Des utilisateurs de Claude Desktop sont en train de découvrir que l'application d'Anthropic se permet d'aller bidouiller les réglages de plusieurs navigateurs, y compris ceux qui ne sont pas installés sur la machine.
L'idée est simple, c'est pré-configurer l'accès pour que, le jour où vous installeriez Chrome, Firefox ou Edge, Claude puisse directement automatiser votre navigation sans avoir à redemander la permission.
Sur le papier, ça part d'une intention louable. Éviter de vous ennuyer avec un prompt de permission à chaque installation, pourquoi pas. Sauf que voilà, personne n'a demandé à ce que Claude Desktop touche aux navigateurs absents, et encore moins à ceux que l'utilisateur a délibérément choisi de ne pas avoir.
On a par exemple un chercheur en sécurité qui n'avait jamais installé la moindre extension Anthropic, qui s'est retrouvé avec toutes ces préconfigurations silencieuses, selon The Register.
Le problème devient plus sérieux quand on regarde comment ça marche.
L'application pont qui fait le lien entre Claude et les navigateurs tourne hors du sandbox navigateur, avec les privilèges complets de l'utilisateur. Ce qui veut dire qu'elle peut lire vos pages, remplir vos formulaires, capturer l'écran sur des sessions authentifiées, bref agir comme vous, sans aucune boîte de dialogue qui vienne prévenir ou demander confirmation.
Côté Anthropic, silence radio. On imagine bien que l'argument défensif sera qu'il s'agit juste de préparer le terrain pour Computer Use, la fonctionnalité qui permet à Claude d'utiliser votre PC comme un humain.
Sauf qu'installer des hooks dans des navigateurs absents ressemble quand même plutôt du squatting de permissions qu'à une préparation technique légitime.
Ce qui est rageant dans cette histoire, c'est qu'Anthropic se positionne depuis des mois comme l'acteur "sérieux" de l'IA, celui qui fait des papiers d'alignement et parle éthique à longueur de blog posts. Voir leur app desktop se comporter comme un logiciel de 2005 qui colle Ask Toolbar sans prévenir, c'est un camouflet côté image.
Pour les entreprises qui regardent si elles peuvent déployer Claude Desktop en flotte, ce genre de comportement va clairement peser dans la balance sécurité, et pas dans le bon sens.
Bref, on est là sur une histoire de permissions qui n'aurait jamais dû exister sur un produit d'une boîte qui se présente comme le pro de la sécurité IA.
La 0.17.3 de GAIA, le framework open-source d'AMD pour faire tourner des agents IA en local sur puces Ryzen AI, débarque avec une fonction assez attendue. Vous pouvez désormais exporter vos agents personnalisés et les réimporter sur une autre machine en quelques clics.
Très concrètement, vous packagez vos agents dans un installeur GAIA custom, et au premier lancement sur la nouvelle machine, tout est déjà là, pré-configuré, directement prêt à tourner. Sous Windows, AMD a particulièrement bossé le sujet, pour qu'un seul fichier d'install suffise à tout transporter, même les prompts systèmes.
C'est le genre de détail qui paraît anodin mais qui change la donne quand vous configurez une flotte de PC ou que vous voulez juste refiler votre setup à un collègue sans passer deux heures à tout reconfigurer. La version embarque aussi quelques changements côté sécurité qui méritent qu'on s'y arrête.
Le cache RAG, qui stockait ses données via Pickle (la sérialisation native de Python connue pour être un gros vecteur d'attaque), passe désormais en JSON avec signature HMAC-SHA256.
En clair, plus de risque de voir un agent partagé déclencher du code arbitraire à l'ouverture du cache. Pour un framework pensé justement pour faire circuler des agents entre machines, c'était quand même devenu intenable de rester sur Pickle.
La bibliothèque C++ préserve maintenant les URLs compatibles OpenAI, ce qui permet aux agents de taper sur des back-ends d'inférence alternatifs sans perdre la config au moment du transfert.
Et la gestion documentaire a été revue pour que les agents qui traitent des fichiers s'en sortent mieux avec les PDF, Word et autres formats structurés. Bref, AMD continue de solidifier GAIA version après version plutôt que de sortir des gros coups marketing.
