[lien] et [autre lien] qui vient de gens n'ayant aucun intéret particulier à raconter des conneries, et qui sont très respectés dans leur champs d'activité
oui. Je les ai lu quand ils sont sortis. Je ne suis pas plus convaincu et je respecte beaucoup ces gars là. Et donc un LLM ça cause, ça sait répérer des trucs. Que ça trouve des vulns, ça ne m'étonne pas. Qu'on dise que l’apocalypse est à venir, j'y crois moins. Bagder disait quand même que le volume de slop est phénoménal, mais que quand un gars sait utiliser un outil, ça donne de bons trucs (mais juge t'on alors les capacités du gars ou les capacités de l'outil?)
Quand afl est sorti, il y avait quelques fanboys qui disaient que le problème de la sécurité informatique était réglé (spoiler: non). Ca n'empêche pas afl d'être un bon outil, des gars publient encore des amélios. Ok, gardons ça comme un outil dans un coin, servons nous en correctement.
L'IA n'est pas un NFT, je sais. Je parlais de la hype autour du projet, je sens les mêmes qualificatifs dithyrambiques pour l'IA, utilisés préalamblement pour les NFT. Certains sont hypés, je le suis de moins en moins. J'essaye de limiter un maximum les frictions pour pouvoir me passer de l'IA au cas ou, parceque je sens très fort le moment ou ça ne sera plus 20$ par mois en illimité :-/
Je ne veux pas jeter l'outil, je veux jeter superlatifs et les promesses hypothétiques. Mon argument c'est plutôt: "Bosse avec l'IA, fais des trucs, amuse toi, mais viens pas me péter les rouleaux en me disant que c'est la révolution".
Il est tard, je suis pas très clair, might delete later.
il me semble que ces speakers sont invités et ont donc un sujet libre
oui, c'est ce qu'il me semble aussi
Personnellement j'attendais pas mal cette présentation, je me disais le gars à un joli CV il doit avoir de belles anectodes ça fera une bonne keynote.
pareil
Alors célébrons plutôt notre communauté technique, que ce soit sur linuxfr, au SSTIC (j'ai rencontré des gens formidables et assisté à des talks bien plus inspirant cette année!) ou partout ailleurs !
sinon on peut écrire en lolcat :-) https://en.wikipedia.org/wiki/LOLCODE
HAI 1.0
CAN HAS STDIO?
I HAS A VAR
IM IN YR LOOP
UP VAR!!1
VISIBLE VAR
IZ VAR BIGGER THAN 10? KTHX
IM OUTTA YR LOOP
KTHXBYE Le plus terrible c'est que je me rends compte que le lolcode devient quelque chose de sérieux dans ce message :D :D :D :D
De toute façon, il faut bien voir que même complètement exsangues, les boites établies rapportent assez de thunes pour survivre et je peux donner l'exemple de X/Twitter qui est assez parlant. Les revenus publicitaires ont chuté de 50% en virant 80% des employés. Et c'est pas que les 80% servaient à rien (loin de la), mais y a suffisamment d'inertie pour tenir, et les prédictions de crash/disparition de la plateforme se sont avérés pour le moment incorrect.
Je serais curieux d'avoir ton avis sur le sujet. De nombreuses personnes (depuis ici sur linuxfr jusqu'à d'anciens employés sur des réseaux sociaux) avaient en effet annoncé une augmentation des pannes (il y en a eu quelques unes) jusqu'à un crash total qui n'a toujours pas eu lieu.
Je me demande si l'inertie seule explique cela. Il y a aussi peut-être le cash monumental qu'ont ces boites (et musk s'en fiche de perdre l'argent).
Et je ne parle pas de l'effet très pervers sur linkedin ou de nombreuses personnes encensent musk en mode: "il a raison de virer 80% des gens et faire cravacher les restants".
Avec l'IA, tu files tout le code à bouffer à Claude, tu lui expliques la modif que tu veux, il te la fait, et te prépare le patch. À la gueule tu vois vite si c'est du code dégueulasse ou pas (et ça n'en sera vraisemblablement pas).
