entre le petit souffle frais et la rafale qui décoiffe. Le moteur est très discret, autour de 20 dB au minimum, je l'oublie complètement quand je bosse.

Là où ça devient intéressant pour le geek que je suis, c'est le côté connecté. Le 516S embarque un capteur de température et d'humidité. Vous fixez un taux d'humidité cible dans l'appli Dreo, et la brumisation se coupe toute seule une fois la cible atteinte, histoire de ne pas transformer le coin bureau en serre tropicale. 

Un petit anneau lumineux RVB vire au rouge quand l'air devient trop humide, alerte visuelle immédiate, pas besoin d'aller checker un écran. C'est trop bien.

L'appli Dreo pilote le reste à distance si besoin : vitesses, programmes horaires, mode humidificateur seul sans le ventilo, et un verrouillage des commandes bien pratique si des gamins traînent autour. Comme l'engin parle aussi à Alexa et Google Assistant, je déclenche la brume à la voix sans lâcher le clavier. Il y a aussi une télécommande si besoin.

Côté entretien, il est vraiment pas pénible. Pas de pompe, aucun filtre à racheter. Le bloc se démonte en moins de dix secondes pour un rinçage, ce qui évite l'eau stagnante et les bactéries qui squattent les vieux rafraîchisseurs à coussinet humide.

Le 516S se trouve autour de 99,99 euros sur Amazon , en stock en ce moment. Pour un appareil de bureau qui remplace à lui seul un ventilateur, un brumisateur et un humidificateur, c'est plutôt bien placé.

Bref, sur un bureau il fait exactement le job : du frais, du sec, du silencieux, et du connecté qui sert vraiment à quelque chose. Je valide à 100%.

Il est disponible ici sur Amazon !

J'ai aussi installé son grand frère, le 765S et son réservoir de 6 litres, dans mon salon. Le test complet de ce modèle-là est à lire sur Mac4ever .

Un thermostat Honeywell bourré de failles

27 mai 2026 à 12:55

Des chercheurs ont passé le thermostat connecté Honeywell X2S à la moulinette du reverse-engineering. Le résultat est un peu embarrassant.

L'appareil en question, c'est un thermostat Wi-Fi qui se pilote depuis le smartphone et s'intègre aux installations domotiques, embarque deux puces principales. Un microcontrôleur Renesas Cortex-M33 cadencé à 200 MHz avec TrustZone (la techno qui isole les zones sensibles de la puce pour protéger les données critiques), et une puce Realtek qui gère le Wi-Fi et le Bluetooth Low Energy. À côté, deux mémoires Flash Winbond chiffrées.

Pour aller fouiller dedans, les chercheurs ont fabriqué une petite carte d'interface avec des pogo-pins (des broches à ressort qui viennent appuyer sur les points de test du circuit, sans rien souder). Avec ça, ils ont pu accéder au firmware et le décortiquer tranquillement.

Le bilan est donc assez gênant. La puce Realtek embarque une fonction de déchiffrement à la volée appelée RSIP, exploitable. Le protocole TLS, censé sécuriser les échanges avec les serveurs, contient une faille qui permet une attaque "man-in-the-middle" toute bête (un intermédiaire qui se glisse entre votre thermostat et le serveur pour lire ou modifier les échanges). Et un bug dans la génération des clés de session permet de les retrouver à coup sûr. Bref, l'appareil est troué de partout.

Le code de l'exploration est dispo sur Codeberg sous le nom "fuji-exploration", pour qui veut creuser.

Honeywell est une grosse boîte, pas un petit fabricant chinois sans-le-sou. Un thermostat connecté n'est pas un gadget anodin : il est branché en permanence sur votre réseau Wi-Fi domestique, et il sait à quelle température vous vivez, donc indirectement quand vous êtes chez vous. Voir une marque de ce niveau sortir un produit avec autant de vulnérabilités basiques, ça pose question.

Le pire, c'est qu'il n'y a aucune raison technique pour expliquer ces failles. La cryptographie correcte existe depuis vingt ans, les frameworks TLS sécurisés sont gratuits et bien documentés, et un bug dans la génération de clés se détecte logiquement sans trop problème. Quelqu'un a juste décidé que ce n'était pas la priorité.

