aiolos a écrit 1301 commentaires

Je développe un peu, pour compléter mon post rapide de cet aprés-midi.

Il s’agit d’une forme de supply chain attack, par le biais de la plateforme Clawhub qui hébergent des "skills". Ces skills sont des fichiers markdown dans lesquels on va trouver des séquences d’instructions, en langage naturel. Par exemple, ils peuvent contenir des instructions pour installer des outils pré-requis pour l’execution d’une tâche, qui pourront ensuite exposer des fonctions via le protocole MCP. Mais les instructions du fichier de skills, elles, ne sont pas isolées via MCP, juste données telles quelles à l’agent.

L’auteur a analysé le skill le plus téléchargé du Clawhub, qui contient des instructions d’installation via une page web qui semble légitime, contenant un script, qui télécharge et exécute un payload obfusqué. Lui même va télécharger un script d’installation d’un malware, pour différentes plateforme avec des routines d’évasions des mécanismes de sécurité. Il a ensuite analysé d’autres "skills" et découvert des centaines d’autres cas.

L’auteur conclue par le fait qu’il ne faut pas tout jeter, mais construire la couche manquante de sécurité, et qu’il faut donner les moyens d’identifier les agents.

Découvert ce midi sur HackerNews, uniquement parcouru, mais déjà partagé:

https://1password.com/blog/from-magic-to-malware-how-openclaws-agent-skills-become-an-attack-surface

Et Ubuntu se base lui-même sur… Debian. D’où le ultimement dans la phrase, j’imagine…

Remplacer le mépris de genre par la stigmatisation des Kevins, donc une forme de mépris de classe est effectivement ue belle preuve de repentir ;)

D'après wikipedia, parce que j'ai la flemme d'aller ouvrir la RFC qui va bien,

Domain names are formed by the rules and procedures of the Domain Name System (DNS). Any name registered in the DNS is a domain name.

Donc, org, eu.org et fr.eu.org sont des noms de domaines. org est spécial, car il est un TLD terminal domain name, il est donc en plus terminal.

Non, on parlera d'UX, qui a remplacé les mots expérience utilisateur presque partout ;)

C'est assez facile, sur le lien que tu donnes, il y a la répartition du capital à l'issue de la série C :
- un peu plus de 62% du capital est encore possédé par les investisseurs initiaux (fondateurs) et ceux du l'amorçage (seed) qui sont français ;
- un peu moins de 23% est possédé par des américains (entrés en série A et B) ;
- un peu plus de 11% est possédé par un industriel néerlandais (il faudrait regarder la répartission du capital de ASML, cet investisseur pour détailler un peu plus), arrivé en série C (ce qui amène donc 73% du capital au moins sous contrôle européen) ;
- il reste 3,5% indéterminé (pour moi).

Pour avoir un vécu similaire (startup produisant un IoT de sécurité qui a traversé la période COVID), je ne peux qu'approuver !

Alors même s'ils sont crypté, ils ont en théorie les moyens de les décrypter (trouver une faille et mettre les serveurs qu'il faut pour du brut-forcing)

Quelle preuve as-tu de ça ? Thomas Baignères et Mathieu Finiasz sont des cryptologues reconnus. Ils utilisent de la cryptographie à l'état de l'art, implémentée de façon rigoureuse, certifiée par l'ANSSI (certification CSPN). En affirmant qu'Amazon a les moyens de decrypter les messages d'Olvid, ce que tu dis, c'est qu'on peut jeter à la poubelle toute la cryptographie actuelle…

Dès que tu as un preuve, va publier l'attaque, tu vas devenir célèbre !

À ma connaissance, les banques "institutionnelles" n'ont pas laissé tomber l'émission de cartes multi-réseaux. Ce sont surtout des néo-banques qui ont fait ce choix. (D'ailleurs, ma très récente carte d'une banque coopérative a toujours le logo CB).

Merci, je n'arrivai vraiment pas à retrouver le terme français, je savais que planificateur ne marchait pas, ordonnanceur est effectivement ce que je cherchais !

Et effectivement, phases de la lune me semble aussi bien mieux !

