Mindwtr - Une app GTD libre qui tourne partout

Par : Korben ✨

8 juin 2026 à 09:41

Des apps de todo qui se réclament de la mouvance GTD , y'en a des centaines ! Mais des apps qui appliquent vraiment la méthode de David Allen de bout en bout, et qui en plus sont libres, locales, et qui tournent sur tous les OS, y'en a beaucoup moins.

Le développeur Dongdongbh en a sorti une nommée Mindwtr (prononcez "mind water", l'esprit clair comme l'eau... ^^), et je pense que ça va vous intéresser.

Alors comme d'hab, pour ceux qui débarquent (et ils sont légion, lol), l'idée de GTD c'est que votre cerveau est fait pour avoir des idées, mais pas fait pour les stocker. Donc le concept c'est de vider tout ce qui vous trotte dans la tête, de le trier, de l'organiser, et comme ça, vous saurez ensuite en permanence par quoi attaquer vos journées de ministre.

Capturer, clarifier, organiser, réviser, agir, ça se passe en 5 étapes, que Mindwtr suit à la lettre. Une tâche se note en moins de 2 secondes via un raccourci clavier ou l'icône système, même en pleine réunion. Ensuite une "inbox" vous permet de faire le tri (avec un coup de main d'une IA si vous voulez), puis tout s'organise en projets et contextes, une revue hebdo garde le système vivant, et enfin une vue Focus vous sort juste les prochaines actions selon l'endroit où vous êtes.

Et ça fonctionne sous Linux en Flatpak, AUR, dépôt APT et même RPM, Windows via Microsoft Store, Winget, Chocolatey ou Scoop, macOS sur l'App Store et Homebrew, iOS, Android sur le Play Store, F-Droid et IzzyOnDroid, plus une PWA web quand vous ne pouvez rien installer...

J'ai rarement vu un mec seul ratisser autant de surface niveau compatibilité.

Mais LE truc qui compte vraiment, c'est que tout reste chez vous.

C'est local-first, sans compte obligatoire et pour synchroniser tout ce bazar entre vos machines vous y branchez ce que vous voulez : WebDAV, votre propre serveur, un simple fichier, Dropbox ou iCloud. Petit piège honnête quand même, la sync Dropbox n'existe que sur les builds non-libres et iCloud uniquement sur les appareils Apple. Et sur la version 100% libre de Flathub ou F-Droid, vous synchronisez en WebDAV, par fichier local ou via votre propre serveur.

Rien de bloquant, mais autant le savoir avant de migrer dessus.

Pour les bidouilleurs, vous allez voir, je vais vous parler maintenant de la partie que je préfère.

Car Mindwtr expose une API REST (sur 127.0.0.1, port 3456, avec token), une CLI pour ajouter, lister et compléter vos tâches depuis le terminal, et un serveur MCP.

Traduction : Vous balancez tout le bordel que vous avez dans la tête via un prompt (que vous pouvez dicter dans la joie grâce à VoxDrop ) à un agent type Claude Code et hop, vos tâches atterrissent dans l'inbox sans que vous touchiez la souris.

L'IA intégrée tourne ensuite en BYOK (Bring Your Own Key), donc c'est à vous d'amener votre clé API, compatible OpenAI, Gemini, Claude ou un modèle local , comme ça vous gardez la main sur le modèle ET sur la facture.

Pour migrer, sachez également que l'app avale vos exports Todoist, OmniFocus, le format DGT GTD et vos vaults Obsidian , et elle ressort tout en JSON si vous voulez ensuite migrer dans l'autre sens.

Bref, si vous voulez appliquer GTD au sérieux sans louer votre cerveau à Todoist ou TickTick, ça vaut le coup d'œil. Le code est sur github.com/dongdongbh/Mindwtr .

Merci Jean pour l'info !

Numerama
Strava se branche directement sur Claude, mais snobe ChatGPT et Gemini
2 juin 2026 à 09:04

Strava se branche directement sur Claude, mais snobe ChatGPT et Gemini

Numerama

Par : Julien Cadot

2 juin 2026 à 09:04

Depuis le 1er juin, Strava propose à ses abonnés un connecteur MCP qui branche leurs données d'entraînement sportif directement sur Claude. Pratique sur le papier, frustrant en réalité : il faut être abonné, client d'Anthropic, et patient.

4sysops
MCP tool annotations: securing MCP servers against the lethal trifecta
29 mai 2026 à 23:29

MCP tool annotations: securing MCP servers against the lethal trifecta

4sysops

Par : IT Experts

29 mai 2026 à 23:29

MCP tool annotations help mitigate the lethal trifecta

Tool annotations in the Model Context Protocol (MCP) provide metadata hints that describe how tools behave, enabling AI clients to make informed decisions about safety, permissions, and user experience. Annotations also help AI systems understand whether a tool modifies data, operates destructively, or interacts with external systems. In the lethal trifecta problem—where agents have access to private data, untrusted content, and external connectivity-MCP annotations help improve the security of MCP servers.

