Je développe un peu, pour compléter mon post rapide de cet aprés-midi.
Il s’agit d’une forme de supply chain attack, par le biais de la plateforme Clawhub qui hébergent des "skills". Ces skills sont des fichiers markdown dans lesquels on va trouver des séquences d’instructions, en langage naturel. Par exemple, ils peuvent contenir des instructions pour installer des outils pré-requis pour l’execution d’une tâche, qui pourront ensuite exposer des fonctions via le protocole MCP. Mais les instructions du fichier de skills, elles, ne sont pas isolées via MCP, juste données telles quelles à l’agent.
L’auteur a analysé le skill le plus téléchargé du Clawhub, qui contient des instructions d’installation via une page web qui semble légitime, contenant un script, qui télécharge et exécute un payload obfusqué. Lui même va télécharger un script d’installation d’un malware, pour différentes plateforme avec des routines d’évasions des mécanismes de sécurité. Il a ensuite analysé d’autres "skills" et découvert des centaines d’autres cas.
L’auteur conclue par le fait qu’il ne faut pas tout jeter, mais construire la couche manquante de sécurité, et qu’il faut donner les moyens d’identifier les agents.
C'est assez facile, sur le lien que tu donnes, il y a la répartition du capital à l'issue de la série C :
- un peu plus de 62% du capital est encore possédé par les investisseurs initiaux (fondateurs) et ceux du l'amorçage (seed) qui sont français ;
- un peu moins de 23% est possédé par des américains (entrés en série A et B) ;
- un peu plus de 11% est possédé par un industriel néerlandais (il faudrait regarder la répartission du capital de ASML, cet investisseur pour détailler un peu plus), arrivé en série C (ce qui amène donc 73% du capital au moins sous contrôle européen) ;
- il reste 3,5% indéterminé (pour moi).
Alors même s'ils sont crypté, ils ont en théorie les moyens de les décrypter (trouver une faille et mettre les serveurs qu'il faut pour du brut-forcing)
Quelle preuve as-tu de ça ? Thomas Baignères et Mathieu Finiasz sont des cryptologues reconnus. Ils utilisent de la cryptographie à l'état de l'art, implémentée de façon rigoureuse, certifiée par l'ANSSI (certification CSPN). En affirmant qu'Amazon a les moyens de decrypter les messages d'Olvid, ce que tu dis, c'est qu'on peut jeter à la poubelle toute la cryptographie actuelle…
Dès que tu as un preuve, va publier l'attaque, tu vas devenir célèbre !
À ma connaissance, les banques "institutionnelles" n'ont pas laissé tomber l'émission de cartes multi-réseaux. Ce sont surtout des néo-banques qui ont fait ce choix. (D'ailleurs, ma très récente carte d'une banque coopérative a toujours le logo CB).
Merci, je n'arrivai vraiment pas à retrouver le terme français, je savais que planificateur ne marchait pas, ordonnanceur est effectivement ce que je cherchais !
Et effectivement, phases de la lune me semble aussi bien mieux !
This scheduler is 100% for educational and entertainment purposes. While the astronomical calculations are real and the scheduler actually works (it really does load into the kernel and schedule tasks!), using astrology to schedule CPU tasks is:
Scientifically dubious
Cosmically hilarious
Fully functional with real retrograde detection and lunar phase scheduling
Not recommended for production systems (but it boots and runs stably)
Perfect for conference talks, hackathons, and proving that anything is possible
Traduction de mon cru :
Ce scheduler (planificateur ?) est 100% à but éducatif et ludique. Même si les calculs astronomiques sont réels et que le scheduler fonctionne (il se charge réellement dans le noyau et planifie les tâches !), utiliser l'astronomie pour planifier les tâches CPU est :
- scientifiquement douteux
- cosmiquement hilarant
- pleinement fonctionnel avec une réelle détection des périodes rétrogrades1 et une prévision des périodes de la lune
- non recommandé pour les systèmes en production (mais il démarre et tourne de façon stable)
- Parfait pour les exposés de conférence, les hackatons et démontrer que tout est possible
1 : [NDT: pas sûr des termes astrologiques, j'y connais rien et, contrairement à l'auteur, la flemme de me renseigner]
Désolé, sur smartphone, mon gros doigt a ripé et cliqué sur "inutile" par erreur. Si quelqu’un voulait bien pertinenter pour réparer mon erreur, je lui en saurais gré.