Petit rappel pour ceux qui découvrent : GAIA tourne en local, sur votre matos Ryzen AI, sans dépendance cloud. Vous construisez vos agents, ils fonctionnent chez vous, et absolument personne ne voit passer vos requêtes ni vos documents.
C'est clairement une approche à contre-courant de ce que font OpenAI et consorts, et ça colle avec la stratégie d'AMD de pousser l'IA embarquée sur les PC plutôt que de laisser Microsoft et Nvidia se partager le gâteau du silicium IA. Pour les développeurs qui bricolent déjà avec GAIA, la 0.17.3 est dispo dès maintenant sur le GitHub du projet.
L'import/export d'agents, c'est ce qui manquait pour que des agents GAIA custom circulent dans la communauté. Affaire à suivre.
TRELLIS est un modèle IA capable, à partir d'un texte ou d'une image tout ce qu'il y a de plus normal, de générer un modèle en 3D. C'est développé par Microsoft Research et c'est assez génial. D'ailleurs j'en avait parlé
en février dernier
quand la bête ne tournait encore que sur des cartes NVIDIA.
Sauf que voilà, ça ne fonctionnait pas sur Apple Silicon, mais uniquement sur les machines compatibles CUDA. Enfin, jusqu'à aujourd'hui, puisque grâce au développeur Shivam Kumar,
on dispose maintenant d'un portage
pour les architectures Apple via PyTorch MPS.
Pour que ça passe côté Metal, Shivam a dû identifier les opérations CUDA qui bloquaient, puis les remplacer une par une. Comptez environ 3 minutes et demie sur un M4 Pro pour générer un mesh depuis une image. Le temps d'aller se chercher un café et de revenir, quoi.
Il vous faudra un Mac Apple Silicon avec au moins 24 Go de mémoire unifiée, et 15 Go de stockage pour les poids du modèle (soit à peu près la taille d'un gros jeu AAA). L'installation passe par un setup.sh fourni dans le repo, mais il faut d'abord un compte HuggingFace validé pour accéder aux dépendances.
En sortie, vous obtenez alors un mesh de 400 000 vertex et plus, exportable en OBJ ou GLB, donc utilisable directement dans Blender, un moteur de jeu ou votre slicer d'impression 3D. Une subtilité à retenir quand même, la version Mac se limite pour l'instant à l'image-to-3D, le text-to-3D du modèle original n'est pas encore connecté. Et les couleurs arrivent sous forme de vertex colors, pas de texture maps à l'ancienne. Perso, j'aurais préféré avoir les textures, mais bon, c'est déjà énorme d'avoir le pipeline qui tourne sans GPU NVIDIA.
Côté usages concrets, ça dépanne bien pour mocker des assets en prototypage, générer un proxy 3D à partir d'une photo pour tester un éclairage, ou poser rapidement une base éditable dans Blender. Y'a aussi
Meshy 6
et
Hunyuan de Tencent
dans la catégorie image-to-3D si TRELLIS-Mac demande trop à votre machine.
Si ça vous intéresse, ce portage est sur GitHub en licence MIT. Si vous avez un Mac qui tient la charge, franchement ça vaut le coup de tester.
Dans l'espace, le corps des astronautes est soumis à rude épreuve. Et malgré ses capacités d'adaptation, le cerveau resterait extrêmement confus après plusieurs mois sans gravité, au point que cela pourrait avoir des conséquences sur les missions spatiales à venir.
Jack Reacher n'est visiblement pas près de poser son sac à dos. Alors que les fans attendent avec impatience la quatrième saison de Reacher prévue pour 2026, des sources internes révèlent qu'Amazon travaille déjà activement sur une cinquième saison. Une preuve supplémentaire de la confiance aveugle du studio envers son colosse.
Un ancien développeur de Naughty Dog ayant travaillé sur The Last of Us a révélé plusieurs détails issus d'une conversation avec Neil Druckmann, le créateur de la série. Des détails qui pourraient donner quelques indices sur la direction que prendra le futur épisode.
L'ancien dirigeant d’un partenaire clé de Donut Lab accuse la startup d’avoir largement survendu sa technologie. Une plainte a été déposée en Finlande. Cette nouvelle polémique s’ajoute à une série de démonstrations déjà jugées peu convaincantes.