Bref, encore un objet connecté à ajouter à la longue liste des trucs qu'on ne devrait pas laisser entrer chez soi sans l'isoler sur un réseau séparé.

Source : Hackaday

GhostDesk - Un bureau Linux complet pour votre agent IA

Par : Korben ✨
27 mai 2026 à 08:49

GhostDesk , c'est un serveur MCP open source qui file à votre agent IA un bureau Linux complet tournant dans Docker. L'agent voit l'écran, clique, tape, lance des applis, comme un humain. Bref, c'est pas juste un browser à la Playwright, puisque grâce à lui, n'importe quelle interface graphique devient pilotable. Yoann Vanitou son créateur m'a pitché son projet par email, et comme j'ai trouvé ça cool, je vous emmène faire un petit tour du propriétaire.

Le principe c'est un conteneur Docker qui tourne avec un bureau Linux minimal, Firefox, un terminal, un éditeur de texte, une calculatrice, et un serveur MCP en frontal. Votre agent IA préféré se connecte alors sur http://localhost:3000/mcp, demande un screenshot, identifie ce qui est à l'écran, puis envoie des commandes souris et clavier via les douze outils exposés (click, drag, scroll, type, key press, copy/paste, launch app, etc.).

Et vous pouvez même regarder l'agent bosser en direct depuis votre navigateur sur le port 6080, via noVNC. C'est assez satisfaisant de voir l'IA cliquer toute seule dans Firefox, je dois bien le reconnaitre !

Là où Playwright et consorts sont coincés dans le browser, GhostDesk fonctionne ainsi sur n'importe quelle fenêtre. Un workflow automatisé qui mélange plusieurs applis , un ERP legacy, LibreOffice, un IDE, un client mail, peu importe.... Ça évite les bidouilles à base sélecteurs CSS ou code custom puisque l'agent interprète l'écran directement à partir des captures écran qu'il fait.

Et comme le serveur est pensé pour tourner avec des modèles locaux comme Qwen sur une workstation GPU, y'a vraiment aucune donnée qui sort de votre réseau et aucun coût API. Puis surtout, des cas d'usage sensibles (genre avec des données de santé, de la compta, du SI interne..etc) deviennent parfaitement envisageables. Claude et ChatGPT marchent aussi, mais avec les compromis habituels sur la latence et la confidentialité.

Pour tester, une seule commande Docker suffit :

docker run -d --shm-size 2g -p 3000:3000 -p 6080:6080 ghcr.io/yv17labs/ghostdesk:latest

Vous branchez ensuite votre client MCP sur localhost:3000/mcp, vous ouvrez localhost:6080 dans un onglet pour observer, et hop ! Pour la prod, y'a aussi un mode TLS plus bearer token qui chiffre le transport, parce qu'exposer un bureau Linux en clair sur le réseau, c'est pas l'idée du siècle, c'est vrai ^^.

Les applis pré-installées restent sobres, mais rien n'empêche de builder votre propre image avec d'autres logiciels.

Maintenant, le projet est très jeune et son développement repose quasi uniquement sur Yoann, donc je pense qu'il ne sera pas contre un petit coup de main. A voir avec lui.

Après côté licence, c'est une license non-concurrentielle qui interdit l'usage commercial rival pendant une période fixée avant bascule vers une licence ouverte classique.

Bref, GhostDesk c'est une idée sympa et je pense que si vous faites de l'automation d'applis desktop ou que vous voulez brancher un agent local sur un bureau virtuel sans payer d'API, ça mérite le coup d'œil !

Bravo à Yoann !

Pax Historia - Le jeu IA qui vous laisse réécrire l'Histoire

Par : Korben ✨
27 mai 2026 à 07:25

C'est mon plus jeune fils qui m'a fait découvrir ça un soir, et comme j'ai trouvé ça top, bah je vous en parle. C'est un jeu web nommé Pax Historia et ça a été créé par deux colocataires de fac, Eli Bullock-Papa et Ryan Zhang, sur un coin de table durant un hackathon. Et ce n'est ni plus ni moins qu'un bac à sable d'histoire alternative où c'est une IA qui fait vivre le monde autour de vous, un peu comme à son époque, " Un monde meilleur " de FibreTigre.