Oui, alors tu as un truc que tu comprends mal, qui marchotte plus ou moins. Et viendra toujours l'instant de la modif qui va tout péter et là, tu ne vas plus rien comprendre. Tu vas rollback, tu vas essayer de repartir sur la dernière base saine, mais comme c'est un framework que tu connais pas, tu n'y comprends rien. Comme c'est une base de code que tu connais pas non plus tu demandes à l'IA de t'aider (genre rééxplique moi le modèle du templating), l'IA va te répondre, tu ne sauras jamais si c'est vrai ou pas, donc retour au point 1 avec l'IA qui te ponds un code dont tu auras du mal à dire s'il est dégueulasse ou pas.
Paradoxalement je préfère encore prendre le projet en main, le connaître, puis demander à l'agent de faire un truc que je sais faire. Il va écrire le code, les tests, les messages de commit etc… et je peux le corriger au besoin.
Je me suis trop fait avoir avec la légende "si si claude comprends le code et il te fera le patch en vitesse, et si t'as un problème il va t'expliquer le code". Sur le court terme, peut-être que le patch va sortir. A moyen terme, ça pose des problèmes. A long terme, je veux fuir le projet et ne plus jamais y toucher :D
Posté par octane .
En réponse au journal NeoMeca.
Évalué à 10 (+11/-0).
Ca me fait penser aux bots téléphoniques qui t'appellent, tu décroches et une voix te dite "patientez, un téléconseiller va bientôt vous parler". Genre bonhomme, tu crois que non seulement je vais écouter ton télémarketing pourri, mais qu'en plus je vais rester comme un âne à attendre que tu daignes me parler?!?!
Alors tu accuse les site générés par IA, mais le déclin de la qualité date d'avant l'arrivée massive de ces sites.
La qualité de google est en baisse (voire en chute libre), mais pire que ça, ce sont les site webs qui sont d'une qualité catastrophique :-(
Remplis de pubs, de paywalls, d'abonnements à la newsletter etc (oui, j'ai ublock origin mais il y a des pubs qui passent quand même). J'ai arrêté de chercher des recettes de cuisines car 99% des sites culinaires sont remplis de pubs, remplis d'IA SLOP, remplis de tout et n'importe quoi sauf la recette. J'en arrive à un point ou je me demande s'il existe encore des gens qui lisent simplement les sites. Et c'est pareil pour la majorité de mes centres d'intérêts. Je me rends compte que j'esquive google la majeure partie du temps car je sais que je n'aurai rien de pertinent.
Bref, l'openweb est mort, les blogs sont morts, la recherche est morte, youtube est mort, il nous reste quoi? mastodon? linuxfr? reddit? continuez les gars.
en gros "faites quelque chose de constructif". Comme proposer un patch, ou autre.
J'avais lu une prez d'un triageur (ce mot existe?) de bug bounty. Il râlait sans fin contre les rapports auto. Genre un programme bounty ouvre, il se prend un pdf de 500 pages généré par nessus, avec le commentaire "y'a plein de vulns dans le rapport, faut donner le bounty maintenant". Il était fatigué.
J'ai l'impression que l'AI c'est la même chose puissance 10. Tout le monde veut son petit moment de gloire en ayant trouvé la vuln, soit pour l'estime de soi personnelle genre "yeah, j'ai aidé à corriger un bug qui allait provoquer la fin du monde sans moi", soit pour des sous (bounty ou marketing).
Après je trouve la position de Linux assez posée. Quel que soit l'outil, il faut une plus-value humaine, et une réflexion derrière. Il m'est arrivé de remonter des bugs, et clairement quand tu prends le temps de bien comprendre le bug, que tu proposes un bout de patch, et que tu donnes tes tests, tu es mieux reçu que quand tu postes à l'arrache dans une mailing list en mode "démerdez-vous".
gestion de versions: dire à un agent « rebase onto origin/main » et le voir résoudre tout seul des conflits qui auraient pu me faciliter le transit intestinal prendre des heures, franchement, c’est un pur bonheur.
oui, et quand l'IA te dit "y'avait un conflit, mais je l'ai résolu tout seul. Oui oui. Et là, tout est commit."
tu as toujours une petite goutte de sueur glacée qui coule dans le dos et c'est trèèèèès désagréable, surtout quand tu ne trouves rien d'obvious.
relecture de code : recherche de bugs, de scénarios non testés, de commentaires erronés…
ouais, bah comme 1000 développeurs je me suis dit, "tiens je vais construire un mythos à moi et j'aurai plus aucune faille de sécu". Du coup, preprompt, prompt, écriture des findings, puis un deuxième agent qui repasse sur les findings pour les consolider/invalider, puis un autre qui va écrire des pocs, etc.. Au final, immensément de temps perdu pour finir sur des truismes du genre
"alors si tu réussis à bypass l'authentification de ton API alors un attaquant pourrait effectuer des actions normalement réservées à l'admin". Euh, oui?
