De ce que je comprend des techniques utilisées (JavaScript, VSCode, Rust), ce vers semble assez compatible avec Linux. Modulo la recherche d'applis de cryptowallets qui est moins standardisée sur les distribs de Linux, les trucs comme récupérer les tokens/cookies/clés ssh semble jouable :-/.
Ben… ils pensent que ça fonctionne comment une extension d'aide à la complétion par chatGPT ou DeepSeek?
A moins d'avoir une instance locale, fatalement le projet part dans le moteur. Copilot doit faire de même il me semble, sinon je vois mal comment il pourrait faire des suggestions.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
Ce qui est mis en évidence, c'est que tu penses que les données partent chez un tiers A (OpenAI), alors qu'elle passent par un tiers B (un truc en Chine).
Comme toujours, c'est une histoire de savoir à quels tiers on peut faire confiance ou non. Si tu bosses sur un projet libre, qu'un tiers obtienne le source, ben… C'est pas grave :).
Une partie du problème vient du côté tentaculaire et invisible de la connexion permanente à des services externes, associée à un manque de culture/connaissance. Tout est fait pour que ça se passe comme ça, notamment avec les smartphones. C'est pas un bug, c'est une feature :-/.
Ce qui est mis en évidence, c'est que tu penses que les données partent chez un tiers A
Ben en fait je vois pas la différence, qu'elle soit exfiltré chez le concurrent US ou le concurrent Chinois, c'est quoi la différence ? Surtout en ce moment où l'on vois les USA piétiner ses anciens vassaux. Aujourd'hui je préfère nettement que mes données partent en Chine plutôt qu'aux USA; mais ce serait encore meilleur si ça restait en Europe sur des serveurs Européens, par des compagnies Européennes.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
Je me suis peut-être mal exprimé. La différence, c'est la tromperie.
Prenons le cas où par exemple tu souhaites traduire des textes avec le service en ligne AllTheLanguages.
Tu as une extension officielle "AllTheLanguages" pour parler avec ce service, supposé se connecter à allthelanguages.com, tu t'attends à ce que ton texte soit transmis (ou "exfiltré") vers ce service, c'est comme ça que ça fonctionne, c'est le deal.
Et puis tu as une extension qui ressemble, "AllTheLanguagesTranslation", qui se sert aussi de allthelanguages.com, mais en plus, en douce, envoie aussi tes textes à servicelouche.com.
Quand tu te balades sur la liste des extensions de ton logiciel, et bien tu as vite fait de choisir la mauvaise, et donc tu t'es fait tromper.
Il existe la même chose par exemple pour les extrait d'état civil : c'est un service public gratuit, mais il existe des sites qui proposent le service pour quelques euros, et qui payent pour être mieux référencés que le service officiel. Au passage, ces sites collectent des données comme ton nom, ton prénom, ta date et lieu de naissance, ton numéro de sécu, éventuellement ton moyen de paiement. Et ces sites n'offrent pas du tout les mêmes garanties en terme de confidentialité1.
Posté par fearan .
Évalué à 2 (+0/-1).
Dernière modification le 25 janvier 2026 à 22:40.
Le nom a des caractères non romains dans le nom pour la première (littéralement Version Chinoise) et la deuxième en a dès les premières lignes sur sa page officielle, à un moment faut peut être arrêter de pousser des cris pour tout et n'importe quoi.
Si t'installe un plugin dans ton ide qui est là pour faire de la complétion automatique, c'est évident qu'il va pouvoir lire ton code.
Si c'est un moteur via llm (y'a carrément chatGPT dans le nom), c'est donc qu'il repose sur un serveur distant, soit tu peux configurer le tien si possible, soit c'est hébergé par un tiers.
Comme tu peux monter ta propre instance de machin GPT, supposer qu'une extension lambda va s'appuyer gracieusement sur celle de OpenAI, c'est plus de la naïveté…
J'ai pas vu dans l'extension qu'ils prétendaient utiliser les serveur d'openAI, j'ai plutôt l'impression que les personnes se sont trompés toutes seules.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
Je parle de ce type de tromperie, comme écrit dans la petite étude de Koi Security :
As you type, it reads about 20 lines of context around your cursor and sends it to the AI server for suggestions. This is normal. This is expected.
But these extensions go far beyond what's needed for autocomplete.
While the autocomplete sends ~20 lines around your cursor when you're actively typing, three hidden channels are running in parallel - collecting far more data, far more often, without any user interaction.
