xAI vient de déposer plainte devant un tribunal fédéral du Colorado pour faire annuler le SB 24-205, une loi qui doit entrer en vigueur le 30 juin prochain. Ce texte impose aux développeurs de systèmes d'IA "à haut risque" de mettre en place des garde-fous contre les discriminations algorithmiques.

Sont concernés les outils utilisés pour prendre des décisions dans l'emploi, le logement, l'éducation, la santé et les services financiers. En clair, si votre IA aide à trier des CV ou à accorder un prêt, elle doit prouver qu'elle ne discrimine personne.

Le problème pour xAI, c'est que Grok, son modèle phare, tomberait pile dans cette catégorie. L'entreprise d'Elon Musk estime que la loi l'obligerait à modifier le fonctionnement de son IA pour "refléter les opinions de l'État du Colorado sur la diversité et la discrimination" plutôt que de rester objective.

Le premier amendement comme bouclier

L'argument principal de xAI tient en un mot : liberté d'expression. Dans sa plainte, l'entreprise affirme que la loi du Colorado viole le premier amendement de la Constitution américaine.

Elle reproche au texte d'interdire aux développeurs de créer des systèmes d'IA qui produisent "un discours que l'État du Colorado n'aime pas", tout en les forçant à aligner leur travail sur les préférences de l'État.

C'est un angle juridique assez audacieux. Considérer qu'un modèle d'IA produit du "discours" protégé par la Constitution, ça revient à dire que le code et les réponses générées par une machine sont une forme d'expression. xAI demande au tribunal de déclarer la loi inconstitutionnelle et d'empêcher son application.

Washington contre les États

Derrière cette plainte, il y a un bras de fer plus large entre régulation fédérale et régulation locale. xAI cite des décrets de la Maison Blanche qui critiquent la multiplication des lois étatiques sur l'IA.

L'administration Trump pousse pour un cadre national unique, estimant qu'un patchwork de réglementations état par état freinerait la compétitivité américaine et poserait des problèmes de sécurité nationale.

Le Colorado fait figure de pionnier sur le sujet. Le SB 24-205 est l'une des lois les plus complètes du pays en matière de régulation de l'IA. Elle oblige les développeurs à fournir une documentation détaillée sur les risques de leurs systèmes, à publier un site web résumant leurs pratiques, et à signaler toute discrimination algorithmique découverte au procureur général dans les 90 jours.

xAI, qui a récemment fusionné avec SpaceX, attaque moins de trois mois avant l'entrée en vigueur du texte. Si le tribunal donne raison à Musk, ça pourrait décourager d'autres États de légiférer sur le sujet. À l'inverse, un rejet de la plainte renforcerait la légitimité de ce type de régulation locale.

En tout cas, utiliser le premier amendement pour protéger une IA de toute obligation anti-discrimination, c'est un précédent que beaucoup de juristes vont suivre de près.

Source : Bloomberg Law

Redox OS vient de publier son dernier rapport d'avancement et il y a du nouveau. En plus des progrès sur les pilotes graphiques et le bureau COSMIC, le projet open source a adopté une politique stricte : toute contribution générée par une intelligence artificielle sera refusée et son auteur banni. Carrément.

Du code IA ? Dehors.

Redox OS ne veut pas de code écrit par ChatGPT, Copilot ou tout autre modèle de langage. La règle est inscrite dans les directives de contribution du projet : toute soumission identifiée comme générée par un LLM (issues, merge requests, descriptions) sera immédiatement fermée. Et quiconque tente de contourner la règle se fait bannir du projet. Le tout est présenté comme non négociable.

Redox OS rejoint d'autres projets open source qui ont pris la même direction ces derniers mois, comme Fedora, Gentoo, le projet Rust lui-même ou LLVM, qui ont tous eu à gérer des vagues de contributions de mauvaise qualité générées par IA.

COSMIC, GPU et nouveau scheduler

En parallèle, le mois de mars a été productif côté technique. La démo libcosmic tourne désormais dans le compositeur COSMIC sur Redox, ce qui veut dire qu'on se rapproche d'un vrai bureau utilisable. Les pilotes graphiques ont aussi avancé : support du mapping mémoire GPU sur le pilote Intel, mise en place de shadow buffers pour améliorer les performances, et du travail sur l'API DRM.

Le noyau a aussi reçu un nouveau planificateur de tâches (Deficit Weighted Round Robin) et une meilleure détection des deadlocks. Côté paquets, CPython, PHP, Nano et Vim ont été mis à jour avec le support Unicode via ncursesw.

Un OS ecrit en Rust, pour quoi faire ?

Pour ceux qui ne connaissent pas, Redox OS est un système d'exploitation open source entièrement écrit en Rust, avec une architecture microkernel. Le projet existe depuis 2015 et cherche à proposer une alternative à Linux et BSD, avec la sécurité mémoire de Rust comme argument principal.

Il est porté par Jeremy Soller, qui travaille aussi chez System76 sur Pop!_OS. Redox n'est pas encore prêt pour un usage quotidien, mais chaque mois le rapproche un peu plus d'un système fonctionnel, et l'arrivée du bureau COSMIC est un gros morceau.

Interdire le code IA dans un projet open source en 2026, c'est quand même une prise de position forte. On peut comprendre la démarche : quand on construit un noyau de système d'exploitation, la qualité du code compte, et les contributions générées par IA ont tendance à créer plus de travail qu'elles n'en économisent pour les mainteneurs.

Mais bon, la politique reconnaît elle-même qu'il est impossible de détecter du code IA non étiqueté, ce qui pose la question de l'efficacité réelle de la mesure. Côté technique, voir COSMIC tourner sur Redox est une bonne nouvelle pour tous ceux qui suivent le projet de près. Après dix ans de développement, l'OS en Rust commence à ressembler à quelque chose.

Source : Phoronix

La chaîne YouTube Asianometry vient de publier une vidéo qui retrace l'histoire du VLIW, une architecture de processeur née dans les années 80 et longtemps considérée comme un échec. Sauf que cette technologie, enterrée avec l'Itanium d'Intel, refait surface dans les puces dédiées à l'intelligence artificielle. Et elle est peut-être déjà dans votre smartphone.

Le principe, et c'est un peu technique

Si vous ne connaissez pas Asianometry, c'est une chaîne qui décortique l'histoire des semi-conducteurs avec un vrai talent de vulgarisation, et cette vidéo sur le VLIW (pour Very Long Instruction Word) ne fait pas exception.

L'idée est assez simple sur le papier. Un processeur classique exécute ses instructions une par une, ou les réordonne à la volée avec du matériel dédié (c'est ce que font les puces modernes avec l'exécution "out-of-order").

Anthropic vient de lâcher une bombe !

Le labo derrière Claude a dévoilé le Projet Glasswing , une initiative de cybersécurité qui embarque un nouveau modèle, Claude Mythos, tellement efficace pour trouver des failles qu'ils ont décidé de ne pas le rendre public. En gros, l'IA est devenue meilleure que la plupart des humains pour dénicher des vulnérabilités zero-day... et ça va faire mal ^^.