Olvid ne dépend pas du serveur pour fonctionner. Si AWS coupe, tu peux toujours envoyer des messages, et même entamer de nouvelles conversations, pour peu que tu fasses un échange de clef en direct.
De mémoire, le serveur ne sert que pour la mise en relation, dans un contexte entreprise.
Oui, je ne dis pas qu'il ne faut pas utiliser les supports, mais juste que si tu peux les éviter par le design, c'est quand même mieux. Se reposer uniquement sur les supports, ça peut être vraiment galère, par exemple pour des tuyaux ou des porte-à-faux sur des structures internes.
Apprendre à designer pour les éviter est une compétence vraiment utile, à mon avis.
Si j’ai bien compris, c’est justement pour sortir de ce paradigme "modèle sur le web" que les composants dediés à l’IA existe. Les NPU embarqués dans les periphériques grand public (genre téléphones) sont des circuits visant à accelerer l’utilisation locale des modèles pré-entrainés, par exemple pour du traitement d’images. Les GPUs, quand à eux, embarquent souvent en plus des NPU spécialisés pour tensor flow, pour l’accelération de l’apprentissage.
Edit: par contre, imho, essayer de marketter ça, c’est un peu comme essayer de vendre le nouveau processeur avec de nouvelles capacités de calcul flottant : les gens s’en foutent des details technique, ils veulent un pc qui tienne la route pour les tâches à l’état de l’art…
Effectivement, j'ai mal lu pour le TAJ, dans certains cas, c'est 40 ans. Pour le casier, effectivement, j'ai pris un raccourci car je parlais des cas prévus par la loi pour durer moins longtemps, entre 3 et 5 ans… En particulier les compositions pénales (le plaider coupable à la française), qui peuvent donner lieu à une inscription au CJ pour 3 ans, mais 20 ans dans le TAJ.
Ce qui est inquiétant, c'est que l'inscription dans ce fichier (qui contient aussi des victimes et temoins) peut durer jusqu'à 20 ans !
J'en profite pour faire remarquer que pour des faits que la justice considère devoir consigner durant 3 à 5 ans (dans le casier judiciaire), l'exécutif considère qu'il peut les consigner pour 20 ans, ce que je trouve énorme dans l'absolu, et encore plus comparativement au casier judiciaire !
[^] # Re: Y'a le bon et le mauvais écran
Posté par aiolos . En réponse au journal De la contagion des discours sur lézécrans chez les parents . Évalué à 4 (+2/-0). Dernière modification le 08 février 2026 à 17:02.
Chanceux, parce que bien sûr, ça n’a rien à voir avec l’éducation qu’elle a reçue…
[^] # Re: Et ce qui devait arriver, arriva
Posté par aiolos . En réponse à la dépêche Saga OpenClaw (ClawdBot, Moltbot) : enjeux techniques, juridiques et éthiques d’un assistant IA open source. Évalué à 2 (+0/-0).
Surtout quand tu laisses à n’importe qui le droit de lui dire comment faire.
[^] # Re: Et ce qui devait arriver, arriva
Posté par aiolos . En réponse à la dépêche Saga OpenClaw (ClawdBot, Moltbot) : enjeux techniques, juridiques et éthiques d’un assistant IA open source. Évalué à 6 (+4/-0). Dernière modification le 05 février 2026 à 20:41.
Je développe un peu, pour compléter mon post rapide de cet aprés-midi.