Source

Korben
BadHost - Un caractère et votre agent IA passe à l'ennemi
28 mai 2026 à 12:51

BadHost - Un caractère et votre agent IA passe à l'ennemi

Korben

Par : Korben ✨

28 mai 2026 à 12:51

Les chercheurs de X41 D-Sec viennent de divulguer une faille critique baptisée BadHost (CVE-2026-48710) dans Starlette, le framework Python qui sert de fondation à FastAPI, vLLM , LiteLLM et une grande partie des serveurs MCP basés sur FastAPI.

325 millions de téléchargements par semaine, et il suffit d'injecter un seul caractère dans le header HTTP "Host" pour contourner les contrôles d'accès path-based qui lisent "request.url.path" dont autant dire que beaucoup de déploiements d'agents IA en production tournent en ce moment avec une porte d'entrée très mal verrouillée.

Le proof of concept publié par OSTIF donne ceci :

curl -i -H 'Host: foo' http://target/admin # 403, bloqué
curl -i -H 'Host: foo?' http://target/admin # 200, ça passe !!

Et c'est tout ! Un simple point d'interrogation collé au Host header, et l'endpoint "/admin" qui jusqu'alors filtrait les non-authentifiés s'ouvre alors aussi facilement que le claque-merde de mes haters ^^.

Donc si votre infra utilise FastAPI, vLLM ou LiteLLM exposés directement en ASGI (uvicorn, hypercorn, granian) sans reverse proxy strict devant, vous pouvez tester votre exposition immédiatement grâce au scanner de BadHost développé par Nemesis et X41 D-Sec.

Niveau mécanique, Starlette reconstruit l'objet "request.url" en concaténant la valeur du header "Host" avec le path de la requête, puis re-parse le tout. Sauf que la valeur de "Host" n'est jamais validée donc si vous y injectez un "/", un "?" ou un "#", vous décalez la frontière entre path, query et fragment au moment du re-parse.

Du coup, le routeur Starlette dispatche sur le vrai path de la requête HTTP (donc votre endpoint sensible s'exécute bien), mais les middlewares qui lisent "request.url.path" voient simplement un path empoisonné qui ne correspond plus à rien d'interdit.

Donc le contrôle d'accès saute et le code derrière tourne quand même. On est sur un score CVSS de 7/10 et la boite de sécu Secwest estime même que cette note est largement sous-estimée... En gros c'est super grave !

Car la portée réelle ce sont surtout les serveurs MCP qui peuvent stocker ou manipuler des tokens et identifiants pour accéder aux ressources externes auxquelles les agents IA se connectent : bases de données, comptes mail, calendriers, S3, webhooks...etc

Bref, le genre de "coffre-fort" que vous ne voulez pas voir ouvert via un header HTTP à la con malformé. Markus Vervier de X41 D-Sec a même publié un petit échantillon de ce que leurs scanners ont déjà trouvé en production : Des bases de données d'essais cliniques chez des biopharmas, des données de vérification d'identité avec PII en temps réel, des accès SSH à des équipements industriels via bastion, des boites mails complètes en lecture/écriture, des listes de souscripteurs CMS, des topologies AWS complètes avec metric queries.

Bref, l'écosystème agents IA vient de passer en mode naturiste !

Pour régler ce problème, vous devez donc mettre à jour vers Starlette 1.0.1 ou supérieur, dans tous vos déploiements LLM qui l'intègrent... Et là c'est le bordel parce qu'il y en a partout : Dans les images Docker, les virtualenvs et les artefacts "vendorisés" un peu partout... Donc faut tout rebuilder.

Et si vous avez du code custom, l'OSTIF recommande aussi de remplacer request.url.path par request.scope["path"] partout où une décision de sécurité est prise.

En gros, lire la valeur non reconstruite est le "fix" qui survivra aux prochaines versions du bug, parce que croyez-moi, ça reviendra à coup sûr !

Maintenant, côté infra, X41 D-Sec et OSTIF indiquent que nginx, Apache httpd et Cloudflare rejettent le PoC par défaut, mais ça ne doit pas vous empêcher de vérifier votre config. Donc ne traitez votre reverse proxy comme une mitigation qu'après l'avoir testé explicitement avec le scanner Nemesis.

Au-delà du correctif technique, BadHost rappelle une mécanique qu'on a déjà vue avec la faille RCE de llama-cpp-python à savoir que la chaîne d'approvisionnement de l'IA ne tient que sur quelques mainteneurs bénévoles qui prennent des risques personnels énormes pour patcher proprement.

Kludex, le mainteneur de Starlette, est actuellement sous une avalanche de reports depuis des mois. L'audit qui a permis de trouver le bug a par ailleurs été financé par OSTIF et AWS et sans ça, BadHost serait encore probablement dans la nature pour un an voire plus avant d'être découvert plus naturellement.

Donc si votre boîte fait tourner du LLM en prod via FastAPI, vLLM ou LiteLLM, vous avez aujourd'hui 2 choses urgentes à faire : 1/ passer votre infra dans le scanner Nemesis, et 2/ envoyer un petit don à Kludex pour le soutenir !

Sources : Ars Technica , OSTIF

Vue normale