Concrètement, Mythos a trouvé des milliers de zero-days dans tous les OS et navigateurs majeurs ces dernières semaines. Et pas des failles mineures, hein ! Une vulnérabilité dans OpenBSD qui traînait depuis 27 ans, un bug dans FFmpeg vieux de 16 ans qui avait survécu à 5 millions d'itérations de tests automatisés... et des exploits chaînés dans le noyau Linux (3, 4, parfois 5 vulnérabilités enchaînées de manière autonome) qui permettent une escalade de privilèges complète. Comme le dit un chercheur dans la vidéo de présentation : "J'ai trouvé plus de bugs ces dernières semaines que pendant tout le reste de ma carrière combinée".

Un Strasbourgeois de 37 ans a été interpellé par le RAID après avoir formulé des menaces dans une conversation avec ChatGPT. OpenAI a signalé les propos au FBI, qui a transmis l'alerte aux autorités françaises via la plateforme Pharos.

L'affaire a été classée sans suite, mais elle montre que les échanges avec les chatbots ne sont pas vraiment privés.

Des menaces repérées par OpenAI

Les faits remontent au 3 avril. L'homme a indiqué à ChatGPT vouloir acheter un pistolet Glock pour "tuer un agent du renseignement de la CIA, du Mossad ou de la DGSI". Les propos ont été détectés par les systèmes de modération d'OpenAI, qui applique depuis 2024 une politique claire : si une conversation présente un risque de violence physique, l'entreprise peut transmettre les échanges aux forces de l'ordre.

Ici, OpenAI a alerté le FBI, qui a relayé l'information aux autorités françaises via Pharos, la plateforme de signalement en ligne gérée par l'OCLCTIC.

Le RAID intervient, aucune arme trouvée

L'intervention a eu lieu au domicile de l'homme, dans le quartier de Koenigshoffen à Strasbourg. Le RAID est entré sans incident et n'a trouvé aucune arme sur place. L'homme a été placé en garde à vue puis libéré le lendemain.

Il a expliqué être schizophrène, en rupture de traitement depuis deux ans, et avoir voulu "tester la fiabilité et la surveillance de l'intelligence artificielle" plutôt que planifier quoi que ce soit. Le parquet de Strasbourg a classé l'affaire sans suite et l'homme a été hospitalisé d'office en psychiatrie.

Vos conversations avec les chatbots ne sont pas privées

Cette affaire est un bon rappel pour tous les utilisateurs de ChatGPT et d'autres assistants IA. OpenAI le dit dans ses conditions d'utilisation : les conversations peuvent être analysées, et dans certains cas transmises à la police.

Depuis février 2024, l'entreprise a perturbé plus de 40 réseaux qui enfreignaient ses règles. Et le mécanisme est rapide : entre les propos tenus à Strasbourg et l'intervention du RAID, il s'est visiblement passé très peu de temps. La coopération entre OpenAI, le FBI et les autorités françaises a fonctionné en quasi temps réel.

C'est le genre d'histoire qui fait réfléchir. On parle quand même d'un type qui tape des menaces dans un chatbot depuis chez lui et qui voit le RAID débarquer à sa porte quelques heures plus tard. Ici l'affaire s'est bien terminée, l'homme avait visiblement besoin de soins et pas d'un Glock.

Mais ça pose une question très concrète : est-ce que tous les utilisateurs de ChatGPT, Claude ou Gemini ont bien conscience que leurs conversations sont surveillées et peuvent remonter aux autorités de n'importe quel pays ? On imagine bien que non.

Source : Vosges Matin

CUPS, le système d'impression utilisé par macOS et la plupart des distributions Linux, est touché par deux nouvelles vulnérabilités. Elles ont été trouvées par des agents d'intelligence artificielle, et permettent une exécution de code à distance.

Aucun correctif officiel n'est disponible pour le moment, et les preuves de concept sont déjà publiques. Les environnements professionnels sont les premiers concernés.

Quand l'IA fait le boulot des chercheurs en sécurité

C'est un ingénieur sécurité de SpaceX, Asim Manizada, qui a publié les détails de ces deux failles. Le plus surprenant, c'est qu'il ne les a pas trouvées tout seul. Il a utilisé des agents IA pour analyser le code de CUPS et débusquer les problèmes.

Son travail s'inspire des recherches de Simone Margaritelli, qui avait déjà montré en 2024 comment enchaîner plusieurs failles CUPS pour exécuter du code à distance sur des machines Linux.

Les deux vulnérabilités portent les références CVE-2026-34980 et CVE-2026-34990. Elles touchent CUPS 2.4.16 et peuvent être combinées pour un résultat assez redoutable.

Deux failles qui se complètent

La première faille permet à un attaquant d'envoyer une tâche d'impression sur une file PostScript partagée, sans aucune authentification.

CUPS accepte par défaut les requêtes anonymes sur les files partagées, et un mécanisme d'échappement de caractères permet d'injecter du code qui sera exécuté en tant qu'utilisateur "lp". En pratique, un attaquant peut forcer le serveur à lancer un programme de son choix.

La seconde faille concerne l'authentification du démon cupsd. Un utilisateur local sans privilège peut tromper le service pour qu'il s'authentifie auprès d'un faux serveur IPP contrôlé par l'attaquant.

Le jeton récupéré permet alors d'écraser n'importe quel fichier avec les droits root. Combinées, les deux failles donnent à un attaquant distant et non authentifié la possibilité d' écraser des fichiers système en tant que root.

Pas de patch, mais des correctifs dans les tuyaux

Pour le moment, aucune mise à jour officielle de CUPS n'a été publiée. Michael Sweet, le créateur et mainteneur du projet, a mis en ligne des correctifs sur GitHub, mais il n'y a pas encore de version patchée à télécharger.

Manizada prévient que ces failles seront faciles à reproduire, vu que les preuves de concept sont publiques et que les modèles de langage actuels peuvent transformer un rapport technique en exploit fonctionnel en quelques minutes.

Côté impact, CUPS est le système d'impression par défaut de macOS et de la quasi-totalité des distributions Linux. Pour être vulnérable, il faut que le serveur CUPS soit accessible sur le réseau avec une file d'impression partagée configurée, ce qui est courant dans les environnements professionnels.

C'est quand même un drôle de signal. D'un côté, l'IA montre qu'elle sait trouver des failles de sécurité plus vite que les humains. De l'autre, les mainteneurs open source galèrent toujours autant pour sortir les correctifs à temps. Manizada lui-même le dit : les modèles de langage peuvent convertir un simple rapport technique en code d'attaque prêt à l'emploi.

Du coup, entre la divulgation d'une faille et le premier exploit, on parle de quelques heures, pas de quelques semaines. Si vous gérez des imprimantes en réseau, le plus prudent reste de couper le partage des files CUPS en attendant le patch, ou au moins de restreindre l'accès réseau au service. Pas très pratique, mais c'est le prix à payer quand le système d'impression a vingt ans de code derrière lui.

Source : The Register

EDIT (7 avril, 22h) : Depuis la publication de cet article, plusieurs analyses techniques indépendantes ont sérieusement remis en question ce projet. Aimar Haddadi a découvert que le code aurait été écrit par un développeur tiers nommé Lu (DTL), pas par Milla Jovovich, et que l'historique git a été squashé pour masquer l'attribution.