While the autocomplete sends ~20 lines around your cursor when you're actively typing
C'est très insuffisant pour faire de l'autocomplétion; pour ce faire il faut connaitre les classes, les contextes, les fonction, membres, interfaces… Et si tu installe une extension, c'est que tu veux faire plus que le bon vieil intellisense, ce que tous les ide font de base, or si on installe une extension pour faire 'plus', c'est qu'on veut plus.
Bref, si j'utilise un plugin basé sur les llm, pour faire de la completion intelligente, oui je m'attends à ce que toutes les classes pertinentes soient envoyées au llm.
ou pour être plus clair
Plopcollect(conststd::vector<Truc>&monTableau){Plopa(machin);for(autobidule:monTableau){/* ici le curseur d'édition*/}}
Je m'attends a ce que le fichier courant, Plop.h et Truc.h soient siphonnés; en java comme tu travaille souvent avec les classes, ce serait Plop.java et Truc.java; et encore c'est des cas simples, mais globalement si j'utilise un llm, je m'attends à ce que la totalité de l'arbo du projet soit aspirée. Je trouves plus problématique les trackeurs, et l'exécution de code sans demander à l'utilisateur. Typiquement l'agent dans intelliJ va demander la permission avant de faire des grep et autre joyeuseté :D
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
Je trouve ça quand même moyen moyen, pour pas dire pas terrible, de devoir exfiltrer des mégas de données pour avoir une fonctionnalité qu'on fait bien en local ou éventuellement avec lsp ? En fait, y a pas que les applis qui soient obèses, même les environnement de développement sont des ogres à côté desquels Eclipse est finalement un enfant de cœur. M’est avis que le réchauffement va arriver encore plus vite.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
Ben si tu installe un llm pour avoir la même chose que ce que fait ton ide de base, y'a pas d’intérêt, ce que le llm peut faire, par exemple c'est lorsque tu va faire tes classe de mapping json, csv out autre, il va chercher dans tes fichier ce qui correspond et le proposer à ta place.
Il peut chercher les interactions entre tes classes et tenter de proposer un peut mieux que y'a ça comme fonction disponible.
C'est aussi lorsque tu lui demande de gérer les différents retour du module truc, il va aller lire le module et voir les résultats disponible et les ajouter dans ton traitement. Et pour cela il va scaner dans ton arbo le module en question et ses usage.
Il peut aussi générer tes test unitaire et les exécuter et corriger ensuite.
Bref pour les trucs assez simple et fastidieux il fait le taffe, je n'irai pas commettre du code généré par llm sans l'avoir relu et compris; mais bien guidé, ça peut faire gagner du temps.
Ensuite dans le cas précis des 2 épinglés, je ne sais pas si c'est légitime ou pas, mais je trouve absurde de s'affoler qu'une extension d'aide au développement basée sur llm siphonne tout le projet, car c'est justement comme ça que ça fonctionne.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
je trouve absurde de s'affoler qu'une extension d'aide au développement basée sur llm siphonne tout le projet, car c'est justement comme ça que ça fonctionne.
pour du logiciel libre qui a vocation à être publié, hormis le non respect de la licence par le LLM qui le republiera, je ne vois pas trop de soucis…
pour ton chef de projet d'un logiciel proprio dont la licence ne sera pas non plus respectée, en revanche…
pour ton chef de projet d'un logiciel proprio dont la licence ne sera pas non plus respectée, en revanche…
Pour un projet d'entreprise, il ne me viendrait pas à l'idée de fournir du code à un llm non approuvé par les chefs, pas plus que j'irai sous traiter le code à une prestataire externe sans l'aval de la hiérarchie.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
Posté par Voltairine .
Évalué à 3 (+1/-0).
Dernière modification le 27 janvier 2026 à 14:08.
Le problème c'est qu'il y a beaucoup plus de choses que nécessaire qui fuitent: tout un tas de fichiers, leurs emplacements, des éléments de configuration et sans doute d'autres choses qui n'ont pas été détectées.
# source
Posté par ted (site web personnel) . Évalué à 10 (+8/-0).
Si le sujet intéresse, il vaut mieux aller directement à la source (en):
https://www.koi.ai/blog/glassworm-goes-mac-fresh-infrastructure-new-tricks
C'est probablement mieux que la traduction automatique en kamoulox
Un LUG en Lorraine : https://enunclic-cappel.fr
[^] # Re: source
Posté par cg . Évalué à 5 (+3/-0).
L'article original est chouette, merci !