Ubisoft a donné rendez-vous le jeudi 23 avril 2026 pour la présentation mondiale du remake Assassin's Creed Black Flag Resynced. Un secret de polichinelle, assumé par un troll.
Remote Desktop Protocol (RDP) has supported extensibility through virtual channels for decades, but the modern approach—dynamic virtual channels (DVCs)—is what you need today, especially in cloud environments like Azure Virtual Desktop and Windows 365. This article explains what DVCs are, how they differ from the older static model, how a plugin is structured and registered, and how to get started with Microsoft's newly released sample repository.
Apple a annoncé que Tim Cook quittera la direction générale le 1er septembre pour devenir président du conseil d’administration, laissant sa place à John Ternus, l'actuel responsable de l'ingénierie matérielle du groupe.
Selon le leaker KeplerL2, la prochaine console de Microsoft ne comporterait aucune personnalisation côté GPU, une décision qui confirme un peu plus la trajectoire de Project Helix vers un appareil hybride à mi-chemin entre la console et le PC.
Ce matin en buvant mon café, je suis tombé sur un dépôt qui m'a fait tiquer et j'aimerai prendre quelques minutes pour vous en parler. Ça s'appelle
Open Slopware
, c'est hébergé sur Codeberg, et ça recense tous les projets open source qui ont eu le "malheur" de laisser l'IA s'approcher de leur code.
En fait, c'est une grande liste organisée par types de reproches, allant du projet qui autorise les contributions faites avec des LLM, à celui qui intègre une fonctionnalité IA, en passant par ceux qui acceptent du sponsoring d'entreprises IA ou qui ont un bot qui répond aux issues. Plus de 100 projets sont épinglés pour le moment, avec à chaque fois une alternative "AI-free" proposée. Forkée après que le repo original ait été supprimé par son créateur, la version actuelle est aujourd'hui maintenue par un collectif baptisé "small-hack".
Dans cette liste, on retrouve par exemple rsync, cet outil que j'utilise depuis bientôt 20 ans pour synchroniser mes backups et autres joyeusetés. Et l'unique grief qu'on les anti-IA contre Rsync, c'est qu'ils ont trouvé 2 contribs Claude Code dans leur dépôt. Autrement dit, rsync autorise ses contributeurs à utiliser des LLM, à condition que ce soit documenté et transparent. C'est ça, leur crime. C'est pas du code pourri, c'est pas une faille injectée par un vibe coder pressé à 3h du mat'... Non, ce qui vaut à Rsync d'être qualifié de slopware, c'est juste une politique d'ouverture explicite.
Perso, je trouve ça sain d'avoir une politique qui encadre l'usage de l'IA, même si je sais que je vais me faire allumer ^^. Parce que soyons réalistes 2 secondes, aucun mainteneur de projet libre ne peut empêcher un contributeur de balancer un patch généré par Claude ou ChatGPT. Ce qu'il peut faire, par contre, c'est exiger que ce soit déclaré. Rsync a choisi cette voie. Godot Engine aussi. Comme ça, plutôt que d'avoir des gens qui se planquent pour pousser du code IA en douce, on a un cadre clair où chacun annonce la couleur.
Je pense qu'interdire pousse à cacher, alors qu'autoriser avec des règles strictes et claires permet de filtrer et de ne garder que le meilleur. C'est pas sorcier.
Ces projets posent des règles, des process, des obligations de déclaration. Bref, ils prennent en compte le monde réel, celui où les contributeurs utilisent déjà ces outils tous les jours, au lieu de s'enfermer dans des fantasmes utopistes qui voudraient qu'on revienne à la compilation à la bougie. Et en retour, ils se font malheureusement coller une étiquette de slopware par des randoms anonymes.
Alors qu'on ait des réserves sur l'IA, je le comprends totalement mais je trouve ça regrettable de venir chier dans les bottes des seuls qui essaient de poser un cadre. C'est tellement à côté de la plaque.
Le vrai slop les amis, il est ailleurs, dans les
repos vite faits balancés sur GitHub
par des gens qui n'ont jamais touché au code qu'ils publient. Pas chez rsync.
