Menu

Aucun menu défini dans le customizer.

Faille MCP : 200 000 serveurs exposés à l’exécution de code, Anthropic dit que c’est normal

200 000 serveurs. C’est le nombre de machines potentiellement exposées à l’exécution de commandes système arbitraires via une faille de conception dans le SDK MCP d’Anthropic, d’après les chercheurs d’OX Security.

L’interface STDIO du protocole permet de créer des sous-processus sans contrôle, ce qui ouvre la porte à n’importe quelle commande OS sur la machine hôte.

Le problème touche tous les langages supportés par le SDK : Python, TypeScript, Java, Rust. Et les packages concernés totalisent plus de 150 millions de téléchargements. Les chercheurs ont documenté quatre classes de vulnérabilité. D’abord de l’injection de commandes non authentifiée, testée sur LangFlow (toutes les versions) et GPT Researcher

Anthropic demande désormais pièce d’identité et selfie pour certains usages de Claude

Pour accéder à certaines fonctionnalités de Claude, Anthropic peut maintenant vous demander une pièce d’identité officielle (passeport, permis de conduire, carte nationale d’identité) et un selfie en temps réel. La vérification est gérée par Persona, un prestataire externe, et les données ne sont ni stockées par Anthropic, ni utilisées pour l’entraînement des modèles. Les photocopies, les cartes étudiantes et les pièces numériques ne sont pas acceptées.

Le mécanisme se déclenche a priori dans plusieurs cas : accès à des capacités spécifiques, vérifications d’intégrité de plateforme, ou mesures de conformité. Anthropic ne détaille pas vraiment les usages qui déclenchent cette vérification, ce qui crée du coup un flou que pas mal d’utilisateurs n’apprécient pas des masses.

GPT-5.4-Cyber, le modèle de cybersécurité qu’OpenAI ne veut pas ouvrir à tout le monde

Le sujet central du lancement de GPT-5.4-Cyber, c’est moins le modèle que le mécanisme d’accès.

OpenAI a annoncé une version fine-tunée de GPT-5.4 dédiée aux cas d’usage cybersécurité, avec une particularité assumée : moins de restrictions sur les capacités du modèle, mais accès réservé aux participants vérifiés du programme Trusted Access for Cyber.

Concrètement, ce GPT-5.4-Cyber sait faire des choses que les modèles grand public refusent ou limitent. On parle ici de Reverse engineering de binaires sans code source, analyse de malware, étude de vulnérabilités, génération de workflows défensifs avancés, et j’en passe.

Cloudflare refond son CLI Wrangler parce que ses clients principaux sont désormais des agents IA

Figurez-vous que les agents IA sont désormais les premiers consommateurs des APIs Cloudflare, bien devant les développeurs humains. C’est en tous cas ce que l’éditeur déclare publiquement pour justifier une refonte importante de son outil en ligne de commande, Wrangler, et la sortie d’un nouveau CLI unifié baptisé sobrement “cf”.

Le raisonnement est froid mais a du sens. Si les agents IA pilotent la plateforme, autant qu’ils aient un CLI qui ne les plante pas.

Meta développe un clone IA de Mark Zuckerberg pour discuter avec ses employés

Mark Zuckerberg veut que ses salariés puissent lui parler même quand il n’est pas là. Meta travaille sur une version IA photoréaliste et animée de son patron, entraînée sur sa voix, son image, ses manies et ses déclarations publiques.

Le projet est encore au stade précoce, mais Zuck s’implique à fond : il supervise personnellement l’entraînement et les tests de son double numérique, et passerait même cinq à dix heures par semaine à coder sur les différents projets IA du groupe.

Le Japon lance son IA souveraine avec 8 géants industriels

Gros chantier IA au Japon. SoftBank a pris la tête d’un consortium qui réunit sept autres poids lourds nationaux : NEC, Honda, Sony, trois banques (MUFG, Sumitomo Mitsui, Mizuho) et deux sidérurgistes (Nippon Steel, Kobe Steel).