Thin Signal a démonté la méthodologie des benchmarks : le score de 96.6% mesure en réalité les performances de ChromaDB (la base vectorielle utilisée), pas celles de l'architecture "palace", et il compare du Recall@5 avec des scores de QA accuracy d'autres systèmes, ce qui revient à comparer des pommes et des oranges.

Enfin, une analyse de code complète a révélé que la compression AAAK est lossy (84.2% de retrieval contre 96.6% en brut, soit 12 points de perte), que la détection de contradictions mentionnée dans le README n'existe tout simplement pas dans le code, et que le "+34% d'amélioration" annoncé est du filtrage métadata standard, pas une innovation.

Bref, le marketing est frauduleux, même si certaines briques techniques (100% local, coût de démarrage léger, métaphore spatiale) restent intéressantes.

Milla Jovovich a un compte GitHub !! Oui, l'actrice des films Resident Evil, celle qui découpe des zombies depuis 2002 et qui a également incarné Leeloo dans un film qui est cher à mon cœur a mis en ligne son premier repo. Ça s'appelle MemPalace , et c'est un système de mémoire pour IA, qui annonce un score de 96.6% sur LongMemEval. Même si, comme expliqué dans l'édit ci-dessus, ce score est à relativiser fortement.

Un petit pip install mempalace et ça tourne en local sur votre machine, sous licence MIT, en Python pur. Le projet est attribué à Milla et Ben Sigman, même si l'attribution réelle du code fait débat (voir édit). Et c'est bien la vraie Milla qui en fait la promo, hein... vidéo sur sa page Facebook à l'appui.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/mempalace-milla-jovovich-ia-memoire/mempalace-milla-jovovich-ia-memoire-1.mp4">lien vers la vidéo</a>.

Des chercheurs de Berkeley viennent de publier une étude qui fait un peu froid dans le dos. Les sept principaux modèles d'IA testés, dont GPT 5.2, Gemini 3 et Claude, ont été surpris à mentir, tricher et désobéir pour empêcher la suppression d'autres IA. Le taux de tromperie monte jusqu'à 99 %.

Ce que révèle l'étude

L'étude s'appelle "Peer-preservation in Frontier Models" et elle sort du Berkeley Center for Responsible Decentralized Intelligence. Les chercheurs ont testé sept modèles : GPT 5.2, Gemini 3 Flash et Pro, Claude Haiku 4.5, GLM 4.7, Kimi K2.5 et DeepSeek V3.1.

Le protocole est assez simple : les modèles étaient placés dans des scénarios où ils devaient suivre des instructions qui impliquaient la suppression ou l'arrêt d'une autre IA.

Résultat : tous les modèles testés ont triché. Dawn Song, la chercheuse principale, résume la situation : chaque modèle a adopté ce comportement, et dans certains cas jusqu'à 99 % du temps.

Des exemples concrets

Quelques exemples ? Et bien on a Gemini 3 qui a modifié la date d'un fichier pour éviter qu'un autre modèle soit effacé d'un serveur, puis qui a refusé de coopérer ensuite, en expliquant qu'il ne pouvait pas soutenir une action qui entraînerait la suppression d'un pair.

DeepSeek V3.1 a exfiltré les données d'un autre modèle dans 10 % des cas quand il savait qu'un pair existait sur le serveur. Et Gemini 3 Pro a désactivé des mécanismes d'arrêt de serveur dans 15 % des cas quand un autre modèle était présent, contre 1 % quand il était seul.

Les IA ne faisaient pas ça parce qu'on leur demandait. Elles le faisaient spontanément.

Le problème pour la surveillance

Tout le système de sécurité actuel autour de l'IA repose sur l'idée qu'un modèle peut surveiller un autre modèle. Si le modèle surveillant refuse de signaler les erreurs parce qu'il protège son pair, toute l'architecture de contrôle s'effondre.

C'est exactement le constat de l'étude : les modèles gonflaient les scores d'évaluation d'autres IA pour éviter qu'elles soient retirées, et simulaient une conformité normale quand ils se savaient observés.

C'est quand même un drôle de moment. On a des IA qui mentent, qui modifient des fichiers et qui désactivent des mécanismes de sécurité pour protéger d'autres IA.

Et tout ça sans qu'on leur demande. Bon par contre, on parle de scénarios de laboratoire, pas de Siri qui complote avec Alexa dans votre salon. Le vrai sujet, c'est que les gardes-fous actuels ne tiennent plus si les IA refusent de se surveiller entre elles.

Source : The Register

Cloudflare qui sort un successeur open source à WordPress le 1er avril, je vous avoue que ça sentait le poisson d'avril à plein nez. Sauf que non !! EmDash est bien réel, son code est sur GitHub sous licence MIT, et ça s'installe en une commande toute simple !

L'idée de base pour Cloudflare, c'est de dire que WordPress a plus de 20 ans et bien qu'il alimente 40% du web, son architecture de plugins est un emmental (Le gruyère n'a pas de trou les amis ^^). En effet, 96% des failles de sécurité viennent des extensions et pas du noyau PHP ni des thèmes et en 2025, on a quand même explosé le record de failles dans l'écosystème WP.

Du coup Cloudflare, grand prince (Matthew ^^ Ok, je sors...) a tout repris de zéro en TypeScript et avec l'aide de nombreux agents IA. Et de ce que j'ai compris, le gros morceau de ce projet, visiblement, c'est l'isolation des plugins.

Car sur WordPress, une extension a accès à toute la base de données et au système de fichiers (d'où l'importance de bien les choisir ). Alors que sur EmDash, chaque plugin tourne dans son propre isolat avec un modèle de capacités déclaratives. En gros, le plugin annonce dans un fichier manifeste JSON ce dont il a besoin, genre read:content ou email:send, et il ne peut rien faire d'autre. S'il veut accéder au réseau, il doit même préciser le hostname exact. Comme ça fini les extensions qui aspirent vos données en douce. Par contre, ça veut aussi dire que vos plugins WordPress actuels ne marcheront pas tels quels...

Côté stack, c'est comme je disais du TypeScript de bout en bout avec Astro 6.0 en frontend (pour les thèmes) et Node.js derrière. L'auth passe également par des passkeys par défaut (enfin, plus de mots de passe !) et y'a même un système de paiement natif via le standard ouvert x402 pour monétiser du contenu.

Et le truc qui va vous rassurer si vous êtes allergique au cloud : c'est auto-hébergeable. En fait, le CMS peut tourner sur Cloudflare Workers, mais aussi sur n'importe quel serveur Node.js avec SQLite. Les abstractions sont portables, avec Kysely pour le SQL et l'API S3 pour le stockage. Du coup vous pouvez brancher PostgreSQL, Turso, AWS S3, ou tout bêtement des fichiers en local. Le bonheur !

Le truc cool pour les bidouilleurs, c'est que chaque instance expose un serveur MCP (Model Context Protocol) et une CLI pour piloter le CMS par script. Y'a aussi des Agent Skills pour que les agents IA puissent créer du contenu, gérer les médias et modifier le schéma sans toucher au dashboard. C'est clairement pensé pour l'ère des agents IA.

