HN Digest
Briefing personnel.

Edition quotidienne

Lire vite. Garder l'essentiel.

Les meilleurs longs formats de Hacker News, relus plus calmement.

6570 articles Page 229/657 Sans filtre

06:09

Israel's AI targeting system: how data from a phone become a death sentence

Ahmad Turmus, un homme de 62 ans servant de liaison pour le Hezbollah dans le village frontalier de Talloosah, a reçu un appel d'un officier militaire israélien lui demandant s'il voulait mourir seul ou avec d'autres, puis a été tué par des missiles peu après avoir rallumé son téléphone. L'armée israélienne reconnaît l'avoir ciblé et s'appuie sur un système d'intelligence qui fusionne images de drones, caméras de sécurité, données de téléphones mobiles, simulateurs de relais, bases gouvernementales et réseaux sociaux pour suivre les mouvements des cadres du Hezbollah. Ces informations sont centralisées et traitées par des plateformes commerciales et des algorithmes d'apprentissage automatique qui reconstituent des chronologies, cartographient des réseaux et attribuent des scores de menace. Des spécialistes et des chercheurs mettent en garde que ces outils se basent sur des corrélations et des métadonnées routinières, ce qui peut produire des faux positifs et donner l'illusion d'une certitude menant à des frappes sans toujours fournir de contexte humain suffisant. En réponse à cette surveillance technologique, le Hezbollah a commencé à se décentraliser et à utiliser des communications plus sûres, mais l'accès prolongé à des infrastructures de données et des piratages a, selon des experts, permis de constituer un fichier de cibles précis.

06:09

Beyond Semantic Similarity

Les systèmes de recherche actuels compressent l'accès au corpus via une interface de similarité fixe et un seul appel de récupération top-k, ce qui crée des limites pour les tâches agentiques. Ces limites rendent difficiles l'application de contraintes lexicales exactes, la conjonction d'indices rares, les vérifications de contexte local et l'affinement multi‑étapes des hypothèses. Les auteurs proposent l'interaction directe avec le corpus (DCI), où un agent explore le corpus brut à l'aide d'outils généraux de type terminal (grep, lecture de fichiers, commandes shell, scripts légers) sans modèles d'embeddings ni index vectoriel. Cette approche n'exige pas d'indexation hors ligne et s'adapte naturellement aux corpus locaux évolutifs, tout en surpassant des baselines creuses, denses et de reranking sur plusieurs jeux BRIGHT et BEIR et en obtenant de bonnes performances sur BrowseComp-Plus et QA multi-hop. Les résultats suggèrent que la qualité de la recherche dépend autant de la capacité de raisonnement que de la résolution de l'interface d'accès au corpus, et que DCI élargit l'espace de conception des interfaces pour la recherche agentique.

06:09

Text Blaze (YC W21) Is Hiring for a No-AI Summer Internship

Une entreprise ouvre les candidatures pour un stage d'été destiné aux étudiants avancés et jeunes professionnels, qui interdit l'utilisation d'IA pendant toute la durée du programme. Les profils recherchés sont motivés, aiment résoudre des problèmes, interagir avec les utilisateurs, construire des produits et se développer comme ingénieurs full-stack. L'objectif est de former les stagiaires sans dépendance aux outils d'IA afin de favoriser un apprentissage et une qualité de travail approfondis. La pile technique est principalement JavaScript avec un peu de Python, React en front-end et Google Cloud Platform en cloud. Les candidats doivent envoyer une courte lettre de motivation (au plus cinq phrases) avec un projet de code, un accomplissement notable et l'explication de leur approche du No AI Summer, et la société, éditrice de Text Blaze, précise qu'elle utilise l'IA dans ses produits.