Dans Pax Historia, vous choisissez un pays et un moment de l'Histoire, et vous réécrivez toute la suite... Et quand je dis réécrire, c'est pas cliquer dans des menus déroulants, non non, là vous tapez en langage naturel ce que vous voulez faire, vous proposez une alliance au pays d'à côté, vous menacez, vous négociez un protectorat, vous déclarez une guerre... et l'IA en face vous répond comme le ferait une vraie chancellerie. Le moteur du jeu est donc carrément un grand modèle de langage (LLM) qui génère chaque réaction à la volée, ce qui ouvre un champ des possibles bien plus large qu'un jeu de stratégie classique.

Dans ce jeu, quand vous annoncez quelque chose, le monde change car les autres nations réagissent, les frontières bougent sur la carte, et de nouveaux foyers de tension apparaissent. Et le truc que j'adore, c'est que le ton de vos messages compte énormément.

Si vous arrivez avec des arguments construits et un minimum de diplomatie, vous réussirez à tisser des relations. Par contre, si vous balancez des menaces creuses comme quand vous êtes sur Twitter, vous transformez vos voisins en ennemis en moins de 2 tours. On est exactement entre le RISK et une vraie partie de Diplomacy, sauf que l'adversaire improvise et qu'il ne vous laisse jamais rejouer le même coup deux fois.

Screenshot

Pour démarrer, vous pouvez partir sur les temps modernes, ou la Seconde Guerre mondiale, parfaits pour se faire la main, mais il y a surtout les 4000 et quelques scénarios créés par la communauté. Ces derniers sont rangés en plusieurs familles, Historical pour les vraies dates de notre Histoire, Alt-Historical pour les uchronies, Historical Fiction pour les récits romancés, et Fantasy ou Science-Fiction pour les mondes complètement inventés sans aucun lien avec le réel (Genre Starwars). Moi, vu que j'adore réimaginer l'Histoire, je me suis rué sur l'Alt-Historical sans hésiter mais si rien ne vous convient, y'a aussi l'option "Play as anything" qui vous laisse incarner à peu près n'importe quoi, une cité-État imaginaire, une faction, ce que vous voulez.

Et autre truc cool, vous pouvez aussi avancer dans le temps... Vous faites défiler les années et le monde évolue à partir de vos dernières actions et comme ça vous pouvez voir cet effet papillon que vous avez initié.

Vous pouvez même fabriquer votre propre monde puisque le mode Create embarque un éditeur de carte où vous dessinez des régions, vous les attribuez à des pays, vous posez le contexte historique et les relations diplomatiques de départ.

Et c'est un vrai jeu de stratègie, parce qu'il faut anticiper plusieurs coups à l'avance. Vous pouvez choisir un niveau de difficulté qui va de Very Easy à Impossible, le mode Normal étant calé pour rester réaliste. Vous choisissez aussi la qualité de l'IA, parce que derrière, le jeu fait tourner une trentaine de modèles différents via OpenRouter, des trucs d'OpenAI, d'Anthropic, de Google, et des modèles open source. Attention par contre, plus le modèle est costaud, plus il bouffe des tokens, donc sauf si vous aimez tomber en rade en plein milieu d'une guerre et être obligé de sortir la CB pour en racheter, démarrez avec les options les moins chères.

Et surtout, comme l'arme principale dans Pax Historia, c'est votre façon de formuler les choses, votre victoire dépend en grande partie de votre talent à argumenter. C'est du prompt engineering déguisé en grand jeu de stratégie, et je trouve que ça rejoint pas mal ce genre d'histoires où des modèles apprennent l'art de la persuasion . Le revers de la médaille, c'est que l'IA est encore beaucoup trop malléable du coup avec la bonne tournure de phrase, vous pouvez la convaincre de presque tout, un peu comme cette IA qu'on a baratinée pour lui faire lâcher 47 000 dollars .