Extrait du Readme :

This scheduler is 100% for educational and entertainment purposes. While the astronomical calculations are real and the scheduler actually works (it really does load into the kernel and schedule tasks!), using astrology to schedule CPU tasks is:

• Scientifically dubious
• Cosmically hilarious
• Fully functional with real retrograde detection and lunar phase scheduling
• Not recommended for production systems (but it boots and runs stably)
• Perfect for conference talks, hackathons, and proving that anything is possible

Traduction de mon cru :

Ce scheduler (planificateur ?) est 100% à but éducatif et ludique. Même si les calculs astronomiques sont réels et que le scheduler fonctionne (il se charge réellement dans le noyau et planifie les tâches !), utiliser l'astronomie pour planifier les tâches CPU est :
- scientifiquement douteux
- cosmiquement hilarant
- pleinement fonctionnel avec une réelle détection des périodes rétrogrades¹ et une prévision des périodes de la lune
- non recommandé pour les systèmes en production (mais il démarre et tourne de façon stable)
- Parfait pour les exposés de conférence, les hackatons et démontrer que tout est possible

1 : [NDT: pas sûr des termes astrologiques, j'y connais rien et, contrairement à l'auteur, la flemme de me renseigner]

Désolé, sur smartphone, mon gros doigt a ripé et cliqué sur "inutile" par erreur. Si quelqu’un voulait bien pertinenter pour réparer mon erreur, je lui en saurais gré.

Olvid ne dépend pas du serveur pour fonctionner. Si AWS coupe, tu peux toujours envoyer des messages, et même entamer de nouvelles conversations, pour peu que tu fasses un échange de clef en direct.

De mémoire, le serveur ne sert que pour la mise en relation, dans un contexte entreprise.

Le point de vue des associations de cyclistes : https://www.cc37.org/le-velo-cest-plus-dangereux-de-ne-pas-en-faire-que-den-faire-avec-ou-sans-casque/

J'ai pareil, j'ai commencé avec 8 en 2x4Go sur le premier canal, puis j'ai ajouté 16 en 2x8Go sur le second canal…

Oui, je ne dis pas qu'il ne faut pas utiliser les supports, mais juste que si tu peux les éviter par le design, c'est quand même mieux. Se reposer uniquement sur les supports, ça peut être vraiment galère, par exemple pour des tuyaux ou des porte-à-faux sur des structures internes.

Apprendre à designer pour les éviter est une compétence vraiment utile, à mon avis.

Les supports c'est bien, mais :
- ça "gaspille" du matériau ;
- c'est pas toujours facile à enlever ;
- ça laisse des (petites) traces sur les pièces.

Si tu peux les éviter par le design, c'est une bonne chose…

les espagnols n'en sont pas morts (pour celle de 2025)

Pas tous, mais 7 personnes sont quand même décédées suite à cette coupure (https://fr.wikipedia.org/wiki/Panne_de_courant_de_2025_dans_la_p%C3%A9ninsule_Ib%C3%A9rique).

Si j’ai bien compris, c’est justement pour sortir de ce paradigme "modèle sur le web" que les composants dediés à l’IA existe. Les NPU embarqués dans les periphériques grand public (genre téléphones) sont des circuits visant à accelerer l’utilisation locale des modèles pré-entrainés, par exemple pour du traitement d’images. Les GPUs, quand à eux, embarquent souvent en plus des NPU spécialisés pour tensor flow, pour l’accelération de l’apprentissage.

Edit: par contre, imho, essayer de marketter ça, c’est un peu comme essayer de vendre le nouveau processeur avec de nouvelles capacités de calcul flottant : les gens s’en foutent des details technique, ils veulent un pc qui tienne la route pour les tâches à l’état de l’art…

C'est un comme si « on jetait tous les papiers de mon bureau quand je rentres chez moi le soir »

Toi, t’as jamais travaillé en flex office !

Effectivement, j'ai mal lu pour le TAJ, dans certains cas, c'est 40 ans. Pour le casier, effectivement, j'ai pris un raccourci car je parlais des cas prévus par la loi pour durer moins longtemps, entre 3 et 5 ans… En particulier les compositions pénales (le plaider coupable à la française), qui peuvent donner lieu à une inscription au CJ pour 3 ans, mais 20 ans dans le TAJ.

Ce qui est inquiétant, c'est que l'inscription dans ce fichier (qui contient aussi des victimes et temoins) peut durer jusqu'à 20 ans !

J'en profite pour faire remarquer que pour des faits que la justice considère devoir consigner durant 3 à 5 ans (dans le casier judiciaire), l'exécutif considère qu'il peut les consigner pour 20 ans, ce que je trouve énorme dans l'absolu, et encore plus comparativement au casier judiciaire !

J’avais aussi evoqué la lisibilité, qui est bien superieure sur un gps dedié que sur un téléphone !

Il est donc libre.

Je ne répondais pas à "il est aussi libre que possible", ce qui est factuellement vrai, mais sur "il est aussi ouvert que possible", ce qui est un peu différent, et moins le cas.