06:08

Learning Software Architecture

L'auteur affirme que la conception logicielle s'apprend surtout par la pratique plutôt que par les cours formels, et que son rôle sur IntelliJ Rust l'a contraint à acquérir ces compétences sur le terrain. Il souligne l'importance de la loi de Conway et du contexte social, estimant que les différences entre logiciels scientifiques et industriels tiennent davantage aux incitations (par exemple des délais de publication) qu'à un manque de savoir-faire technique. Concrètement, il recommande d'essayer lorsqu'on le peut de modeler les incitations d'un projet et, à défaut, de s'y adapter rapidement; il illustre cela par rust-analyzer, conçu pour réduire les barrières (build simple, tests rapides, pas de dépendances C) et isoler les plantages de fonctionnalités afin d'attirer des contributeurs occasionnels tout en préservant un noyau de qualité. Il met en garde que l'adaptation aux incitations comporte des risques et des compromis — le code peut rester expérimental et conduire à des résultats imprévus, comme la multiplication des implémentations de compilateurs dans son expérience. Enfin, il admet qu'il n'existe pas de livre unique contenant toutes les vérités mais signale des références utiles (notamment le talk Boundaries de Gary Bernhardt, How to Test, les écrits de Pieter Hintjens et ØMQ, les réflexions de Jamii, le blog de Ted Kaminski, ainsi que Software Engineering at Google et The Philosophy of Software Design) pour guider la pratique.

06:08

DMARC Fail: 7 Causes and How to Fix Each

Les échecs DMARC provoquent le rebond ou le classement en spam d'e-mails légitimes et la grande majorité des cas provient d'un désalignement SPF/DKIM, d'envois par des services tiers ou du transfert de messages. DMARC s'appuie sur SPF et DKIM mais ajoute le principe d'alignement : SPF doit correspondre au Return-Path et DKIM au domaine d= de la signature, et DMARC n'est validé que si au moins l'un des deux est aligné avec le From. Les sept causes les plus courantes identifiées sont le désalignement de domaine, les services tiers non configurés, le transfert d'e-mails (cassant SPF), des clés DKIM manquantes ou mal configurées, le dépassement de la limite de 10 recherches DNS pour SPF, des erreurs de syntaxe dans l'enregistrement DMARC et l'héritage de politique des sous‑domaines. Pour diagnostiquer les échecs, il est recommandé d'analyser les rapports agrégés RUA fournis par les récepteurs, d'identifier les adresses IP et les résultats d'authentification, et d'utiliser des outils de surveillance qui nomment les sources d'envoi et distinguent le forwarding du spoofing. Les remèdes comprennent la configuration du DKIM et du Return‑Path avec votre propre domaine chez les ESP, l'ajout d'inclusions SPF pour les services légitimes ou la répartition par sous‑domaines pour éviter la limite de recherches, la correction des enregistrements DKIM/DMARC et l'adoption progressive de p=none vers p=quarantine puis p=reject avec pct= pour limiter les impacts.

06:08

Riding the D in Los Angeles: city hopes new subway stations will be game changer

Les premiers quatre miles de l'extension de la ligne D ont été inaugurés, ajoutant trois stations souterraines le long de Wilshire Boulevard et réduisant le trajet entre Union Station et Beverly Hills à environ 21 minutes. Le projet, conçu depuis les années 1960 et creusé à l'aide des tunneliers jumeaux Elsie et Soyeon, a dû surmonter des défis géologiques et d'infrastructures, notamment des puits pétroliers scellés, des réseaux enfouis et des risques de méthane qui avaient retardé les plans antérieurs. Le creusement a permis la récupération de plus de 500 fossiles près des fosses de La Brea, et les nouvelles stations offrent des espaces ouverts sans colonnes ainsi que des œuvres d'art publiques. Le lancement a été accompagné d'une forte mise en scène médiatique et d'une campagne "Ride the D", et l'extension s'inscrit dans un plan plus large d'élargissement du réseau avant des événements internationaux comme la Coupe du Monde et les Jeux de 2028. Les responsables et les militants estiment que l'extension peut changer la donne pour réduire la dépendance à l'automobile et améliorer l'équité pour les usagers dépendants des transports en commun, mais d'autres phases et investissements restent nécessaires pour achever la vision d'un métro jusqu'à la mer.