smoke testing : j’ai une API dont la doc n’est pas forcément hyper fiable, je dis à un agent de jouer différents scénarios et me dire ce qui est vraiment pris en compte ou renvoyé (en-têtes, statuts HTTP, structure réelle du payload…). Autant de bugs évités si le comportement réel est légèrement différent de ce à quoi on s’attendrait (API qui ne suit pas exactement les bonnes pratiques…).
Mais, vraie question, dans ce cas, il faut pas mieux écrire un test et de la doc? Plutôt que de renvoyer une requête analysée par un LLM qui risque d'halluciner un jour?
On pourrait aller encore plus loin, encore plus moderne \o/ importer les réponses des LLM directement! Faudrait que je vibe code un module python qui fasse le même genre de truc
from chatgpt import quick_sort
print(quick_sort.sort([1, 3, 2, 5, 4]))
La prochaine étape, c'est de vibe-coder un générateur de prompt pour aider à interroger les LLM afin d'obtenir des solutions.
chatgpt, écris moi un prompt que je pourrais donner à Claude afin qu'il me code un module python qui fasse ce truc
J'ai l'impression de relire le même article tous les 6 mois avec un nouveau nom à chaque fois. On avait eu droit à PLAGUE, là c'est PamDOORA (l'exploratrice?).
Globalement, faut que l'attaquant soit root, ça se détecte avec l'intégrité de ton gestionnaire de paquet, mais si c'est installé, alors c'est grave.
Je crois que l'IA est plutôt douée pour les tâches de niveau moyen. Ecrire un yaml? Ok. Pondre une fonction C qui va trier un tableau, ça va. Ecrire la doc d'un commit, oué, ça sait faire. Quand tu lui demandes d'améliorer un code que tu as optimisé avec amour pendant des heures, bah l'IA te sors un truc dégueulasse. Un truc un peu niche -> echec assuré. L'IA c'est du niveau moyen plus.
Je vais avoir une position extrêmement agressive : j'ai l'impression que les personnes qui sont le plus fascinées par l'IA sont des mauvais devs. Ils sont incapables de faire un truc propre, l'IA sort un machin vaguement moyen, ils disent que c'est génial, qu'ils n'auraient jamais pu faire mieux, plus vite, plus propre. Moi, ça m'inquiète.
D'un autre côté, je trouve aussi que c'est une bonne jauge : Par exemple, je trouve que l'IA écrit des très très bons scripts shells, très propre, et rapidement. Ca m'a permis de comprendre que je suis une buse complète en bash :D Il y a encore quelques domaines ou je trouve que l'IA est vraiment mauvaise, ça me rassure
J'ai découvert les histoires de Miod sur Mastodon et j'ai adoré. Super intéressant.
Il y a un truc qui me chipotait, et je viens de mettre le doigt dessus. Miod développe (-ait?) pour openBSD, système le + sécurisé au monde. Et ces histoires (elles sont géniales, allez les lire, vraiment) parlent entre autre de portabilité et de systèmes moins connus. Sauf que la portabilité, c'est NetBSD (ben oui). Et ma question, c'est pourquoi openBSD a cherché à être portable? Il cherche à être sécurisé, non? Du coup, je me demande ce qui pousse les devs à porter openBSD sur des archis exotiques (en tout cas ça nous fait des belles histoires à lire :) )
Ça implique un accès physique au Raspberry, un remontage de la carte SD dans une autre machine, un chroot ou autre pour se créer un compte avec les privilèges root, etc.
Dans le cas du raspberry, l'extraction du disque est super simple :-)
Et si la(es) partition(s) contenant les données ont été chiffrées cela ne servirait à rien.