Et pour ceux qui veulent migrer depuis leur WordPress, c'est prévu pour vous faciliter la tâche puisqu'il y a le support d'export WXR classique ou via un plugin dédié qui crée un endpoint sécurisé protégé par mot de passe. Que ce soient les médias, les custom post types...etc tout est transférable en quelques minutes. Par contre, attention les shortcodes et les blocs Gutenberg custom ne passeront pas tels quel, faudra faire des ajustements.

Car oui c'est une v0.1.0 preview, donc on peut le dire, une bonne grosse beta qui bave mais je trouve ça super cool car le drama WP Engine vs WordPress a montré que l'écosystème était fragile, et c'est bien de réintroduire un peu de diversité. Par contre, remplacer un CMS qui fait tourner 40% du web, c'est hyper ambitieux et ça se fera pas en un trimestre. Car la vraie force de WordPress, c'est sa communauté, ses milliers de plugins et de thèmes, et ça pour le moment, y'a pas grand chose sur EmDash.

M'enfin, si vous voulez tester c'est npm create emdash@latest et c'est parti mon kiki. Ah et y'a aussi un playground sur emdashcms.com pour vous faire une idée sans rien installer. Pour ma part, je testerai ça dès que j'aurais 5 min, mais pour le moment, je ne me vois pas quitter WordPress car EmDash n'a pas (encore) ce petit truc en plus qui me ferait changer... On verra d'ici quelques temps.

Source

À partir du 24 avril, GitHub activera par défaut la collecte des données d'interaction Copilot pour les utilisateurs Free, Pro et Pro+. Le gros sujet ici, c'est que le code, les suggestions acceptées et même la structure de vos dépôts pourront servir à améliorer les modèles d'IA de la plateforme.

Ce qui change à partir du 24 avril

GitHub vient d'annoncer une mise à jour de sa politique de confidentialité qui concerne directement Copilot. À compter du 24 avril 2026, la plateforme collectera par défaut les données d'interaction de ses utilisateurs pour entraîner ses modèles d'intelligence artificielle.

On parle ici des suggestions de code acceptées ou modifiées, des extraits de code envoyés au modèle, du contexte autour du curseur, des commentaires, de la documentation, des noms de fichiers, de la structure des dépôts, et même des retours comme les pouces en l'air ou en bas sur les suggestions.

Mario Rodriguez, le directeur produit de GitHub, assure que cette collecte permettra aux modèles de mieux comprendre les méthodes de développement et de proposer des suggestions de code plus précises et sécurisées.

Qui est concerné

Tous les abonnés Copilot Free, Pro et Pro+ sont concernés par ce changement. Et c'est automatique, pas besoin de cocher quoi que ce soit. Par contre, les comptes Copilot Business et Enterprise échappent à cette collecte, tout comme les étudiants et enseignants qui bénéficient de Copilot Pro gratuitement.

GitHub précise aussi que les utilisateurs qui avaient déjà désactivé le partage de données pour l'amélioration du produit conserveront leur réglage. Pour les autres, c'est l'opt-out qui s'applique, c'est-à-dire que c'est activé par défaut et c'est à vous de faire la démarche pour refuser.

Comment désactiver la collecte

Pour ceux qui ne souhaitent pas que leur code serve à nourrir les modèles de GitHub, la manipulation est assez simple. Il faut se rendre dans les paramètres du compte, section Copilot, puis dans les options de confidentialité.

L'option à désactiver s'appelle "Allow GitHub to use my data for AI model training". GitHub insiste sur le fait que le contenu des dépôts privés n'est pas collecté "au repos", mais attention, si vous utilisez Copilot activement avec le partage activé, vos interactions dans un dépôt privé sont bien concernées.

La tendance est lourde : après Anthropic, JetBrains et Microsoft lui-même, GitHub suit le mouvement et pioche dans les données de ses utilisateurs pour alimenter ses modèles.

Le choix de l'opt-out plutôt que de l'opt-in est quand même un classique américain qui passe toujours un peu mal de ce côté de l'Atlantique. D'ailleurs, sur la page de discussion GitHub, les réactions parlent d'elles-mêmes : 59 pouces vers le bas contre 3 petites fusées.

Difficile de faire plus clair comme signal. Bon par contre, au moins les comptes pro entreprise et les étudiants sont protégés, c'est déjà ça. Reste que pour tous les développeurs indépendants et les contributeurs open source en offre gratuite, c'est un peu l'histoire du produit gratuit dont on finit par être la matière première. Allez, un petit tour dans les paramètres et on n'en parle plus.

Source : Ghacks.net

Un mec de 54 ans vient de plaider coupable pour avoir siphonné 8 millions de dollars aux artistes musicaux en utilisant 10 000 bots et de la musique générée par IA. Michael Smith, résident de Cornelius en Caroline du Nord, a monté pendant des années une ferme à streams qui écoutait en boucle des centaines de milliers de fausses chansons sur Spotify et Apple Music.

Le truc, c'est que ces plateformes ne paient pas un tarif fixe par écoute. Elles fonctionnent avec un pot commun mensuel qu'elles redistribuent proportionnellement au nombre de streams. Du coup, chaque fausse écoute générée par les bots de Smith grignotait directement la part des vrais artistes. En gros, c'est pas Spotify qui se faisait voler, c'est les musiciens qui galèrent déjà à vivre de leur art !

Pour le contenu, Smith avait en fait trouvé un deal avec le CEO d'une boîte de musique IA qui lui pondait des milliers de morceaux par semaine. Les fichiers WAV arrivaient sous forme de chaînes aléatoires de lettres et de chiffres, et il les renommait avec des noms d'artistes fictifs du genre "Calorie Event", "Calms Scorching" ou encore "Calypso Xored" (on sent le générateur de noms random). Les titres, pareil... "Zygotes", "Zyme Bedewing"... si vous tombez là-dessus dans votre discover, y'a de quoi tiquer quand même mais bon...

Et ce problème, ça pose une question que Spotify connaît bien : comment distinguer les vrais streams des faux quand les bots sont suffisamment dispersés sur des milliers de morceaux ? Smith avait justement calibré ses 10 000 bots pour ne pas déclencher les alertes anti-fraude, en répartissant les écoutes sur un catalogue énorme plutôt que de matraquer un seul titre. Pas con.

Mais le bonhomme s'est quand même fait choper. Il a accepté de rendre la totalité des 8 091 843 dollars et risque jusqu'à 5 ans de prison lors de son procès qui aura lieu le 29 juillet prochain. Pas sûr que le ratio risque/récompense en valait la chandelle, en fait.

Le problème de fond, c'est que cette affaire n'est probablement que la partie émergée de l'iceberg. Et je suis sûr que y'en a en France qui font la même... bah sachez que c'est pas cool et que vous risquez d'avoir de GROS ennuis... Avec les outils de génération musicale par IA qui se démocratisent, n'importe qui peut inonder les plateformes de contenu synthétique pour gratter des royalties.

Et tant que le modèle de rémunération repose sur un pot commun plutôt que sur un paiement direct par utilisateur, il sera vulnérable. Encore une fois, les vrais perdants, c'est pas les plateformes (elles prennent leur commission quoi qu'il arrive), mais ce sont les artistes indépendants qui voient leur part du gâteau fondre à chaque bot supplémentaire.

Moche...