Bref, si comme moi vous aimez triturer l'Histoire et réfléchir trois coups à l'avance, allez tester Pax Historia . C'est encore en alpha, mais j'ai trouvé l'idée brillante.

Heretic - Virer la censure d'une IA en une commande

Par : Korben ✨
26 mai 2026 à 08:08

Y'a des entreprises qui claquent des millions pour bien aligner leurs modèles d'IA afin qu'ils refusent toutes les questions sensibles qui font flipper nos amis puritains d'outre-Atlantique et y'a Heretic , un outil signé Philipp Emanuel Weidmann, qui balaye toute censure sur n'importe quel modèle en moins de 30 minutes avec une simple carte graphique de gamer.

Je vous explique... Vous devez avoir Python et une version récente de PyTorch sur votre machine, puis vous tapez pip install heretic-llm, puis heretic Qwen/Qwen3-4B-Instruct-2507 avec le nom du modèle que vous voulez décensurer.

Et l'outil fait alors sa vie et 20 à 30 minutes plus tard, vous récupérez une version du modèle qui a lâché prise sur l'essentiel de ses refus. Pas de dataset à préparer et surtout pas besoin de comprendre les entrailles d'un transformer, avec ce truc !

Dans un modèle aligné, le réflexe de refuser (le fameux "désolé, je ne peux pas vous aider avec ça") correspond souvent à une direction précise dans ses calculs internes. Les chercheurs appellent ça la "direction de refus". Et l'idée de l'abliteration, c'est de repérer cette direction et de la gommer des poids du modèle. En gros, on coupe le câble qui déclenche le "non", en touchant le moins possible au reste.

D'autres outils d'abliteration existaient déjà , mais leur réglage restait largement manuel et il y a aussi des gens comme mlabonne ou huihui-ai qui publient des modèles décensurés en ajustant les paramètres à la main, modèle par modèle, avec des résultats souvent inégaux. Mais Heretic, lui, automatise complètement le réglage. Pour cela, il s'appuie sur Optuna, un framework d'optimisation qui teste des dizaines de configurations et garde les meilleures tout seul. Et son seul objectif c'est de virer un max de refus tout en abîmant le moins possible le modèle d'origine.

Et de ce que je comprends, ça marche super bien ! Sur Gemma-3-12B, le modèle de Google de base refuse 97 fois sur 100 les prompts sensibles du benchmark maison. Mais après un petit passage dans Heretic, il tombe à 3 refus sur 100, soit le même niveau que les meilleures "nettoyages" manuels.

Et surtout, Heretic affiche une divergence de 0,16 là où les versions faites main grimpent à 0,45 voire 1,04 (C'est une mesure de l'écart de comportement sur les questions normales... plus c'est bas, mieux c'est).

Cela veut donc dire qu'il abîme beaucoup moins le modèle au passage.

Maintenant, tous les modèles n'y passent pas, car un gros calibre demande bien plus de VRAM et cela peut grimper à plusieurs heures. De plus, une étude comparative récente montre que le raisonnement mathématique est ce qui souffre le plus de ce genre d'abliteration, quel que soit l'outil utilisé.

Et surtout, y'a déjà des chercheurs qui bossent sur des défenses pour rendre les modèles résistants à ce genre d'attaque. Donc on verra bien, mais tant que c'est possible autant en profiter car des modèles sans bridage, ça permet notamment à des chercheurs d'étudier leurs propres failles, ou pour des usages du quotidien, de faire passer des demandes banales qui seraient bloquées (genre texte créatif, reverse engineering ou demande de conseils médicaux, ce genre de choses...)

Voilà, si vous bidouillez du LLM en local , allez voir ce projet car ça peut vous "ouvrir" quelques portes ^^.