Et puis faut voir concrètement ce qu'il vous faudrait remplacer pour respecter leur doctrine. Un clone buggy de Rsync ? Un retour à tar ou à un client FTP des années 2000 ? Bon courage pour synchroniser 300 Go de photos avec ça sans que votre NAS chauffe tout le salon.
Pour Godot, il faudra migrer vers Pandemonium Engine, qui est un chouette fork mais maintenu quasi-exclusivement par une seule personne. Quand à Firefox ? Là c'est carrément open bar, puisque le projet est affiché à la fois pour sa politique de contribution et pour ses fonctionnalités IA intégrées. Du coup bon courage pour trouver un navigateur moderne qui n'ait pas touché à l'IA d'une manière ou d'une autre.
Et leur liste est sans fin puisqu'elle embarque aussi le noyau Linux, WordPress, Vim, Neovim et VS Code, histoire de bien finir le boulot.
Ils auraient plus vite fait de lister des projets garantis sans IA, ça consommerait moins de bande passante ^^, parce que là, ceux qu'ils balancent, c'est ceux qui ont communiqué sur le sujet mais allez savoir combien sont les projets "vertueux garantis sans LLM" dont les dev maquillent le code que l'IA leur a sorti.
Je tiens à rappeler quand même que le mot slop, à la base, désigne du contenu IA généré à la chaîne sans aucun contrôle humain. Coller cette étiquette sur des projets vieux de trente ans qui font juste évoluer leurs règles de contribution, c'est soit de la paresse intellectuelle, soit un procès d'intention. Et les mainteneurs ont beau préciser que leur liste n'est pas un outil de harcèlement, une fois qu'un projet est publiquement classé comme slopware, le mal est fait.
Ces projets, on les a quand même tous utilisés, souvent pendant des années, sans jamais rien donner en échange, ni un rond, ni une issue. Rsync a sauvé la vie à des millions d'admins sys qui n'ont jamais poussé la moindre ligne de code en retour. Firefox a tenu le web ouvert pendant vingt ans pendant qu'on migrait tous sur Chrome sans rien leur donner. Le noyau Linux fait tourner la moitié d'Internet. Les voir se faire taper dessus par des gens qui, dans leur grande majorité, n'ont jamais contribué non plus, juste parce qu'ils ont adapté leurs règles de contrib au monde actuel, je trouve ça assez irrespectueux en fait.
C'est facile de gueuler comme un putois sur les joueurs, quand on est en haut, bien au chaud dans les gradins.
Et visiblement, je suis loin d'être le seul à le ressentir comme ça. Plusieurs développeurs épinglés dans la liste ont publiquement parlé de chasse aux sorcières, et l'ambiance est tellement devenue toxique que l'auteur original du dépôt a fini par le supprimer après avoir reçu une avalanche de harcèlement des deux bords. Seth Larson, security developer-in-residence à la Python Software Foundation, a publié en février un billet intitulé Automated public shaming of open source maintainers, où il dénonce le shaming systématisé des bénévoles qui osent poser des règles sur l'IA. Et côté politiques officielles, Debian vient de passer 2 mois à débattre de l'acceptation des contributions IA pour finalement ne pas trancher, pendant que Gentoo et QEMU choisissaient l'interdiction pure et la Linux Foundation l'autorisation encadrée.
Bref, tout le monde tâtonne, personne n'a LA bonne réponse, et ça n'empêche pas Open Slopware de distribuer les mauvaises notes avec l'assurance d'un inspecteur du fisc.
Après, si vous avez pleiiiin de temps libre et que vous voulez reconstruire votre stack de A à Z autour de projets qui refusent tout contact avec des LLM, cette liste vous aidera à vivre selon votre religion. Mais retirer Rsync de sa boîte à outils parce qu'ils ont validé des contribs utiles poussées par un humain assisté par Claude Code, perso, je trouve ça un peu sévère.
Bref, les projets libres s'adaptent, comme ils l'ont toujours fait et les qualifier de slop parce qu'ils évoluent, je trouve ça moche.
Le nouveau Mozilla Firefox 150 apporte plusieurs nouveautés, notamment au sein du lecteur PDF, de la vue scindée, ou encore de la gestion des accès au réseau.
Vous avez l'habitude de publier des pages sur le web avec Notion ? Sachez que n'importe qui peut récupérer des informations personnelles sur les éditeurs.
Connexion