06:07

Canada’s Bill C-22 Is a Repackaged Version of Last Year’s Surveillance Nightmare

Le projet de loi C-22 reprend plusieurs éléments du précédent projet C-2 et cherche à élargir les pouvoirs de surveillance numériques au nom de la sécurité. Il obligerait les services numériques, y compris les opérateurs télécom et les applications de messagerie, à enregistrer et conserver les métadonnées pendant un an et à accroître le partage d'informations avec des gouvernements étrangers. Le texte permettrait au ministre de la Sécurité publique d'ordonner aux entreprises de créer des accès dérobés aux services, tout en interdisant aux sociétés de communiquer l'existence de ces ordres. Les définitions vagues d'« vulnérabilité systémique » et de « chiffrement » laissent une marge d'interprétation qui pourrait contraindre les fournisseurs à contourner le chiffrement, comme l'illustre la décision du Royaume-Uni sur la fonction de protection avancée d'Apple. Les critiques soulignent que ces mesures augmenteraient le volume de données stockées et les risques d'exploitation par des pirates, comme l'a montré la cyberattaque Salt Typhoon en 2024, et n'apporteraient pas de garanties claires en matière de vie privée ni de transparence.

06:07

Dead.Letter (CVE-2026-45185) – How XBOW found an unauthenticated RCE on Exim

Un bug dans Exim provoque un use-after-free lors de la fermeture TLS gérée par GnuTLS : un appel à ungetc() écrit un octet ('\n' ou '\r') dans le tampon de transfert libéré, corrompant les métadonnées de l'allocateur. Le déclenchement nécessite presque aucune configuration côté serveur (exemple reproduit sur Exim 4.97 tel que distribué par Debian/Ubuntu) et ce seul octet suffit, via une corruption ciblée, à permettre une escalade vers l'exécution de code à distance. Des chaînes d'exploitation décrites incluent une attaque sur les métadonnées glibc (largebin/FSOP) corrompant un FILE* pour pivoter en ROP et lire un fichier sensible, ainsi qu'une autre voie tirant parti de l'allocateur de pools d'Exim (store) pour gonfler un storeblock, piloter les allocations et écraser une ACL afin d'exécuter une commande arbitraire. Les auteurs racontent aussi une compétition entre équipes humaines et assistées par un modèle de langage : le LLM a produit rapidement des preuves de concept dans des configurations atténuées, l'approche humaine a obtenu une fuite de pointeur de pile et un exploit plus robuste contre la build de production, révélant à la fois l'utilité et les limites actuelles des LLM pour l'exploitation. La vulnérabilité a été signalée de manière responsable début mai 2026, corrigée par les mainteneurs, identifiée par un CVE et publiée de façon coordonnée avec les distributions le 12 mai 2026.

06:07

Show HN: Statewright – Visual state machines that make AI agents reliable

Ce projet définit des garde-fous basés sur des machines à états pour contrôler quels outils un agent IA peut utiliser à chaque phase d'un workflow. L'approche réduit l'espace de problèmes plutôt que d'augmenter la taille du modèle en limitant les outils et en appliquant des transitions et des gardes déterministes exécutés par un moteur Rust sans LLM. L'intégration se fait via des plugins et MCP pour Claude Code et d'autres agents, avec des commandes d'installation simples et un flux de démarrage pour lancer des workflows comme le bugfix. Les garde-fous incluent l'application par état des outils, des restrictions Bash et d'édition, des listes de commandes autorisées, des conditions de transition, des portes d'approbation et un isolement de session. Les résultats montrent des améliorations sur des modèles locaux modestes et des gains en robustesse, la solution étant disponible en cloud gratuit ou payant et en self-hosting sous licence Apache 2.0 avec quelques limitations d'intégration.