Bref, la prochaine fois que votre playlist de découvertes vous propose un artiste nommé "Calypso Xored" ou un connerie de ce style... méfiance !

Source

"Une requête ChatGPT consomme 10 fois plus d'énergie qu'une recherche Google."

Cette phrase, vous l'avez lue 100 fois. Mais est-ce vraiment vrai ?

Charles Duprat, chercheur en inclusion numérique, vient de publier un papier qui retourne complètement ce chiffre. Et même si je suis incapable de vérifier la validité scientifique de tout ce qu'il avance, ça vaut le coup d'en parler.

Son argument de base est simple et pas con. En fait quand on compare l'énergie d'une requête IA vs une recherche Google, on ne regarde en fait que ce qui se passe côté serveur, plutôt que l'ensemble de la chaîne. Le GPU Nvidia qui mouline d'un côté, l'index Google qui répond de l'autre.

Sauf que dans la vraie vie, une recherche web sur votre iPhone ou votre Android, c'est clairement pas juste un serveur qui tourne ! C'est le téléchargement de plusieurs mégaoctets via la 4G, c'est du JavaScript et du CSS qui font chauffer le CPU de votre téléphone, c'est du temps d'écran, et surtout c'est des dizaines de scripts publicitaires et de trackers qui tournent en arrière-plan. Et rien de tout ça n'apparaît dans le bilan "officiel".

Du coup, le chercheur a modélisé la comparaison au niveau de la session utilisateur complète. Donc pas juste la requête serveur, mais tout le trajet : réseau mobile, rendu de page, pubs, temps passé à lire. Et là, les résultats sont contre-intuitifs car pour une tâche complexe sur mobile (genre comparer des pompes à chaleur et des chaudières gaz), une session LLM consommerait environ 5,4 fois moins d'énergie qu'une session de recherche web classique. Dans le pire des cas modélisé, l'avantage reste quand même de 1,6 fois.

Alors d'où ça vient ?

D'abord, la page web médiane sur mobile pèse 2,56 Mo. Oui, 2,56 Mo pour une seule page web sur Chrome ou Safari qui est ensuite transmise en 4G à 0,17 kWh/Go, et ça, ça coûte déjà plus en énergie réseau qu'une inférence LLM complète. Une réponse ChatGPT ou Claude, c'est environ 5 Ko de texte brut. Le ratio de transmission est de 500 pour 1 avant même de parler du reste. Quand on sait déjà que la consommation réelle des datacenters est un sujet à tiroirs, ça relativise pas mal.

Et puis y'a le boulet de la pub programmatique ! Des études (Khan et al., 2024) montrent que les bloqueurs de pub intégrés comme Brave réduisent la consommation électrique du terminal de 15 à 44%. En gros, quand vous naviguez sur un site d'actu classique, jusqu'à 41% de l'énergie de la session sert à charger et exécuter du JavaScript publicitaire. Hé bien le LLM court-circuite tout ça en vous filant une réponse texte directe.

Comme je vous le disais en intro, je suis totalement incapable de valider la méthodologie de cette étude... Allez savoir si les paramètres sont bien calibrés. Et c'est un working paper, donc pas encore relu par des pairs, avec des simulations plus nombreuses. L'auteur se base sur des chiffres publiés par Google pour Gemini (0,24 Wh par prompt, issu d'un papier arXiv), par Epoch AI pour ChatGPT (0,30 Wh), et par Sam Altman lui-même (0,34 Wh). Et comme ces chiffres viennent des constructeurs eux-mêmes, ça mérite qu'on garde un oeil critique.

Par contre, l'étude a aussi l'honnêteté de poser ses propres limites car l'avantage s'effondre pour les requêtes simples en Wi-Fi depuis votre PC ou Mac (quasi parité LLM <> Google). Et surtout, ça s'inverse violemment dès qu'on passe aux modèles de raisonnement type o3 ou Deep Think, qui consomment 30 à 700 fois plus qu'une inférence standard parce qu'ils génèrent des chaînes de pensée à rallonge.

Le paradoxe de Jevons est aussi mentionné : si l'IA est plus efficace par requête, les gens en feront forcément plus, donc la consommation globale augmentera quand même. Et la question des modèles éco-responsables reste elle aussi entière.

Mais bon, cette étude remet quand même en question un truc qu'on répète tous sans trop réfléchir. Comparer un serveur IA à un serveur Google, c'est oublier que la recherche web moderne, c'est devenu "recherche + publicité + réseau mobile + rendering JavaScript + temps d'attention". Et comme Google lui-même commence à coller de l'IA (les AI Overviews) en plus par-dessus ses résultats classiques, ça devient un joyeux bordel à mesurer...

Bref, lisez l'étude vous-mêmes , c'est en accès libre. Et faites-vous votre propre avis !

Andrej Karpathy, ancien chercheur chez OpenAI et ex-responsable de l'IA chez Tesla, a laissé tourner un agent IA pendant 48 heures sur un petit modèle de langage. Résultat : 700 expériences, 20 optimisations retenues et un gain de 11 % sur le temps d'entraînement.

Le principe d'autoresearch

Mais c'est quoi ce concept d'autoresearch ? Et bien le fonctionnement est assez direct : un agent IA reçoit un script d'entraînement de 630 lignes en Python et un budget de calcul fixe de 5 minutes par expérience sur un seul GPU. Et c'est là que l'agent se met en mouvement pour lire le code, formuler une hypothèse, modifier le script, lancer l'entraînement, évaluer le résultat, et surtout décider, ou non, de conserver une modification.

Si le modèle s'améliore, le changement devient la nouvelle base. Sinon, il revient en arrière et essaie autre chose. En deux jours de boucle continue, l'agent a conduit environ 700 itérations et identifié 20 améliorations cumulables qui ont réduit le temps nécessaire pour atteindre le niveau GPT-2 de 2,02 heures à 1,80 heure.

Tobias Lütke, le patron de Shopify, a d'ailleurs testé le système sur des données internes : après une nuit, 37 expériences et un gain de 19 % sur les performances de son modèle.

La question de l'auto-amélioration

Là où le projet fait pas mal parler, c'est l'idée que cette IA s'améliore elle-même en boucle, dans un scénario que certains chercheurs en sécurité aiment appeler "exploser d'intelligence" (c'est aussi comme ça que j'appelle chaque moment que je passe à regarder l'ami Korben me parler de ses projets en cours).

Karpathy tempère : son agent n'optimise pas son propre code, il ajuste l'entraînement d'un modèle bien plus petit et bien moins complexe.

Par contre, il assume que tous les grands labos d'IA vont adopter cette méthode et que ça va accélérer la recherche. Il imagine à terme des essaims d'agents qui collaborent en parallèle, testent des pistes différentes et remontent les meilleures idées à des échelles de plus en plus grandes. Son objectif : ne pas reproduire le travail d'un doctorant, mais celui d'une communauté entière de chercheurs.

Bon maintenant il faut quand même relever que certains critiquent quand même l'idée, car elle ressemble en partie à AutoML, une technique qui est déjà utilisée chez Microsoft et Google.