Il s’agit d’une forme de supply chain attack, par le biais de la plateforme Clawhub qui hébergent des "skills". Ces skills sont des fichiers markdown dans lesquels on va trouver des séquences d’instructions, en langage naturel. Par exemple, ils peuvent contenir des instructions pour installer des outils pré-requis pour l’execution d’une tâche, qui pourront ensuite exposer des fonctions via le protocole MCP. Mais les instructions du fichier de skills, elles, ne sont pas isolées via MCP, juste données telles quelles à l’agent.
L’auteur a analysé le skill le plus téléchargé du Clawhub, qui contient des instructions d’installation via une page web qui semble légitime, contenant un script, qui télécharge et exécute un payload obfusqué. Lui même va télécharger un script d’installation d’un malware, pour différentes plateforme avec des routines d’évasions des mécanismes de sécurité. Il a ensuite analysé d’autres "skills" et découvert des centaines d’autres cas.
L’auteur conclue par le fait qu’il ne faut pas tout jeter, mais construire la couche manquante de sécurité, et qu’il faut donner les moyens d’identifier les agents.
# Et ce qui devait arriver, arriva
Posté par aiolos . En réponse à la dépêche Saga OpenClaw (ClawdBot, Moltbot) : enjeux techniques, juridiques et éthiques d’un assistant IA open source. Évalué à 4 (+2/-0).
Découvert ce midi sur HackerNews, uniquement parcouru, mais déjà partagé:
https://1password.com/blog/from-magic-to-malware-how-openclaws-agent-skills-become-an-attack-surface
[^] # Re: cocorico
Posté par aiolos . En réponse au message Choix d'une distribution. Évalué à 2 (+0/-0).
Et Ubuntu se base lui-même sur… Debian. D’où le ultimement dans la phrase, j’imagine…
[^] # Re: Nom de domaine
Posté par aiolos . En réponse au lien Faire héberger son courrier électronique avec son propre nom de domaine. Évalué à 4 (+2/-0).
Remplacer le mépris de genre par la stigmatisation des Kevins, donc une forme de mépris de classe est effectivement ue belle preuve de repentir ;)
[^] # Re: Nom de domaine
Posté par aiolos . En réponse au lien Faire héberger son courrier électronique avec son propre nom de domaine. Évalué à 6 (+4/-0).
D'après wikipedia, parce que j'ai la flemme d'aller ouvrir la RFC qui va bien,
Donc, org, eu.org et fr.eu.org sont des noms de domaines. org est spécial, car il est un TLD terminal domain name, il est donc en plus terminal.
[^] # Re: Mouais
Posté par aiolos . En réponse au lien Mozilla choisit l'opt-out passif et active l'IA par défaut dans Firefox. Évalué à 6 (+4/-0).
Non, on parlera d'UX, qui a remplacé les mots expérience utilisateur presque partout ;)
[^] # Re: Cocorico
Posté par aiolos . En réponse au lien Livres piratés et intelligence artificielle : le Français Mistral AI sous pression. Évalué à 10 (+14/-0).
C'est assez facile, sur le lien que tu donnes, il y a la répartition du capital à l'issue de la série C :
- un peu plus de 62% du capital est encore possédé par les investisseurs initiaux (fondateurs) et ceux du l'amorçage (seed) qui sont français ;
- un peu moins de 23% est possédé par des américains (entrés en série A et B) ;
- un peu plus de 11% est possédé par un industriel néerlandais (il faudrait regarder la répartission du capital de ASML, cet investisseur pour détailler un peu plus), arrivé en série C (ce qui amène donc 73% du capital au moins sous contrôle européen) ;
- il reste 3,5% indéterminé (pour moi).
[^] # Re: Projet FAMES sur le site du CEA
Posté par aiolos . En réponse au lien La France va produire des processeurs. Évalué à 2 (+0/-0). Dernière modification le 03 février 2026 à 15:20.
