Auto Feed RSS
Neuf failles de sécurité viennent d’être corrigées d’un coup sur le serveur X.Org, le vieux logiciel qui dessine les fenêtres, gère la souris et le clavier sur une grande partie des machines Linux. Et le plus marquant, c’est qui les a trouvées.
Huit des neuf ont été repérées par une intelligence artificielle. Plus précisément par TrendAI, l’outil maison du programme de chasse aux bugs de l’éditeur de sécurité Trend Micro, la Zero Day Initiative, qui rémunère depuis des années la découverte de failles. La neuvième, elle, a été dénichée à l’ancienne par Peter Hutterer, un développeur de Red Hat qui travaille sur la gestion clavier et souris de X.Org depuis bien longtemps.
Je suis trop content parce qu’avec son nouveau
SDK pour extensions
, Ableton nous permet enfin d’écrire nos propres outils pour son DAW Live en JavaScript. L’intérêt c’est que ces extensions peuvent lire et modifier vos Sets : pistes, clips, notes MIDI, paramètres, automations… et comme ça votre projet se transforme en un truc qu’on peut trafiquer avec du code (et donc avec de l’IA car ça repose sur des technos web standard ^^ niark niark).
Molly Lynch, de l’université Hollins, et Michael Weselcouch, du Roanoke College, deux profs de maths américains, ont eu une idée que personne n’avait osé tenter : estimer la valeur de Pi en lâchant des monstres dans Minecraft, sans programmer quoi que ce soit, juste en exploitant les règles du jeu.
Tout part d’une vieille technique de probabilités appelée méthode de Monte-Carlo, qu’on surnomme aussi la méthode des fléchettes. Imaginez un carré avec un cercle dessiné dedans, qui touche les bords. Vous lancez des fléchettes au hasard sur le carré. La proportion de fléchettes qui tombent dans le cercle, comparée au total, vaut environ Pi divisé par quatre. Vous multipliez par quatre, et vous obtenez une approximation de Pi.
Du code piégé glissé dans des paquets signés Red Hat, et téléchargé environ 80 000 fois par semaine. C’est le bilan d’une attaque repérée le 1er juin.
Pour bien saisir, il faut d’abord savoir ce qu’est npm. C’est l’immense bibliothèque où les développeurs JavaScript piochent des briques de code toutes prêtes plutôt que de tout réécrire. Des millions de projets en dépendent au quotidien.
Et c’est exactement là qu’un malware s’est faufilé. Plusieurs dizaines de paquets publiés sous le nom de Red Hat (l’éditeur du système Linux du même nom, racheté par IBM) ont été infectés par un ver, c’est-à-dire un logiciel malveillant capable de se propager tout seul d’une machine à l’autre.
Tejas Chopra, ingénieur senior chez Netflix, a bricolé un petit logiciel appelé
Headroom
qui s’attaque à un poste de dépense devenu douloureux dans toutes les boîtes qui carburent à l’IA : la facture en tokens, ces unités que les modèles de langage facturent au passage et qui correspondent en gros à des morceaux de mots.
Son constat de départ est sévère. Près de 90% de ce qu’on balance à un grand modèle de langage, le type d’IA qui fait tourner ChatGPT, serait selon lui de la redondance pure, du remplissage que la machine paie au prix fort sans en tirer la moindre valeur.