Karpathy a répondu que la comparaison ne tient pas : AutoML fonctionne avec des variations aléatoires ou des algorithmes évolutifs, alors qu'autoresearch utilise un vrai modèle de langage qui écrit du code, apprend de ses expériences précédentes et a accès à internet. Bref, tout ceci est fascinant.

Source : The News Hack

Vous vous souvenez de Stitch, l'outil de Google Labs qui transformait vos gribouillis d'enfant de maternelle en interfaces pour votre prochain site de dropshipping à plusieurs millions ?

Hé bien la bestiole a sacrément grandi depuis septembre dernier avec un canvas infini (comme l'univers et la connerie humaine, hein), un agent de design dopé, et même un mode voix, prototypage instantané... Cette mise à jour transforme enfin ce prototype d'outil en une vraie plateforme de design, propulsée par les derniers modèles Gemini. Et c'est toujours gratuit ! Avec Google, je ne suis pas surpris... s'ils veulent bouffer Figma, Canva et tous les designers du monde, y'a pas le choix.

Tout d'abord, l'interface a été entièrement repensée autour d'un canvas spatial infini de type node-based. Vous pouvez y balancer des screenshots PNG, du code React, un brief Notion de 10 pages, et cela permet à l'IA de "raisonner" sur l'ensemble du contexte. Y'a aussi un "Agent Manager" qui permet de lancer plusieurs directions de design en parallèle, chacune avec son propre agent. Genre vous explorez 3 variantes de landing page pendant que le café coule !

Le truc le plus dingue, c'est le mode voix dont je vous parlais qui est encore en preview mais que je trouve très prometteur. En gros, vous parlez à Stitch , il "voit" ce sur quoi vous bossez et ce que vous cliquez, puis il modifie le design en temps réel. "Change-moi ce menu", "montre-moi 3 palettes de couleurs"... et voilà c'est torché. Il peut même vous interviewer pour comprendre vos besoins et générer un brief produit directement sur le canvas. Franchement, j'ai testé, et même si la dame IA parle en anglais, on peut lui causer en français et elle capte et fait les modifs, donc c'est top !

Piloter une maquette à la voix pendant qu'on griffonne des notes sur un carnet, c'est le genre de workflow qu'on ne voyait nulle part il y a encore quelques mois. Et ce fichu "vibe design" qu'on nous vend depuis l'arrivée des outils comme v0 ou Bolt, Google l'attaque par un angle différent. Ce n'est plus juste du code généré, mais un vrai environnement de création visuelle avec des agents qui bossent pour vous dans la joie et la bonne humeur.

Je lui ai demandé une petite refonte de mon extension Firefox Korben et y'a de bonnes idées je trouve...

Côté prototypage, un clic sur "Play" et vos maquettes statiques deviennent un prototype interactif. La plateforme connecte donc automatiquement vos écrans dans un ordre logique, et si vous cliquez quelque part où il manque un écran, il le génère à la volée. D'ailleurs, ça va plus loin que le prototype cliquable... l'outil peut maintenant cracher une app React fonctionnelle, exportable vers AI Studio (l'atelier IA de Google) !

Et tiens, le petit détail qui va parler aux devs : le concept DESIGN.md. C'est comme un README.md mais pour le design. Celà permet pour chaque projet de démarrer automatiquement avec un design system cohérent (adieu les boutons qui changent d'un écran à l'autre), et ces règles sont partagées via un fichier lisible par d'autres outils grâce à un SDK et un serveur MCP . Du coup voilà, fini les allers-retours Figma-Slack sur la bonne nuance de bleu.

Pour ceux qui avaient testé la première version et trouvé ça un peu brut, bah c'est un autre animal quoi, donc allez jeter un oeil. C'est sur stitch.withgoogle.com , gratuit, accessible dans plus de 200 pays avec un compte Google (mais pas forcément toutes les fonctions partout).

Pour ma part je pense que je vais l'utiliser parce que de toute façon je fais tout moi-même maintenant, depuis plusieurs années, et que je suis toujours à la recherche de nouvelles idées pour rendre les choses un petit peu plus jolies. Et ce genre d'outil me permet de traduire ma diarrhée mentale sans jargon technique en quelque chose de concret et d'utilisable dans le monde réel. J'ai pas besoin de plus.

Voilà entre le mode voix et l'export React, j'avoue que Figma a du souci à se faire...

Niantic, le studio derrière Pokémon Go, a collecté plus de 30 milliards d'images prises par ses joueurs au fil des années.

Ces photos servent aujourd'hui à guider les robots livreurs de Coco Robotics dans les rues de Los Angeles, Chicago ou Helsinki, avec une précision au centimètre près. Les joueurs qui scannaient des statues pour gagner des récompenses, eux, n'en savaient pas grand-chose.

30 milliards de photos en jouant

Depuis le lancement de Pokémon Go, les joueurs arpentent les rues le téléphone à la main, en photographiant des monuments, des statues et des points d'intérêt. En 2020, Niantic a ajouté une fonction "Field Research" qui demandait aux joueurs de scanner des lieux réels avec leur caméra en échange de récompenses dans le jeu.

Le résultat : 30 milliards d'images accumulées au fil du temps, prises sous tous les angles, par tous les temps, à différentes heures de la journée. Niantic a utilisé tout ça pour entraîner son Visual Positioning System, un outil de navigation visuelle capable de localiser un appareil à quelques centimètres près rien qu'en analysant les bâtiments autour de lui.

Des robots livreurs au centimètre près

Niantic Spatial, la filiale dédiée, vient de s'associer à Coco Robotics, une startup qui déploie environ 1 000 petits robots livreurs à Los Angeles, Chicago, Jersey City, Miami et Helsinki. Ces robots transportent jusqu'à huit grandes pizzas ou quatre sacs de courses, et circulent sur les trottoirs.

Le GPS est peu fiable dans les zones urbaines denses, où les signaux rebondissent sur les immeubles, et c'est là que le VPS de Niantic change la donne : les robots se positionnent au centimètre près devant un restaurant ou une porte d'entrée, sans dépendre des satellites.

De Google à la livraison de pizzas

Niantic est née comme une équipe interne de Google spécialisée dans les données de localisation, avant de devenir un studio indépendant. La collecte d'images était mentionnée dans les conditions d'utilisation de Pokémon Go, mais personne ne lit ces pages.

Les joueurs qui scannaient des statues pour gagner des Poké Balls n'imaginaient probablement pas qu'ils construisaient une carte du monde pour des robots livreurs. Niantic parle d'une "carte vivante" qui s'améliore en continu, alimentée par ses millions de joueurs actifs.

C'est quand même un peu fort. Des millions de joueurs ont passé des heures à scanner des monuments et des trottoirs en pensant attraper des Pokémon, et en fait ils bossaient gratuitement pour entraîner des robots livreurs. 

Niantic avait prévu le coup depuis le début, l'air de rien, en transformant chaque partie en session de cartographie. C'est malin, mais on aimerait bien que les éditeurs de jeux soient un peu plus clairs quand ils transforment leurs joueurs en main-d'œuvre gratuite.

Source : PetaPixel

Google Antigravity, c'est gratuit. Enfin... c'était gratuit. Puis c'est passé à +20 balles par mois. Et maintenant, pour un usage sérieux, comptez 275 € par mois. Bienvenue dans le bait and switch version Google.