Bah je m'ajoute un user, j'ajoute un binaire suid, j'ajoute un reverse-shell dans une unit systemd, j'ajoute une clé SSH dans le /root/.ssh/authorized_keys (et tous les users aussi du coup, tiens), j'ajoute un backup automatique de la clé LUKS en clair lors du déverrouillage, j'ajoute l'envoi d'un email lors du rallumage du raspi, etc etc…
Puis j'attends que le raspi soit rallumé. Et j'accède aux données \o/
J'ai pas forcément compris. Généralement, l'install d'un raspi de fait en dumpant une image toute faite sur une flash. Et ces installs ne sont pas chiffrées, donc pas de chiffrement de disque. Lorsqu'on veut chiffrer un disque, on utilise un installeur qui prévoit l'option durant l'install, avant formatage et copie des fichiers sur disque.
Je ne sais pas s'il y a un installeur pour raspi autre que des images disques toutes prêtes (mais je suis pas un expert).
Ensuite, j'utilise des raspis sans clavier ni écran. Et je ne chiffre pas les partitions pour cette raison: en cas de reboot, comment entrer le mot de passe de déchiffrement sans clavier?
De mon côté, je propose le test de PMA pour les présentations de personnes réelles : divulgue-t-on des informations privées voire intimes sur la personne pour présenter son travail ?
Pour moi, PMA signifie Procréation Médicalement Assistée, donc j'ai eu beaucoup de mal à comprendre le test :D
Puis j'ai lu tes initiales et j'ai compris que c'était ta vision d'un test.
Pour le seigneur des anneaux, c'est surprenant, mais ok. Je me souviens de la scène du film
-"No man can defeat me!"
-"I am no man" (et bing!)
-"argelugheu" (couic….)
la présence de « relous » et autres « fachos » apparaît comme un facteur d'enrichissement de la communauté.
position hasardeuse, j'espère que tu le conçois. Un relou, c'est relou. J'aime la diversité d'opinion, j'aimerai que ça reste au niveau de la liberté des licenses (d'ailleurs si je met ce commentaire en wtfpl c'est possible?), au niveau des logiciels (est-ce qu'il ne manquerait pas un AD pour que linux soit déployable en entreprise, et surtout plus qu'un AD, des GPO facilement déployables), au niveau des recettes de cuisine (non, on ne met pas de fromage rapé dans un gratin, vous avez aussi peu de goût qu'un anglais ou quoi?), ou encore au niveau des bronsonisations. J'ai beaucoup évolué sur les licenses et la différence entre libre et proprio suite à des discussions qui ont eu lieu ici, avec des gens avec qui je n'étais pas d'accord et c'est ce que je viens chercher. Pour parler d'escalade (ou de pates à la violette) je viens pas ici.
Les relous qui viennent parler de sujets rances, ça m'ennuie. Savoir qu'un royaliste est proche d'un iranien, allez en parler ailleurs. Crée libertefr.org et va parler avec tes amis de sujets relous (mais qui t'ouvrent l'esprit j'ai bien compris).
Je me souviens qu'il y avait eu un grand débat ici sur les "nimages" (pour ceux qui s'en souviennent). Globalement, on était arrivé à la conclusion que ça avait rien à foutre là. Les nimages ont disparues et c'est bien. J'aimerai qu'on arrive à ce consensus.
[^] # Re: Faut t'habituer
Posté par octane . En réponse au journal Les LLM: Langueur, Lassitude et Morosité. Évalué à 9 (+7/-0).
Mais il y a 20 ans on avait metasploit avec db_autopwn, et les IA n'existaient pas, donc ça ne change pas grand chose
[^] # Re: Faut t'habituer
Posté par octane . En réponse au journal Les LLM: Langueur, Lassitude et Morosité. Évalué à 4 (+2/-0). Dernière modification le 09 juin 2026 à 23:12.
oui. Je les ai lu quand ils sont sortis. Je ne suis pas plus convaincu et je respecte beaucoup ces gars là. Et donc un LLM ça cause, ça sait répérer des trucs. Que ça trouve des vulns, ça ne m'étonne pas. Qu'on dise que l’apocalypse est à venir, j'y crois moins. Bagder disait quand même que le volume de slop est phénoménal, mais que quand un gars sait utiliser un outil, ça donne de bons trucs (mais juge t'on alors les capacités du gars ou les capacités de l'outil?)
Quand afl est sorti, il y avait quelques fanboys qui disaient que le problème de la sécurité informatique était réglé (spoiler: non). Ca n'empêche pas afl d'être un bon outil, des gars publient encore des amélios. Ok, gardons ça comme un outil dans un coin, servons nous en correctement.
