HN Digest
Briefing personnel.

Edition quotidienne

Lire vite. Garder l'essentiel.

Les meilleurs longs formats de Hacker News, relus plus calmement.

6662 articles Page 259/667 Sans filtre

06:00

AI is breaking two vulnerability cultures

Il y a une semaine, la vulnérabilité dite Copy Fail a été découverte et Hyunwoo Kim a rapidement publié un correctif tout en informant en privé une liste restreinte d'ingénieurs sécurité du noyau Linux, suivant la pratique courante de corriger publiquement mais de communiquer l'impact de façon restreinte pour préserver un embargo. Une autre personne a repéré la modification, en a compris les implications de sécurité et l'a rendue publique, ce qui a mis fin à l'embargo et permis la publication des détails complets. L'article met en contraste la culture de la divulgation coordonnée, qui vise à laisser le temps aux mainteneurs de corriger une faille avant sa révélation, et la culture « bugs are bugs » du noyau Linux, qui privilégie la correction rapide et discrète des bogues sans attirer l'attention. Avec l'amélioration des outils d'intelligence artificielle, l'examen automatique des commits devient plus efficace et moins coûteux, ce qui augmente la probabilité que des correctifs ou des diffs soient identifiés comme vulnérabilités et réduit l'efficacité des longs embargos. L'auteur note que les embargos longs sont désormais plus risqués, citant un cas où une vulnérabilité a été signalée indépendamment neuf heures après la première notification, et il propose que des embargos très courts, soutenus par des outils d'IA pour accélérer les réparations, pourraient être une piste à explorer.

06:00

Mythical Man Month

Dans les années 1960 Fred Brooks a dirigé le développement des ordinateurs System/360 chez IBM et a ensuite synthétisé ses réflexions dans un livre publié en 1975. L'ouvrage reste influent en 2026 malgré des parties désormais dépassées, car il conserve des leçons pertinentes pour le développement logiciel. Il y expose la loi de Brooks selon laquelle ajouter du personnel à un projet logiciel en retard le rend encore plus tard en raison de la multiplication des voies de communication. Il soutient que l'intégrité conceptuelle est la considération la plus importante en conception de systèmes et qu'il vaut mieux privilégier un ensemble d'idées coordonnées plutôt que de nombreuses idées indépendantes. L'intégrité conceptuelle repose selon lui sur la simplicité et la facilité de composition des éléments, et l'édition anniversaire reprend également son influent essai de 1986.

06:00

OpenAI's WebRTC problem

L'auteur se présente comme un expert WebRTC ayant implémenté et réécrit des SFU chez Twitch et Discord, ce qui motive sa critique technique. Il explique que WebRTC, pensé pour la visioconférence, privilégie la faible latence en sacrifiant la retransmission et le buffering, ce qui dégrade les prompts audio pour des agents vocaux où la précision prime sur un gain de quelques centaines de millisecondes. Il décrit les difficultés opérationnelles à grande échelle avec WebRTC — nombre limité de ports, changements d'adresses clients, handshakes coûteux et hacks de contournement comme le muxing sur UDP:443 — et critique les solutions basées sur l'état partagé utilisées par des services à grande échelle. Comme alternative, il propose d'abord l'envoi d'audio sur WebSocket pour profiter de l'infrastructure TCP/HTTP, puis la migration vers WebTransport/QUIC, en soulignant que QUIC réduit les RTT, introduit des Connection ID pour gérer les changements d'adresse et permet un équilibrage sans état et un usage anycast/unicast. Il conclut que, malgré les contraintes de production et les compromis nécessaires, QUIC constitue une solution technique plus adaptée que WebRTC pour les applications Voice AI à grande échelle.

06:00

Google broke reCAPTCHA for de-googled Android users

Google a lié son système reCAPTCHA de nouvelle génération à Google Play Services sur Android, ce qui fait échouer la vérification sur les téléphones sans les services Google lorsque le système exige un contrôle. La procédure requiert l'exécution de Play Services en version propriétaire 25.41.30 ou supérieure et, en cas de suspicion, remplace les puzzles d'images par un scan de QR code nécessitant une communication en arrière-plan avec les serveurs de Google. Les appareils dégooglisés ou équipés de ROM personnalisées comme GrapheneOS, qui suppriment Play Services, ne peuvent pas réussir cette vérification, alors que les iPhone sous iOS 16.4 ou ultérieur effectuent le même test sans installer d'application Google. Des captures d'archives montrent que cette dépendance était en place depuis au moins octobre 2025, ce qui suggère que la contrainte a été introduite discrètement avant d'être signalée publiquement. En liant reCAPTCHA à Play Services, les sites qui l'adoptent peuvent de fait exclure les utilisateurs ayant choisi de se passer des services Google et restreindre l'accès à des visiteurs soucieux de leur vie privée.