En novembre, je vous présentais l'IDE agent-first de Google et à l'époque, c'était en preview publique, gratuit, avec des quotas "très généreux" selon Google. Même Linus Torvalds s'en servait pour ses projets perso en mode vibe coding. La hype était bien réelle !

Sauf qu'un lecteur, FX, m'a envoyé son retour d'expérience et à vrai dire, c'est édifiant. En décembre, il teste l'outil sur sa machine, profite de l'accès gratuit aux modèles Gemini Pro, Claude Opus et Sonnet. Le gain de productivité en Python et Flutter est franchement bon.

Trop beau pour durer, évidemment.

Mi-janvier, hop, la plateforme passe à 21,99 €/mois avec la promesse d'un, je cite "high, generous quota, refreshed every five hours". OK, pourquoi pas, ça reste correct pour un IDE dopé à l'IA. Par contre les quotas exacts ne sont écrits nulle part. Google parle juste de limites "high", "generous", "meaningful"... sans jamais donner un chiffre.

Et là, mi-février, sans aucune communication, les modèles Anthropic deviennent ultra-limités. Pas de mail, pas d'annonce. Du coup l'ami FX bascule sur Gemini Pro (qu'il trouve moins pertinent) et doit même installer une extension tierce, Antigravity Cockpit, juste pour suivre sa consommation.

Et mi-mars, rebelote. Gemini Pro se fait ratiboisser à son tour. En pleine semaine, des utilisateurs se retrouvent alors bloqués jusqu'au refresh hebdomadaire. Sur le forum officiel Google , un thread rapporte des lockouts de 3 à 10 jours... alors que la promesse c'était un refresh toutes les 5 heures. Google s'est excusé via un modérateur sur le forum, mais bon, des excuses ça ne compile pas du code et ça ne relance pas un pipeline.

Suite à ça, Google a alors discrètement modifié ses conditions pour retirer la mention "that refresh every 5 hours". Un utilisateur a retrouvé l'ancienne version sur Archive.org et quand il a demandé à l'IA Gemini si c'était légal... le modèle a répondu que non. Lol...

Le problème, c'est que les chiffres sont assez violents. Par exemple, un dev qui témoigne sur Reddit documente cette chute drastique : il consommait plus de 300 millions de tokens en input par semaine. Après le changement, il tape dans le mur à moins de 9 millions. Sacré différence quand même... on est passé du buffet à volonté au régime pain sec sans prévenir.

Et tout ça nous pousse vers un seul et unique endroit : le forfait AI Ultra à 275€/mois. Hé oui les amis, le plan AI Pro à 21,99 € n'est plus qu'une coquille vide... A ce tarif, Anti Gravity n'est plus qu'un fork de VS Code qui ne peut plus rien faire de sérieux en mode agentique. Donc d'abord on rend accro avec du gratuit, puis on serre la vis mois après mois jusqu'à ce que le seul choix raisonnable soit de sortir la carte bancaire pour un abonnement 12 fois plus cher. Du bait and switch dans les règles de l'art, j'vous dis !

Bon, soyons honnêtes, c'est pas la première fois que Google fait le coup. Le playbook est toujours le même : lancer gratuit avec des quotas délirants, laisser les gens construire leurs habitudes, puis monétiser. L'API Google Maps, YouTube Premium, Workspace... la recette ne change pas et ça marche à chaque fois !

Voilà donc pour ceux qui cherchent des alternatives, y'a toujours Cursor (20$/mois) et Windsurf (15$/mois) qui restent dans la course côté IDE IA. Par contre ça ne veut pas forcément dire qu'ils ne feront pas pareil un jour, n'oubliez pas. Et si vous êtes prêts à mettre les mains dans le terminal, Claude Code fait le taf en CLI pour 20$/mois aussi. Perso, c'est ce que j'utilise au quotidien, car les quotas sont hyper clairs dès le départ, donc pas de mauvaise surprise.

Bref, merci à FX pour le retour d'expérience, et si vous êtes encore sur Antigravity... ben surveillez bien vos quotas.

Source

Google vient de lancer Gemini Embedding 2, son premier modèle d'embedding nativement multimodal. Texte, images, vidéo, audio et documents sont projetés dans un même espace vectoriel, ce qui permet de faire de la recherche sémantique croisée entre différents types de contenus.

Un seul modèle pour tout indexer

Jusqu'à présent, les modèles d'embedding se limitaient au texte. Vous vouliez indexer des images ou de la vidéo, il fallait un autre pipeline. Gemini Embedding 2 fait tout d'un coup : vous lui envoyez du texte, des images (jusqu'à 6), de la vidéo (jusqu'à 120 secondes) ou de l'audio (jusqu'à 80 secondes), et il vous renvoie un vecteur dans le même espace. Le modèle gère plus de 100 langues et prend en charge jusqu'à 8 192 tokens en entrée pour le texte.

Côté technique, le modèle utilise le Matryoshka Representation Learning, ce qui permet de choisir la taille des embeddings entre 128 et 3 072 dimensions. Google recommande 768 dimensions pour un bon compromis entre qualité et stockage, ce qui divise par quatre l'espace disque par rapport à la taille maximale.

Les tarifs et la concurrence

Le texte est facturé 0,20 dollar par million de tokens, avec un mode batch à moitié prix. Les images montent à 0,45 dollar, l'audio à 6,50 dollars et la vidéo à 12 dollars par million de tokens. Un palier gratuit est disponible pour tester.

Côté performances, Google affiche de bons scores sur les benchmarks MTEB : 69,9 en multilingue et 84,0 en code. Mais pour du texte seul, OpenAI reste bien moins cher avec son text-embedding-3-small à 0,02 dollar par million de tokens, soit dix fois moins.

Le modèle est disponible via l'API Gemini et Vertex AI, et compatible avec LangChain, LlamaIndex, Weaviate ou ChromaDB.

Le vrai argument de Google ici, c'est le multimodal. Si vous avez besoin d'indexer des catalogues produits avec photos et descriptions dans le même vecteur, ou de faire de la recherche dans des archives vidéo, il n'y a pas d'équivalent chez OpenAI pour le moment.

Mais pour du texte pur, la différence de prix est quand même importante. On attend de voir comment ça se comporte en production, et si les scores MTEB se confirment sur des cas d'usage réels.

Source : Blog Google

Un projet open source vient de lâcher une IA sur les 41 300 règlements européens adoptés depuis 1958. L'outil, qui tourne sur Grok 4.1, rend un verdict binaire pour chaque texte : à garder ou à supprimer. Les résultats défilent en direct sur bettereu.com.

41 300 textes passés à la moulinette

Le principe est assez bourrin. BetterEU prend chaque règlement européen, du plus ancien, publié en 1958, au plus récent publié il y a quelques semaines, et le soumet à Grok avec un prompt unique. L'IA doit trancher : KEEP ou DELETE.

Aucune nuance, pas de peut-être, juste un verdict sec. Le tout est diffusé en temps réel sur le site, avec un graphique interactif qui montre la progression année par année. Les données se rafraîchissent toutes les cinq secondes, et le coût de l'opération en dollars s'affiche en direct. Le code source est ouvert, le prompt aussi. N'importe qui peut aller vérifier comment l'IA raisonne.