L'IA n'est pas un NFT, je sais. Je parlais de la hype autour du projet, je sens les mêmes qualificatifs dithyrambiques pour l'IA, utilisés préalamblement pour les NFT. Certains sont hypés, je le suis de moins en moins. J'essaye de limiter un maximum les frictions pour pouvoir me passer de l'IA au cas ou, parceque je sens très fort le moment ou ça ne sera plus 20$ par mois en illimité :-/
Je ne veux pas jeter l'outil, je veux jeter superlatifs et les promesses hypothétiques. Mon argument c'est plutôt: "Bosse avec l'IA, fais des trucs, amuse toi, mais viens pas me péter les rouleaux en me disant que c'est la révolution".
Il est tard, je suis pas très clair, might delete later.
[^] # Re: Pour le gratin dauphinois
Posté par octane . En réponse au journal Les LLM: Langueur, Lassitude et Morosité. Évalué à 4 (+2/-0).
lol :D
spams, pubs, c'est la même chose :D
L'IA c'est vraiment trop nul, ouais!
les seuls qu'ont le droit d'être gourmands, ce sont les mangeurs de gratins dauphinois \o/
ouais, des fois je rêve de ce futur ou l'on nous prédisait un petit week-end sur les lunes de saturne (réf à Gaston).
https://www.youtube.com/watch?v=YH3c1QZzRK4
[^] # Re: tocard > /dev/null
Posté par octane . En réponse au journal "comment l'IA va impacter l'industrie cyber". Évalué à 2 (+0/-0).
il y a un transcript de la conf ici:
https://gist.github.com/arisada/8a5d2e823ce24f45809577d0eb24151e
(ce transcript a t'il été fait par IA? :) nous ne saurons pas)
[^] # Re: tocard > /dev/null
Posté par octane . En réponse au journal "comment l'IA va impacter l'industrie cyber". Évalué à 2 (+0/-0).
oui, c'est ce qu'il me semble aussi
pareil
carrément, sachons voir le positif :-)
[^] # Re: Pourquoi subir ça ?
Posté par octane . En réponse au journal "comment l'IA va impacter l'industrie cyber". Évalué à 2 (+0/-0).
j'étais en streaming…
J'aurai pu me lever, ça aurait pas changé grand chose :D
# image
Posté par octane . En réponse au journal "comment l'IA va impacter l'industrie cyber". Évalué à 2 (+0/-0).
ah zut il manque l'image elle est là sinon: https://imgur.com/a/41f0oK4
[^] # Re: J'préfère les chats
Posté par octane . En réponse au journal J'ai testé pour vous : le bark coding. Évalué à 8 (+6/-0).
sinon on peut écrire en lolcat :-)
https://en.wikipedia.org/wiki/LOLCODE
HAI 1.0
CAN HAS STDIO?
I HAS A VAR
IM IN YR LOOP
UP VAR!!1
VISIBLE VAR
IZ VAR BIGGER THAN 10? KTHX
IM OUTTA YR LOOP
KTHXBYE
[^] # Re: Proportion de petits projet solo ?
Posté par octane . En réponse au journal Audition de la direction de Mistral AI et Solo dev. Évalué à 3 (+1/-0).
intéressant, merci
[^] # Re: Proportion de petits projet solo ?
Posté par octane . En réponse au journal Audition de la direction de Mistral AI et Solo dev. Évalué à 5 (+3/-0).
Je serais curieux d'avoir ton avis sur le sujet. De nombreuses personnes (depuis ici sur linuxfr jusqu'à d'anciens employés sur des réseaux sociaux) avaient en effet annoncé une augmentation des pannes (il y en a eu quelques unes) jusqu'à un crash total qui n'a toujours pas eu lieu.
Je me demande si l'inertie seule explique cela. Il y a aussi peut-être le cash monumental qu'ont ces boites (et musk s'en fiche de perdre l'argent).
Et je ne parle pas de l'effet très pervers sur linkedin ou de nombreuses personnes encensent musk en mode: "il a raison de virer 80% des gens et faire cravacher les restants".
Bref, comment twitter tient encore debout?
[^] # Re: Pour être plus précis ...
Posté par octane . En réponse au journal Audition de la direction de Mistral AI et Solo dev. Évalué à 10 (+8/-0).
