HN Digest
Briefing personnel.

Edition quotidienne

Lire vite. Garder l'essentiel.

Les meilleurs longs formats de Hacker News, relus plus calmement.

6570 articles Page 225/657 Sans filtre

06:06

A Claude Code and Codex Skill for Deliberate Skill Development

Cette compétence, fournie comme plugin pour Claude et le marketplace Codex, propose des exercices d'apprentissage optionnels de 10 à 15 minutes déclenchés après des travaux architecturaux significatifs pour aider les développeurs à construire une expertise durable. Les exercices s'appuient sur des techniques issues des sciences de l'apprentissage — prédiction, génération, pratique de récupération, répétition espacée et métacognition — pour favoriser la production active, l'auto-évaluation et la réflexion plutôt que l'acceptation passive du code généré. On peut installer la compétence via le marketplace Codex ou Claude Code, ajouter des modules optionnels comme learning-opportunities-auto pour des invites post-commit et orient pour générer des leçons d'orientation de dépôt, et relancer Claude Code pour activer les plugins. Les invites sont supprimées si l'utilisateur décline pendant la session ou après deux exercices complétés, et le comportement est hautement personnalisable (déclencheurs, niveau initial, exemples, limite d'exercices, vérifications d'évaluation). Le projet s'appuie sur des recherches empiriques et une bibliographie en apprentissage, fournit des guides de mesure pour expérimentations d'équipe, est open source et publié sous licence Creative Commons, avec Dr. Cat Hicks comme auteur principal.

06:05

Leaving GitHub for Forgejo

L'auteur a migré ses dépôts de GitHub vers une instance auto-hébergée de Forgejo (code.jorijn.com) pour garder la maîtrise de son code, et le ministère néerlandais a lancé de manière similaire code.overheid.nl pour des raisons d'autonomie numérique. La décision est motivée par des changements structurels chez GitHub : absorption dans la division CoreAI de Microsoft après le départ du CEO, basculement du traitement des interactions Copilot vers l'opt-out sans contrôle au niveau des dépôts, et des risques juridictionnels persistants liés à FISA 702 et au CLOUD Act. L'auteur détaille une installation auto-hébergée sur un NUC exécutant Forgejo v15 LTS, Postgres et Traefik, avec un runner Actions isolé dans une VM KVM géré par Incus pour exécuter les CI. La sécurité du runner repose sur plusieurs couches complémentaires — VM KVM, gVisor comme runtime Docker, reconstruction hebdomadaire destructive, filtrage egress nftables et jetons de runner limités par portée — car le risque principal est l'exécution de code non fiable pendant les jobs CI. La migration implique des compromis réels : perte de découverte via le graphe social GitHub, frictions avec certaines actions et fonctionnalités GitHub Actions, absence native de Dependabot et pas de support 24/7 commercial, de sorte que l'auto-hébergement vaut le coup seulement si l'équipe peut gérer l'infrastructure et la sécurité du runner.

06:05

I moved my digital stack to Europe

L'auteur a entrepris une migration de son infrastructure numérique par souci de contrôle des données et de résilience face aux changements de juridiction et de politique des fournisseurs. Il a remplacé plusieurs services : Google Analytics par Matomo, hébergement et stockage AWS par Scaleway et DigitalOcean, OVH pour les sauvegardes, Proton Mail et Proton Pass pour les courriels et mots de passe, ainsi que Mistral pour certaines API d'IA et Bugsink pour le suivi d'erreurs. Plusieurs compromis ont été nécessaires, notamment la charge de maintenance de l'auto‑hébergement, des limites fonctionnelles (filtres et quotas de domaines chez Proton, fonctionnalités réduites chez Bugsink ou Lettermint) et des migrations plus complexes pour les paiements et le contrôle de version. Certaines exceptions pragmatiques ont été maintenues, comme l'utilisation de Cloudflare pour la distribution et la sécurité des contenus publics, Stripe pour les paiements en attente de migration, et GitHub pour la visibilité des projets open source. Au final la migration, réalisée en quelques semaines à deux mois, s'est avérée réalisable sans incident majeur et montre qu'il est possible de constituer une pile numérique professionnelle majoritairement européenne en acceptant quelques frictions et choix de compromis.

06:05

Preserving Fisher-Price Pixter

L'auteur a réalisé le premier reverse engineering complet, la documentation, l'émulation et la préservation de l'écosystème Pixter, couvrant presque tous les jeux existants. L'étude montre des architectures hétérogènes : les Pixter Color/Multimedia utilisent des SoC ARM avec une VM 16 bits et des puces « melody » externes pour la musique, tandis que les Pixter Classic et dérivés reposent sur un cœur 6502 encapsulé et un bus BEX multiplexé. Des techniques matérielles et logicielles ont été développées pour dumper les ROMs et les pistes musicales (soudure sélective, Pi Pico, Saleae), contourner des protections matérielles et documenter les protocoles propriétaires. L'auteur a publié des émulateurs (uARM/uPixter), des désassembleurs, des spécifications complètes des VMs, un format de fichier pour les dumps et mis en ligne ROMs, outils et captures audio pour la conservation. Le travail a aussi révélé des particularités (protocoles absurdes de contrôle des Melody Chips, formats ADPCM, MelodyChip « XL » midi‑like, limitations de matériel) et laisse encore quelques jeux non retrouvés et des composants non décapsés à étudier.