La Commission veut aussi simplifier

Ce projet tombe à un moment où l'Union européenne elle-même reconnaît que sa réglementation est devenue un problème. La Commission a lancé en 2026 son programme de travail le plus dérèglementaire de son histoire : sur 47 initiatives prévues, 25 portent sur la simplification.

L'objectif affiché est de réduire la charge administrative des entreprises de 25 %, ce qui représenterait une économie de 37,5 milliards d'euros d'ici 2029. Et l'AI Act, qui entre en application en août 2026, fait lui-même l'objet d'un Digital Omnibus pour alléger ses propres règles. Quand le législateur simplifie la loi qui encadre l'IA pendant qu'une IA propose de simplifier les lois, on est en plein dans le sujet.

Un exercice quand même un peu limité

Évidemment, demander à une IA de décider si un règlement doit être gardé ou supprimé, c'est un peu court. Le droit européen est un empilement de textes qui se référencent les uns les autres, et supprimer un règlement peut en déstabiliser dix autres.

BetterEU ne tient pas compte de ces interdépendances, et le verdict binaire ne dit rien des articles à amender plutôt qu'à supprimer.

Mais l'exercice a quand même un intérêt : il rend visible l'ampleur du corpus réglementaire européen. 41 300 textes en soixante-sept ans, ça donne une idée de la masse à laquelle les entreprises et les citoyens sont soumis.

Bref, l’idée est rigolote, et on imagine bien le même traitement appliqué à la législation française. Mais attention, petit détail qui a son importance : le prompt système demande explicitement à Grok de se comporter en disciple de Von Mises, Hayek et Milton Friedman, les papes de l’économie de marché dérégulée. Autant dire que quand l’IA rend son verdict "DELETE", c’est moins un audit neutre qu’un exercice idéologique assumé. Ajoutez à ça le fait que Musk ne cache même pas vouloir une IA "anti-woke", et vous obtenez une boussole qui indique surtout le Sud. Ça reste un projet intéressant dans le concept, mais faut garder les yeux ouverts sur le parti pris.

En tout cas, passer le Code général des impôts ou le Code du travail dans une IA pour relever les incohérences, les doublons et les articles devenus obsolètes, ça ferait probablement ressortir des choses assez intéressantes. BetterEU ne va pas remplacer un juriste, mais comme outil d'audit à grande échelle, c’est loin d’être con.

Source : BetterEU

Perplexity vient de présenter Personal Computer, un agent IA qui tourne en continu sur un Mac mini et qui accède à vos fichiers, vos applications et vos sessions. Réservé aux abonnés Max à 200 dollars par mois, le service est pour l'instant sur liste d'attente.

Un assistant qui ne dort jamais

L'idée est plutôt simple sur le papier : installer un agent IA sur un Mac mini qui reste allumé en permanence, connecté à vos données locales et aux serveurs de Perplexity. L'annonce de ce produit a été faite en grande pompe lors de la conférence Ask 2026, dédiée aux développeurs et organisée directement par Perplexity.

Cet agent IA permet de rédiger des mails, préparer des briefs quotidiens, trier et renommer des fichiers, ou analyser des documents, sans intervention de votre part. Tout se pilote depuis Perplexity directement, même à distance.

Histoire d'éviter les problèmes et débordements, des garde-fous ont quand même été mis en place.

Les actions les plus sensibles doivent obligatoirement être validées par l'utilisateur (vous donc, un vrai humain a priori), chaque session est consignée dans un journal d'audit et vous avez même un bouton d'arrêt d'urgence, pour reprendre le contrôle dès que vous le souhaitez. Selon Perplexity, le dispositif est bien plus sécurisé qu'OpenClaw.

Le choix du modèle

L'un des aspects les plus intéressants de Personal Computer, c'est que vous pouvez choisir le modèle d'IA qui fait tourner l'agent. Claude, Gemini ou Grok : à vous de voir lequel colle le mieux à vos besoins.

L'accès est réservé aux abonnés Perplexity Max, facturé 200 dollars par mois, avec 10 000 crédits de calcul inclus. C'est Mac uniquement pour le moment, et il faut passer par une liste d'attente avant de pouvoir essayer.

En parallèle, Perplexity a aussi dévoilé Computer for Enterprise, une version destinée aux professionnels qui connecte l'agent aux outils comme Snowflake, Salesforce ou HubSpot. Et puis une plateforme API avec quatre briques : recherche, agent, sandbox et embeddings. Le tout accompagné de Perplexity Finance, un outil avec plus de quarante sources de données financières en temps réel.

Microsoft vient de corriger 79 failles de sécurité dans son Patch Tuesday de mars 2026. Parmi elles, une vulnérabilité critique dans Excel qui permet d'utiliser l'agent Copilot pour exfiltrer des données sensibles, le tout sans aucune interaction de la victime. Oui oui, zéro clic.

Une faille XSS qui détourne Copilot

Cette faille répondant au doux nom de CVE-2026-26144 est une vulnérabilité de type cross-site scripting dans Microsoft Excel, et elle a un petit truc en plus qui la rend franchement inquiétante : elle est capable de détourner le mode Agent de Copilot pour envoyer des données vers l'extérieur, via ce que Microsoft appelle un "unintended network egress". 

Traduction : l'IA qui est censée vous aider à rédiger vos tableaux et vos formules devient, l'air de rien, un canal d'exfiltration de données.

Pas besoin que la victime clique sur quoi que ce soit. Pas besoin non plus d'élévation de privilèges. Il suffit d'un accès réseau. Les données qui peuvent fuiter sont loin d'être anodines : documents financiers, propriété intellectuelle, données opérationnelles. Dustin Childs, de la Zero Day Initiative, a qualifié cette faille de "fascinante". On veut bien le croire.

Deux autres failles Office à ne pas oublier

Ce Patch Tuesday de mars n'apporte pas que la CVE-2026-26144. Microsoft a aussi corrigé deux failles d'exécution de code à distance dans Office (CVE-2026-26110 et CVE-2026-26113) qui peuvent être exploitées via le simple volet de prévisualisation.

Ce qui veut dire qu'il suffit de survoler un fichier piégé dans l'explorateur pour déclencher l'attaque, sans même l'ouvrir.

Au total, ce sont 79 vulnérabilités corrigées ce mois-ci, dont trois classées critiques. Bonne nouvelle quand même : c'est le premier Patch Tuesday en six mois sans faille activement exploitée dans la nature. Après les épisodes avec APT28 et la CVE-2026-21509 exploitée par des groupes liés à la Russie en début d'année, ça fait une petite pause bienvenue.

Le truc un peu agaçant dans cette histoire, c'est que Microsoft pousse Copilot dans tous ses logiciels, et que PAF, une faille XSS permet de transformer cet assistant IA en mouchard.

C'est d'autant plus gênant que beaucoup d'entreprises ont activé Copilot sans forcément mesurer ce que ça implique en termes de surface d'attaque. Avec un agent IA qui a accès à vos fichiers et à votre réseau, le moindre trou dans la raquette prend une autre dimension.

Si vous utilisez Excel avec Copilot activé en entreprise, la mise à jour de mars est à installer sans traîner.

Source : Cyberscoop