Quand les Motorola prennent une commission sur vos achats Amazon

Par : Korben ✨
26 mai 2026 à 07:34

J'sais pas si vous avez vu, mais sur les Motorola Razr 2026, l'app maison Smart Feed intercepte le lancement de l'application Amazon pour y glisser en soumsoum un petit code d'affiliation. Comme ça, à chaque fois que vous tapez sur l'icône Amazon, votre clic se met à rapporter une commission à un compte tiers. Vous ne payez pas un centime de plus rassurez-vous, c'est le principe de l'affiliation, mais il me semble que c'est pas très réglo de ne pas le dire. En plus je pense que ça va à l'encontre des CGU d'Amazon... Breeeef, y'a rien qui va dans cette histoire.

Le truc se déclenche donc uniquement quand vous ouvrez Amazon le menu des applications, et pas depuis un raccourci sur l'écran d'accueil. A ce moment là, pendant une fraction de seconde, Chrome clignote à l'écran, et votre téléphone passe par un site nommé kira-abboud.com, pour ensuite utiliser un lien qui repart vers l'app Amazon avec le code d'affiliation sramz-kff-008-20 comme si de rien n'était. Comme ça Amazon, pense que vous arrivez de ce lien affilié.

C'est tellement rapide que la plupart des gens ne verront jamais rien....

Sauf que kira-abboud.com renvoie vers une influenceuse mode, @kirasfashionfinds présente sur Instagram, et qui n'a aucun lien apparent avec Motorola. Pire, le code d'affiliation collé à votre session ne correspond même pas à ceux qu'elle a déjà publiés. Et voilà comment on se retrouve avec un téléphone vendu par une grosse marque qui détourne vos clics vers un compte tiers, sans la moindre explication.

Côté technique, les logs réseau pointent vers devicenative.com. C'est une régie qui place de la pub sur les smartphones via un SDK intégré aux launchers Android, avec une intégration Motorola documentée. En clair, le mécanisme qui pourrit votre app Amazon pointe vers un kit publicitaire préinstallé d'usine.

Reste à savoir maintenant si c'est un choix assumé de Motorola ou un SDK pub qui part en vrille, voire un hack... et pour l'instant, personne ne le sait.

Ce qui est sûr, c'est que le coupable porte un nom et un numéro de version. Sur la version 2.03.0056 de Smart Feed, aucun détournement alors que sur la 2.03.0070, le hijack apparaît. Et bizarrement, installer manuellement cette même version mise à jour ne reproduit pas le comportement. Autrement dit, y'a quelque chose qui s'active côté serveur ou côté usine, et pas juste dans le code de l'app. C'est vraiment super bizarre...

Les Razr 2026 et Razr Fold sont touchés, tout comme le Razr 60 Ultra de 2025 à l'origine du signalement. Le Moto G Stylus 2026 testé en parallèle, lui, ne l'est pas.

Après la bonne nouvelle, c'est que la parade est facile à faire ! Direction Paramètres, Applications, vous cherchez Smart Feed, et vous le désactivez. D'après les tests que j'ai pu lire, ça n'a pas d'impact visible sur le reste du téléphone donc mieux vaut désactiver cette merde parce que c'est réversible en deux clics et bien moins casse-gueule que de virer l'app via adb.

Perso, qu'un téléphone vendu par une marque sérieuse détourne nos clics vers un compte tiers via un domaine bidon, ça me rend fou et même si à l'échelle d'un clic, la commission c'est trois fois rien, étalé sur tout un parc d'appareils, ça finit par peser lourd niveau oseille pour celui qui encaisse.

Ce problème dépasse le cadre "Motorola" d'ailleurs puisque less apps préinstallées qu'on ne peut pas virer (les fameux bloatware) sont devenues un canal de monétisation à part entière et comme personne ne vérifie jamais ce que ces trucs font tourner en arrière-plan, c'est la fête du slip ! C'est exactement le même genre de paranoïa raisonnable que quand on se demande si votre téléphone vous écoute sauf qu'ici, pas besoin de théorie, puisque ce détournement est parfaitement visible.

Pour l'instant, Motorola a été contacté mais n'a pas réagi et le code d'affiliation continue de tourner sur les appareils concernés tant que Smart Feed reste actif. J'imagine quand même qu'Amazon va s'occuper de le désactiver en attendant d'en savoir plus.

Bref, bon courage si vous avez un Motorola récent !

Source

❌
❌