De ce que je comprend des techniques utilisées (JavaScript, VSCode, Rust), ce vers semble assez compatible avec Linux. Modulo la recherche d'applis de cryptowallets qui est moins standardisée sur les distribs de Linux, les trucs comme récupérer les tokens/cookies/clés ssh semble jouable :-/.
[^] # Re: source
Posté par Voltairine . Évalué à 5 (+3/-0).
Pour compléter l'article de Clubic paru hier sur l’exfiltration de code grâce à ces merveilleux a outils.
[^] # Re: source
Posté par fearan . Évalué à 6 (+3/-0).
Ben… ils pensent que ça fonctionne comment une extension d'aide à la complétion par chatGPT ou DeepSeek?
A moins d'avoir une instance locale, fatalement le projet part dans le moteur. Copilot doit faire de même il me semble, sinon je vois mal comment il pourrait faire des suggestions.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: source
Posté par cg . Évalué à 8 (+6/-0).
Ce qui est mis en évidence, c'est que tu penses que les données partent chez un tiers A (OpenAI), alors qu'elle passent par un tiers B (un truc en Chine).
Comme toujours, c'est une histoire de savoir à quels tiers on peut faire confiance ou non. Si tu bosses sur un projet libre, qu'un tiers obtienne le source, ben… C'est pas grave :).
Une partie du problème vient du côté tentaculaire et invisible de la connexion permanente à des services externes, associée à un manque de culture/connaissance. Tout est fait pour que ça se passe comme ça, notamment avec les smartphones. C'est pas un bug, c'est une feature :-/.
[^] # Re: source
Posté par fearan . Évalué à 5 (+2/-0).
Ben en fait je vois pas la différence, qu'elle soit exfiltré chez le concurrent US ou le concurrent Chinois, c'est quoi la différence ? Surtout en ce moment où l'on vois les USA piétiner ses anciens vassaux. Aujourd'hui je préfère nettement que mes données partent en Chine plutôt qu'aux USA; mais ce serait encore meilleur si ça restait en Europe sur des serveurs Européens, par des compagnies Européennes.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: source
Posté par Psychofox (Mastodon) . Évalué à 5 (+2/-0).
Ce serait encore meilleur qu'il n'y ait pas de données qui soient gardées nulle part autre qu'en local s'il n'y a aucune transaction financière.
[^] # Re: source
Posté par cg . Évalué à 7 (+5/-0).
Je me suis peut-être mal exprimé. La différence, c'est la tromperie.
Prenons le cas où par exemple tu souhaites traduire des textes avec le service en ligne AllTheLanguages.
Tu as une extension officielle "AllTheLanguages" pour parler avec ce service, supposé se connecter à
allthelanguages.com, tu t'attends à ce que ton texte soit transmis (ou "exfiltré") vers ce service, c'est comme ça que ça fonctionne, c'est le deal.Et puis tu as une extension qui ressemble, "AllTheLanguagesTranslation", qui se sert aussi de
allthelanguages.com, mais en plus, en douce, envoie aussi tes textes àservicelouche.com.Quand tu te balades sur la liste des extensions de ton logiciel, et bien tu as vite fait de choisir la mauvaise, et donc tu t'es fait tromper.
Il existe la même chose par exemple pour les extrait d'état civil : c'est un service public gratuit, mais il existe des sites qui proposent le service pour quelques euros, et qui payent pour être mieux référencés que le service officiel. Au passage, ces sites collectent des données comme ton nom, ton prénom, ta date et lieu de naissance, ton numéro de sécu, éventuellement ton moyen de paiement. Et ces sites n'offrent pas du tout les mêmes garanties en terme de confidentialité1.
cf https://bonjourlafuite.eu.org pour des contre-exemples éventuels :) ↩
[^] # Re: source
Posté par fearan . Évalué à 2 (+0/-1). Dernière modification le 25 janvier 2026 à 22:40.
Le nom a des caractères non romains dans le nom pour la première (littéralement Version Chinoise) et la deuxième en a dès les premières lignes sur sa page officielle, à un moment faut peut être arrêter de pousser des cris pour tout et n'importe quoi.
Si t'installe un plugin dans ton ide qui est là pour faire de la complétion automatique, c'est évident qu'il va pouvoir lire ton code.
Si c'est un moteur via llm (y'a carrément chatGPT dans le nom), c'est donc qu'il repose sur un serveur distant, soit tu peux configurer le tien si possible, soit c'est hébergé par un tiers.