L’objectif : monter une nouvelle société dédiée à la construction d’une IA entièrement japonaise, sans dépendance étrangère. Le spécialiste tokyoïte Preferred Networks rejoindra l’aventure un peu plus tard, en renfort technique.

L’objectif est clair. Rattraper les Américains et les Chinois. Le modèle visé ambitionne d’atteindre environ 1 000 milliards de paramètres d’ici la fin de la décennie, soit l’ordre de grandeur des plus gros modèles d’OpenAI ou d’Alibaba. Il sera multimodal (texte, images, vidéos, son) et surtout orienté vers ce que les Japonais appellent la “physical AI”, c’est-à-dire une IA capable de piloter des robots et des machines dans le monde réel.

xAI attaque le Colorado en justice pour bloquer sa loi anti-discrimination sur l’IA

xAI vient de déposer plainte devant un tribunal fédéral du Colorado pour faire annuler le SB 24-205, une loi qui doit entrer en vigueur le 30 juin prochain. Ce texte impose aux développeurs de systèmes d’IA “à haut risque” de mettre en place des garde-fous contre les discriminations algorithmiques.

Sont concernés les outils utilisés pour prendre des décisions dans l’emploi, le logement, l’éducation, la santé et les services financiers. En clair, si votre IA aide à trier des CV ou à accorder un prêt, elle doit prouver qu’elle ne discrimine personne.

Redox OS, le système d’exploitation écrit en Rust, interdit le code généré par IA

Redox OS vient de publier son dernier rapport d’avancement et il y a du nouveau. En plus des progrès sur les pilotes graphiques et le bureau COSMIC, le projet open source a adopté une politique stricte : toute contribution générée par une intelligence artificielle sera refusée et son auteur banni. Carrément.

Du code IA ? Dehors.

Redox OS ne veut pas de code écrit par ChatGPT, Copilot ou tout autre modèle de langage. La règle est inscrite dans les directives de contribution du projet : toute soumission identifiée comme générée par un LLM (issues, merge requests, descriptions) sera immédiatement fermée. Et quiconque tente de contourner la règle se fait bannir du projet. Le tout est présenté comme non négociable.

Le VLIW, cette architecture de processeur “impossible” qui revient par la porte de l’IA

La
chaîne YouTube Asianometry
vient de publier une vidéo qui retrace l’histoire du VLIW, une architecture de processeur née dans les années 80 et longtemps considérée comme un échec. Sauf que cette technologie, enterrée avec l’Itanium d’Intel, refait surface dans les puces dédiées à l’intelligence artificielle. Et elle est peut-être déjà dans votre smartphone.

Le principe, et c’est un peu technique

Si vous ne connaissez pas Asianometry, c’est une chaîne qui décortique l’histoire des semi-conducteurs avec un vrai talent de vulgarisation, et cette vidéo sur le VLIW (pour Very Long Instruction Word) ne fait pas exception.

Glasswing – L’IA d’Anthropic qui déniche des milliers de zero-days

Anthropic vient de lâcher une bombe !

Le labo derrière Claude a dévoilé le
Projet Glasswing
, une initiative de cybersécurité qui embarque un nouveau modèle, Claude Mythos, tellement efficace pour trouver des failles qu’ils ont décidé de ne pas le rendre public. En gros, l’IA est devenue meilleure que la plupart des humains pour dénicher des vulnérabilités zero-day… et ça va faire mal ^^.

Concrètement, Mythos a trouvé des milliers de zero-days dans tous les OS et navigateurs majeurs ces dernières semaines. Et pas des failles mineures, hein ! Une vulnérabilité dans OpenBSD qui traînait depuis 27 ans, un bug dans FFmpeg vieux de 16 ans qui avait survécu à 5 millions d’itérations de tests automatisés… et des exploits chaînés dans le noyau Linux (3, 4, parfois 5 vulnérabilités enchaînées de manière autonome) qui permettent une escalade de privilèges complète. Comme le dit un chercheur dans la
vidéo de présentation
: “J’ai trouvé plus de bugs ces dernières semaines que pendant tout le reste de ma carrière combinée“.