Pour avoir un vécu similaire (startup produisant un IoT de sécurité qui a traversé la période COVID), je ne peux qu'approuver !
[^] # Re: Le code !
Posté par aiolos . En réponse au lien Olvid ouvre le code source de son serveur. Évalué à 7 (+5/-0). Dernière modification le 30 janvier 2026 à 10:40.
Quelle preuve as-tu de ça ? Thomas Baignères et Mathieu Finiasz sont des cryptologues reconnus. Ils utilisent de la cryptographie à l'état de l'art, implémentée de façon rigoureuse, certifiée par l'ANSSI (certification CSPN). En affirmant qu'Amazon a les moyens de decrypter les messages d'Olvid, ce que tu dis, c'est qu'on peut jeter à la poubelle toute la cryptographie actuelle…
Dès que tu as un preuve, va publier l'attaque, tu vas devenir célèbre !
[^] # Re: Article de 2024, mais d'actualité
Posté par aiolos . En réponse au lien Lors d’un paiement, vous pouvez souvent choisir entre CB et Visa ou MasterCard. Évalué à 4 (+2/-0). Dernière modification le 29 janvier 2026 à 16:03.
À ma connaissance, les banques "institutionnelles" n'ont pas laissé tomber l'émission de cartes multi-réseaux. Ce sont surtout des néo-banques qui ont fait ce choix. (D'ailleurs, ma très récente carte d'une banque coopérative a toujours le logo CB).
[^] # Re: J'ai pas trop compris
Posté par aiolos . En réponse au lien scx_horoscope - Astrological CPU Scheduler. Évalué à 2 (+0/-0).
Merci, je n'arrivai vraiment pas à retrouver le terme français, je savais que planificateur ne marchait pas, ordonnanceur est effectivement ce que je cherchais !
Et effectivement, phases de la lune me semble aussi bien mieux !
[^] # Re: J'ai pas trop compris
Posté par aiolos . En réponse au lien scx_horoscope - Astrological CPU Scheduler. Évalué à 6 (+4/-0).
Extrait du Readme :
Traduction de mon cru :
1 : [NDT: pas sûr des termes astrologiques, j'y connais rien et, contrairement à l'auteur, la flemme de me renseigner]
[^] # Re: Prohibition
Posté par aiolos . En réponse au lien Interdire les réseaux sociaux, mais surtout « remettre en cause notre mode de vie capitaliste ». Évalué à 3 (+1/-0). Dernière modification le 27 janvier 2026 à 20:41.
Désolé, sur smartphone, mon gros doigt a ripé et cliqué sur "inutile" par erreur. Si quelqu’un voulait bien pertinenter pour réparer mon erreur, je lui en saurais gré.
[^] # Re: Détails sur le serveur
Posté par aiolos . En réponse au lien Olvid ouvre le code source de son serveur. Évalué à 3 (+1/-0).
Olvid ne dépend pas du serveur pour fonctionner. Si AWS coupe, tu peux toujours envoyer des messages, et même entamer de nouvelles conversations, pour peu que tu fasses un échange de clef en direct.
De mémoire, le serveur ne sert que pour la mise en relation, dans un contexte entreprise.
[^] # Re: Les cyclistes ont bon dos
Posté par aiolos . En réponse au lien Le port du casque et de moyens réfléchissants obligatoire pour les cyclistes et les conducteurs de trottinettes à Aurillac. Évalué à 7 (+5/-0).
Le point de vue des associations de cyclistes : https://www.cc37.org/le-velo-cest-plus-dangereux-de-ne-pas-en-faire-que-den-faire-avec-ou-sans-casque/
[^] # Re: 24Go
Posté par aiolos . En réponse au sondage Quelle quantité de RAM ai-je sur ma machine principale ?. Évalué à 3 (+1/-0).