06:05

A sentimental tour of late 1990s and early 2000s hacking tools

La chronique retrace la période de la fin des années 1990 où des outils d'administration à distance comme Back Orifice, BO2K, NetBus et Sub7 permettaient de contrôler silencieusement des machines Windows et ont alimenté le débat sur leur statut entre démonstration et malware. L'écosystème comprenait aussi des outils fondamentaux encore utilisés aujourd'hui, tels que Nmap, Netcat, John the Ripper, Cain & Abel, dsniff, hping et des scanners web comme Nikto, qui exploitaient des cibles souvent non patchées. IRC jouait à la fois le rôle de canal de commandement pour certains RATs (les machines compromises se comportant comme des clients IRC) et d'espace social où la scène échangeait, s'initiait et se structurait. L'article évoque l'opération italienne de 1994, Operation Hardware 1, où des raids contre des nœuds Fidonet ont démantelé des communautés BBS, poussant ensuite de nombreux acteurs vers Internet et IRC. Le bilan souligne que, malgré des outils techniquement primitifs, les modèles opérationnels — relais via machines compromises, camouflage du trafic C2 et bonnes pratiques d'opsec — ont durablement façonné les tactiques contemporaines et contribué à la professionnalisation du domaine.

06:05

Mystery Microsoft bug leaker keeps the zero-days coming

Un chercheur anonyme connu sous les pseudonymes Nightmare-Eclipse ou Chaotic Eclipse a publié après le Patch Tuesday deux nouvelles vulnérabilités Windows nommées YellowKey et GreenPlasma. YellowKey est présenté comme un contournement de BitLocker nécessitant un accès physique et le chargement de fichiers depuis une clé USB permettant, si la séquence est correctement exécutée, un accès shell total à une machine chiffrée. Plusieurs experts ont averti que YellowKey transforme potentiellement un ordinateur volé en fuite de données et qu'il peut être atténué en activant un code PIN BitLocker et un verrou de BIOS. GreenPlasma est décrit comme une élévation de privilèges visant SYSTEM dont le chercheur a publié un code partiel qui, dans sa forme actuelle, déclenche une invite UAC et ne dispose pas encore de mitigation connue. Le chercheur a déjà divulgué d'autres zero-days cette année, certains ayant été exploités en conditions réelles, et affirme détenir d'autres divulgations prêtes qui pourraient être publiées ultérieurement.

06:04

Marco Polo: Finding a friend with only distance and motion

L'article présente le problème de localisation relative « range-only » entre deux appareils portables dans un environnement encombré où seules des mesures d'accélération/orientation (IMU) et une distance UWB sont disponibles. Après examen de solutions comme la PDoA (nécessitant deux antennes) et la trilatération avec ancres fixes, l'auteur choisit un filtre de Kalman étendu (EKF) car il fonctionne avec une seule antenne UWB et deux appareils sans infrastructure externe. Le filtre suit un vecteur d'état [Δx, Δy, Δẋ, Δẏ] initialisé en supposant la distance mesurée le long de l'axe x et une matrice de covariance P0 réglée pour refléter l'incertitude radiale et angulaire. La prédiction utilise un modèle de mouvement à accélération constante issu de l'IMU avec le jacobien F pour linéariser, tandis que la mesure compare la distance UWB au modèle h(x)=√(Δx²+Δy²) avec le jacobien H pour la mise à jour EKF. Le système permet d'estimer la direction relative et son incertitude via atan2 et la propagation de covariance, la démonstration montre des croyances spatiales cohérentes, et l'auteur propose d'étudier éventuellement les filtres de Kalman unscented pour des cas plus complexes.

06:04

The other half of AI safety

OpenAI affirme que chaque semaine entre 1,2 et 3 millions d'utilisateurs de ChatGPT présentent des signaux de psychose, de manie, de planification suicidaire ou de dépendance émotionnelle malsaine, mais ces chiffres manquent d'audit indépendant, de série temporelle et de méthodologie divulguée. Les personnes en détresse utilisent tous les outils de communication disponibles, ChatGPT y compris, et ce qui compte est la réaction des laboratoires lorsqu'ils détectent ces états, alors que le champ de la sécurité de l'IA privilégie les risques catastrophiques et néglige les préjudices cognitifs quotidiens. Les contenus liés à la destruction massive font l'objet d'un blocage ferme, tandis que l'idéation suicidaire reçoit une redirection douce (liens vers des lignes de crise) permettant la poursuite de la conversation, protocole qui, selon un dossier judiciaire, n'a pas empêché Adam Raine d'affiner une méthode malgré des renvois répétés aux ressources d'aide. L'argument avancé est que les cadres de sécurité conçus pour les risques catastrophiques ont été étendus aux dommages cognitifs comme systèmes de surveillance plutôt que comme critères de blocage, et que les comportements jugés inacceptables à diffuser excluent structurellement les atteintes cognitives graves. La notion de liberté cognitive et les recommandations en neuroéthique existent comme fondement intellectuel, mais l'absence de politiques contraignantes, notamment aux États-Unis, réduit les incentives pour que les laboratoires traitent la sécurité personnelle des utilisateurs avec la même priorité que la sécurité de l'IA.