Comme tu peux monter ta propre instance de machin GPT, supposer qu'une extension lambda va s'appuyer gracieusement sur celle de OpenAI, c'est plus de la naïveté…
( https://techcommunity.microsoft.com/blog/educatordeveloperblog/make-your-own-private-chatgpt/4357607 )
J'ai pas vu dans l'extension qu'ils prétendaient utiliser les serveur d'openAI, j'ai plutôt l'impression que les personnes se sont trompés toutes seules.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: source
Posté par cg . Évalué à 6 (+4/-0).
Je parle de ce type de tromperie, comme écrit dans la petite étude de Koi Security :
On peut considérer que c'est normal, ou pas.
[^] # Re: source
Posté par fearan . Évalué à 4 (+1/-0).
C'est très insuffisant pour faire de l'autocomplétion; pour ce faire il faut connaitre les classes, les contextes, les fonction, membres, interfaces… Et si tu installe une extension, c'est que tu veux faire plus que le bon vieil intellisense, ce que tous les ide font de base, or si on installe une extension pour faire 'plus', c'est qu'on veut plus.
Bref, si j'utilise un plugin basé sur les llm, pour faire de la completion intelligente, oui je m'attends à ce que toutes les classes pertinentes soient envoyées au llm.
ou pour être plus clair
Je m'attends a ce que le fichier courant, Plop.h et Truc.h soient siphonnés; en java comme tu travaille souvent avec les classes, ce serait Plop.java et Truc.java; et encore c'est des cas simples, mais globalement si j'utilise un llm, je m'attends à ce que la totalité de l'arbo du projet soit aspirée. Je trouves plus problématique les trackeurs, et l'exécution de code sans demander à l'utilisateur. Typiquement l'agent dans intelliJ va demander la permission avant de faire des grep et autre joyeuseté :D
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: source
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 4 (+2/-0).
Je trouve ça quand même moyen moyen, pour pas dire pas terrible, de devoir exfiltrer des mégas de données pour avoir une fonctionnalité qu'on fait bien en local ou éventuellement avec lsp ? En fait, y a pas que les applis qui soient obèses, même les environnement de développement sont des ogres à côté desquels Eclipse est finalement un enfant de cœur. M’est avis que le réchauffement va arriver encore plus vite.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: source
Posté par fearan . Évalué à 3 (+0/-0).
Ben si tu installe un llm pour avoir la même chose que ce que fait ton ide de base, y'a pas d’intérêt, ce que le llm peut faire, par exemple c'est lorsque tu va faire tes classe de mapping json, csv out autre, il va chercher dans tes fichier ce qui correspond et le proposer à ta place.
Il peut chercher les interactions entre tes classes et tenter de proposer un peut mieux que y'a ça comme fonction disponible.
C'est aussi lorsque tu lui demande de gérer les différents retour du module truc, il va aller lire le module et voir les résultats disponible et les ajouter dans ton traitement. Et pour cela il va scaner dans ton arbo le module en question et ses usage.
Il peut aussi générer tes test unitaire et les exécuter et corriger ensuite.
Bref pour les trucs assez simple et fastidieux il fait le taffe, je n'irai pas commettre du code généré par llm sans l'avoir relu et compris; mais bien guidé, ça peut faire gagner du temps.
Ensuite dans le cas précis des 2 épinglés, je ne sais pas si c'est légitime ou pas, mais je trouve absurde de s'affoler qu'une extension d'aide au développement basée sur llm siphonne tout le projet, car c'est justement comme ça que ça fonctionne.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: source
Posté par BAud (site web personnel) . Évalué à 3 (+1/-0).
pour du logiciel libre qui a vocation à être publié, hormis le non respect de la licence par le LLM qui le republiera, je ne vois pas trop de soucis…
pour ton chef de projet d'un logiciel proprio dont la licence ne sera pas non plus respectée, en revanche…
[^] # Re: source
Posté par fearan . Évalué à 3 (+0/-0).
Pour un projet d'entreprise, il ne me viendrait pas à l'idée de fournir du code à un llm non approuvé par les chefs, pas plus que j'irai sous traiter le code à une prestataire externe sans l'aval de la hiérarchie.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: source
Posté par Voltairine . Évalué à 3 (+1/-0). Dernière modification le 27 janvier 2026 à 14:08.
Le problème c'est qu'il y a beaucoup plus de choses que nécessaire qui fuitent: tout un tas de fichiers, leurs emplacements, des éléments de configuration et sans doute d'autres choses qui n'ont pas été détectées.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.