Oui, alors tu as un truc que tu comprends mal, qui marchotte plus ou moins. Et viendra toujours l'instant de la modif qui va tout péter et là, tu ne vas plus rien comprendre. Tu vas rollback, tu vas essayer de repartir sur la dernière base saine, mais comme c'est un framework que tu connais pas, tu n'y comprends rien. Comme c'est une base de code que tu connais pas non plus tu demandes à l'IA de t'aider (genre rééxplique moi le modèle du templating), l'IA va te répondre, tu ne sauras jamais si c'est vrai ou pas, donc retour au point 1 avec l'IA qui te ponds un code dont tu auras du mal à dire s'il est dégueulasse ou pas.
Paradoxalement je préfère encore prendre le projet en main, le connaître, puis demander à l'agent de faire un truc que je sais faire. Il va écrire le code, les tests, les messages de commit etc… et je peux le corriger au besoin.
Je me suis trop fait avoir avec la légende "si si claude comprends le code et il te fera le patch en vitesse, et si t'as un problème il va t'expliquer le code". Sur le court terme, peut-être que le patch va sortir. A moyen terme, ça pose des problèmes. A long terme, je veux fuir le projet et ne plus jamais y toucher :D
[^] # Re: Réponse aux critiques
Posté par octane . En réponse au journal NeoMeca. Évalué à 10 (+11/-0).
Ca me fait penser aux bots téléphoniques qui t'appellent, tu décroches et une voix te dite "patientez, un téléconseiller va bientôt vous parler". Genre bonhomme, tu crois que non seulement je vais écouter ton télémarketing pourri, mais qu'en plus je vais rester comme un âne à attendre que tu daignes me parler?!?!
[^] # Re: Ça a déjà disparu
Posté par octane . En réponse au lien La recherche Google telle qu'on la connaît va disparaître cet été. Évalué à 10 (+9/-0).
La qualité de google est en baisse (voire en chute libre), mais pire que ça, ce sont les site webs qui sont d'une qualité catastrophique :-(
Remplis de pubs, de paywalls, d'abonnements à la newsletter etc (oui, j'ai ublock origin mais il y a des pubs qui passent quand même). J'ai arrêté de chercher des recettes de cuisines car 99% des sites culinaires sont remplis de pubs, remplis d'IA SLOP, remplis de tout et n'importe quoi sauf la recette. J'en arrive à un point ou je me demande s'il existe encore des gens qui lisent simplement les sites. Et c'est pareil pour la majorité de mes centres d'intérêts. Je me rends compte que j'esquive google la majeure partie du temps car je sais que je n'aurai rien de pertinent.
Bref, l'openweb est mort, les blogs sont morts, la recherche est morte, youtube est mort, il nous reste quoi? mastodon? linuxfr? reddit? continuez les gars.
[^] # Re: En gros
Posté par octane . En réponse au lien Linus Torvalds says AI-powered bug hunters have made Linux security mailing list ‘almost entirely unmanageable’. Évalué à 8 (+6/-0).
en gros "faites quelque chose de constructif". Comme proposer un patch, ou autre.
J'avais lu une prez d'un triageur (ce mot existe?) de bug bounty. Il râlait sans fin contre les rapports auto. Genre un programme bounty ouvre, il se prend un pdf de 500 pages généré par nessus, avec le commentaire "y'a plein de vulns dans le rapport, faut donner le bounty maintenant". Il était fatigué.
J'ai l'impression que l'AI c'est la même chose puissance 10. Tout le monde veut son petit moment de gloire en ayant trouvé la vuln, soit pour l'estime de soi personnelle genre "yeah, j'ai aidé à corriger un bug qui allait provoquer la fin du monde sans moi", soit pour des sous (bounty ou marketing).
Après je trouve la position de Linux assez posée. Quel que soit l'outil, il faut une plus-value humaine, et une réflexion derrière. Il m'est arrivé de remonter des bugs, et clairement quand tu prends le temps de bien comprendre le bug, que tu proposes un bout de patch, et que tu donnes tes tests, tu es mieux reçu que quand tu postes à l'arrache dans une mailing list en mode "démerdez-vous".