J'ai pareil, j'ai commencé avec 8 en 2x4Go sur le premier canal, puis j'ai ajouté 16 en 2x8Go sur le second canal…
[^] # Re: Slicer
Posté par aiolos . En réponse au message Guides et documentations sur l'impression 3D. Évalué à 3 (+1/-0).
Oui, je ne dis pas qu'il ne faut pas utiliser les supports, mais juste que si tu peux les éviter par le design, c'est quand même mieux. Se reposer uniquement sur les supports, ça peut être vraiment galère, par exemple pour des tuyaux ou des porte-à-faux sur des structures internes.
Apprendre à designer pour les éviter est une compétence vraiment utile, à mon avis.
[^] # Re: Slicer
Posté par aiolos . En réponse au message Guides et documentations sur l'impression 3D. Évalué à 2 (+0/-0).
Les supports c'est bien, mais :
- ça "gaspille" du matériau ;
- c'est pas toujours facile à enlever ;
- ça laisse des (petites) traces sur les pièces.
Si tu peux les éviter par le design, c'est une bonne chose…
[^] # Re: humour noir
Posté par aiolos . En réponse au lien Répression des manifestations en Iran: coupure généralisée internet, "Des gens meurent dans le noir". Évalué à 3 (+1/-0).
Pas tous, mais 7 personnes sont quand même décédées suite à cette coupure (https://fr.wikipedia.org/wiki/Panne_de_courant_de_2025_dans_la_p%C3%A9ninsule_Ib%C3%A9rique).
[^] # Re: faut pas avoir le cul sorti des ronces...
Posté par aiolos . En réponse au lien Dell se rend compte que les gens s’en foutent de l’IA dans les PC. Évalué à 2 (+0/-0). Dernière modification le 11 janvier 2026 à 10:06.
Si j’ai bien compris, c’est justement pour sortir de ce paradigme "modèle sur le web" que les composants dediés à l’IA existe. Les NPU embarqués dans les periphériques grand public (genre téléphones) sont des circuits visant à accelerer l’utilisation locale des modèles pré-entrainés, par exemple pour du traitement d’images. Les GPUs, quand à eux, embarquent souvent en plus des NPU spécialisés pour tensor flow, pour l’accelération de l’apprentissage.
Edit: par contre, imho, essayer de marketter ça, c’est un peu comme essayer de vendre le nouveau processeur avec de nouvelles capacités de calcul flottant : les gens s’en foutent des details technique, ils veulent un pc qui tienne la route pour les tâches à l’état de l’art…
[^] # Re: Découverte
Posté par aiolos . En réponse au lien Votre navigateur vous espionne, mais à quel point ? Vous allez être choqué. Évalué à 7 (+5/-0).
Toi, t’as jamais travaillé en flex office !
[^] # Re: 20 ans
Posté par aiolos . En réponse au lien Fichier "TAJ" de la police potentiellement compromis. Évalué à 3 (+1/-0). Dernière modification le 21 décembre 2025 à 09:04.
Effectivement, j'ai mal lu pour le TAJ, dans certains cas, c'est 40 ans. Pour le casier, effectivement, j'ai pris un raccourci car je parlais des cas prévus par la loi pour durer moins longtemps, entre 3 et 5 ans… En particulier les compositions pénales (le plaider coupable à la française), qui peuvent donner lieu à une inscription au CJ pour 3 ans, mais 20 ans dans le TAJ.
# 20 ans
Posté par aiolos . En réponse au lien Fichier "TAJ" de la police potentiellement compromis. Évalué à 2 (+1/-1).
Ce qui est inquiétant, c'est que l'inscription dans ce fichier (qui contient aussi des victimes et temoins) peut durer jusqu'à 20 ans !
J'en profite pour faire remarquer que pour des faits que la justice considère devoir consigner durant 3 à 5 ans (dans le casier judiciaire), l'exécutif considère qu'il peut les consigner pour 20 ans, ce que je trouve énorme dans l'absolu, et encore plus comparativement au casier judiciaire !