06:13

Claude Code CVE-2026-39861:sandbox escape via symlink

Une vulnérabilité dans le package npm @anthropic-ai/claude-code (versions < 2.1.64) permettait à des processus sandboxés de créer des liens symboliques vers l'extérieur de l'espace de travail. Lorsque l'application non sandboxée écrivait ensuite dans un chemin traversant ce lien symbolique, elle suivait le lien et écrivait sans demander confirmation vers la cible située en dehors de l'espace de travail. La combinaison de ces deux comportements permettait une évasion de sandbox et l'écriture arbitraire de fichiers hors du workspace, ouvrant potentiellement la voie à une exécution de code hors de la sandbox. L'exploitation fiable nécessitait la capacité d'injecter du contenu non fiable dans une fenêtre de contexte Claude Code pour déclencher l'exécution de code sandboxé, et le problème a été signalé via HackerOne par philts. Le correctif est déployé automatiquement pour les utilisateurs en mise à jour automatique et les utilisateurs effectuant des mises à jour manuelles sont invités à passer à la dernière version (voir CVE-2026-39861 et GHSA-vp62-r36r-9xqp pour les références).

06:12

Colored Shadow Penumbra

L'article décrit une implémentation de l'effet de pénombre colorée (Colored Penumbra) inspirée d'un post de Romain Durand, qui ajoute de la couleur aux régions de pénombre des ombres. L'auteur choisit d'éditer les shaders du moteur pour une solution simple et peu coûteuse qui fonctionne avec tous les types de lumière mais ne s'applique qu'aux lumières dynamiques, nécessite des pénombres larges pour être visible et n'offre qu'un réglage de saturation global. Il donne les modifications concrètes à insérer soit dans Engine\Shaders\Private\Substrate\SubstrateDeferredLighting.ush pour Substrate soit dans Engine\Shaders\Private\DeferredLightPixelShaders.usf sinon, avec un paramètre PenumbraSaturation à ajuster et la consigne de recompiler les shaders dans Unreal (Ctrl+Shift+.). Le code désature d'abord la couleur puis la remet en saturation selon PenumbraSaturation et blend avec le terme de surface pour produire la teinte de pénombre, ce qui implique que les surfaces grises ou déjà saturées ne seront pas affectées. Des comparaisons visuelles sont fournies et l'auteur invite à poser des questions via ses posts Twitter, Bluesky, ArtStation ou LinkedIn.

06:12

OpenBSD Stories: The closest thing to cute kittens (OpenBSD/zaurus)

Dans les années 1990 plusieurs portages de BSD vers des machines ARM ont convergé dans NetBSD, et OpenBSD avait initialement récupéré du code ARM sans disposer d'un port actif. L'arrivée du Zaurus SL a ravivé l'intérêt pour un port ARM portable et la carte CATS (StrongArm SA-110) a été choisie comme plate-forme de développement accessible. Dale Rahn a commencé le port sur la carte CATS fin 2003 et la collaboration avec Simtec a permis d'expédier des cartes aux développeurs et de publier des binaires de travail début 2004. Le firmware ABLE a entraîné de nombreux problèmes pratiques (support ELF/FFS, clavier, réglages d'oscillateur, cavaliers et DMA) qui ont été identifiés et corrigés par des mises à jour logicielles et matérielles y compris une option ide.multi-limit. Après ces corrections la plate-forme CATS est devenue stable et a fourni la base nécessaire pour poursuivre le portage vers le Zaurus.

06:12

Child marriages plunged when girls stayed in school in Nigeria

Une intervention multiprongée appelée Pathways to Choice menée dans 18 communautés du nord du Nigeria a réduit le taux de mariage des filles de 12 à 17 ans de 86 % dans le groupe contrôle à 21 % dans le groupe d'intervention, soit une baisse de 80 % deux ans après le début du programme. Le programme a augmenté la fréquentation scolaire des participantes de 70 points de pourcentage et a amélioré leur accès au soutien social, leur estime de soi et leur capacité à se défendre. Il a aussi augmenté l'inscription scolaire des sœurs (+87 %) et des frères (+41 %) des participantes et présente un ratio bénéfice–coût estimé à 2,41 avec un rendement net de 1 627 dollars par 1 000 dollars investis. L'évaluation a pris la forme d'un essai randomisé mené entre 2018 et 2020 sur 1 181 filles hors école au départ, réparties en neuf paires de communautés comparant résultats après deux ans. Les auteurs notent que ces résultats à court terme indiquent le potentiel des programmes multidimensionnels pour retarder les mariages précoces lorsque les barrières financières et sociales à l'éducation sont levées, tout en précisant que les effets dépendent du contexte et requièrent un suivi à long terme.