[^] # Re: non
Posté par octane . En réponse au journal Un code généré par IA est-il obligatoirement du "AI slop" ?. Évalué à 5 (+3/-0).
oui, et quand l'IA te dit "y'avait un conflit, mais je l'ai résolu tout seul. Oui oui. Et là, tout est commit."
tu as toujours une petite goutte de sueur glacée qui coule dans le dos et c'est trèèèèès désagréable, surtout quand tu ne trouves rien d'obvious.
ouais, bah comme 1000 développeurs je me suis dit, "tiens je vais construire un mythos à moi et j'aurai plus aucune faille de sécu". Du coup, preprompt, prompt, écriture des findings, puis un deuxième agent qui repasse sur les findings pour les consolider/invalider, puis un autre qui va écrire des pocs, etc.. Au final, immensément de temps perdu pour finir sur des truismes du genre
"alors si tu réussis à bypass l'authentification de ton API alors un attaquant pourrait effectuer des actions normalement réservées à l'admin". Euh, oui?
Mais, vraie question, dans ce cas, il faut pas mieux écrire un test et de la doc? Plutôt que de renvoyer une requête analysée par un LLM qui risque d'halluciner un jour?
[^] # Re: "utilisation de l'IA"
Posté par octane . En réponse au journal Un code généré par IA est-il obligatoirement du "AI slop" ?. Évalué à 5 (+3/-0).
Pourquoi copier-coller quand on peut importer directement?
https://pypi.org/project/stackoverflow/
On pourrait aller encore plus loin, encore plus moderne \o/ importer les réponses des LLM directement! Faudrait que je vibe code un module python qui fasse le même genre de truc
La prochaine étape, c'est de vibe-coder un générateur de prompt pour aider à interroger les LLM afin d'obtenir des solutions.
(crâne qui explose)
# c'est pas nouveau?
Posté par octane . En réponse au lien Nouveau malware PamDOORA pour linux. Évalué à 4 (+2/-0).
J'ai l'impression de relire le même article tous les 6 mois avec un nouveau nom à chaque fois. On avait eu droit à PLAGUE, là c'est PamDOORA (l'exploratrice?).
Globalement, faut que l'attaquant soit root, ça se détecte avec l'intégrité de ton gestionnaire de paquet, mais si c'est installé, alors c'est grave.
voilà, voilà.
[^] # Re: Pendant ce temps
Posté par octane . En réponse au journal De développeur à orchestrateur, comment l'IA a changé ma vie. Évalué à 10 (+19/-0).
Je crois que l'IA est plutôt douée pour les tâches de niveau moyen. Ecrire un yaml? Ok. Pondre une fonction C qui va trier un tableau, ça va. Ecrire la doc d'un commit, oué, ça sait faire. Quand tu lui demandes d'améliorer un code que tu as optimisé avec amour pendant des heures, bah l'IA te sors un truc dégueulasse. Un truc un peu niche -> echec assuré. L'IA c'est du niveau moyen plus.
Je vais avoir une position extrêmement agressive : j'ai l'impression que les personnes qui sont le plus fascinées par l'IA sont des mauvais devs. Ils sont incapables de faire un truc propre, l'IA sort un machin vaguement moyen, ils disent que c'est génial, qu'ils n'auraient jamais pu faire mieux, plus vite, plus propre. Moi, ça m'inquiète.
D'un autre côté, je trouve aussi que c'est une bonne jauge : Par exemple, je trouve que l'IA écrit des très très bons scripts shells, très propre, et rapidement. Ca m'a permis de comprendre que je suis une buse complète en bash :D Il y a encore quelques domaines ou je trouve que l'IA est vraiment mauvaise, ça me rassure
[^] # Re: cut
Posté par octane . En réponse au message grepLittleLine.sh. Évalué à 2 (+0/-0).
dans un fichier minifié, tout est dans une seule ligne, et tu veux justement savoir s'il y a le truc qui t'intéresse.
# les histoires de Miod
Posté par octane . En réponse au journal Moi, Linuxfr et le SEO, et ... LA GLOIRE !!! Merci. Évalué à 3 (+0/-0).
J'ai découvert les histoires de Miod sur Mastodon et j'ai adoré. Super intéressant.
Il y a un truc qui me chipotait, et je viens de mettre le doigt dessus. Miod développe (-ait?) pour openBSD, système le + sécurisé au monde. Et ces histoires (elles sont géniales, allez les lire, vraiment) parlent entre autre de portabilité et de systèmes moins connus. Sauf que la portabilité, c'est NetBSD (ben oui). Et ma question, c'est pourquoi openBSD a cherché à être portable? Il cherche à être sécurisé, non? Du coup, je me demande ce qui pousse les devs à porter openBSD sur des archis exotiques (en tout cas ça nous fait des belles histoires à lire :) )
[^] # Re: Pourquoi donc ?
Posté par octane . En réponse au message Debian pour raspberry - Chiffrement du rootfs. Évalué à 4.
Dans le cas du raspberry, l'extraction du disque est super simple :-)
Bah je m'ajoute un user, j'ajoute un binaire suid, j'ajoute un reverse-shell dans une unit systemd, j'ajoute une clé SSH dans le /root/.ssh/authorized_keys (et tous les users aussi du coup, tiens), j'ajoute un backup automatique de la clé LUKS en clair lors du déverrouillage, j'ajoute l'envoi d'un email lors du rallumage du raspi, etc etc…
Puis j'attends que le raspi soit rallumé. Et j'accède aux données \o/
# pas forcément compris
Posté par octane . En réponse au message Debian pour raspberry - Chiffrement du rootfs. Évalué à 3.
J'ai pas forcément compris. Généralement, l'install d'un raspi de fait en dumpant une image toute faite sur une flash. Et ces installs ne sont pas chiffrées, donc pas de chiffrement de disque. Lorsqu'on veut chiffrer un disque, on utilise un installeur qui prévoit l'option durant l'install, avant formatage et copie des fichiers sur disque.
Je ne sais pas s'il y a un installeur pour raspi autre que des images disques toutes prêtes (mais je suis pas un expert).
Ensuite, j'utilise des raspis sans clavier ni écran. Et je ne chiffre pas les partitions pour cette raison: en cas de reboot, comment entrer le mot de passe de déchiffrement sans clavier?
[^] # Re: Présentation inversée
Posté par octane . En réponse au journal Alison Bechdel sur France culture. Évalué à 2.
Pour moi, PMA signifie Procréation Médicalement Assistée, donc j'ai eu beaucoup de mal à comprendre le test :D
Puis j'ai lu tes initiales et j'ai compris que c'était ta vision d'un test.
Pour le seigneur des anneaux, c'est surprenant, mais ok. Je me souviens de la scène du film
-"No man can defeat me!"
-"I am no man" (et bing!)
-"argelugheu" (couic….)
[^] # Re: La musique de démarrage des premières versions d'Ubuntu
Posté par octane . En réponse au lien Le « Wizz » de MSN, le son de Windows 95, un modem qui crépite… Ces bruits que nos enfants n'entendront sans doute jamais. Évalué à 6.
ça me rappelle un truc :D
http://neil.franklin.ch/Jokes_and_Fun/Linux_Quotes.html
"Whoa…I did a 'zcat /vmlinuz > /dev/audio' and I think I heard God…"
(mikecd on #Linux)
[^] # Re: ensemble
Posté par octane . En réponse au journal Les "fachos", fascistes, nazis et autres intolérants sont-ils tolérés sur linuxfr.org ?. Évalué à 8. Dernière modification le 25 février 2026 à 09:30.
position hasardeuse, j'espère que tu le conçois. Un relou, c'est relou. J'aime la diversité d'opinion, j'aimerai que ça reste au niveau de la liberté des licenses (d'ailleurs si je met ce commentaire en wtfpl c'est possible?), au niveau des logiciels (est-ce qu'il ne manquerait pas un AD pour que linux soit déployable en entreprise, et surtout plus qu'un AD, des GPO facilement déployables), au niveau des recettes de cuisine (non, on ne met pas de fromage rapé dans un gratin, vous avez aussi peu de goût qu'un anglais ou quoi?), ou encore au niveau des bronsonisations. J'ai beaucoup évolué sur les licenses et la différence entre libre et proprio suite à des discussions qui ont eu lieu ici, avec des gens avec qui je n'étais pas d'accord et c'est ce que je viens chercher. Pour parler d'escalade (ou de pates à la violette) je viens pas ici.
Les relous qui viennent parler de sujets rances, ça m'ennuie. Savoir qu'un royaliste est proche d'un iranien, allez en parler ailleurs. Crée libertefr.org et va parler avec tes amis de sujets relous (mais qui t'ouvrent l'esprit j'ai bien compris).
Je me souviens qu'il y avait eu un grand débat ici sur les "nimages" (pour ceux qui s'en souviennent). Globalement, on était arrivé à la conclusion que ça avait rien à foutre là. Les nimages ont disparues et c'est bien. J'aimerai qu'on arrive à ce consensus.