Autoblog de korben.info

Vous vous souvenez de YggTorrent qui s'est fait démonter en full 4K en mars dernier ?

Eh ben rebelote !! Le mec qui gérait Ygg serait, d'après le leaker, derrière une autre plateforme pirate nommée Hydracker (l'ex-Darkiworld relooké hier) qui elle aussi s'est fait éclater à son tour. Un certain blackspell81 a balancé le catalogue en accès libre sur darkileak.buzz. Le pirate qui pirate le pirate qui s'était déjà fait avoir. C'est un délice ^^!

Et ce qui a fuité, c'est du lourd avec environ 2,4 millions de liens de films et de séries, soit à peu près 130 000 torrents. En vrac, ça donne 17 Go de bases SQL d'un côté, 19 Go de JSON de l'autre, et 10 Go rien que pour les torrents.

De quoi lancer un téléchargement à la minute pendant 4 ans sans voir le bout du truc. Du coup, tout est dispo, gratos, maintenant ! Blackspell81 affirme aussi avoir aspiré la base utilisateurs, qui compte dans les 800 000 comptes (c'est l'héritage de Darkiworld, forcément, vu que le nouveau nom a à peine un jour) avec emails, mots de passe hashés, adresses IP, pseudos et historiques d'activité.

Sauf qu'il a décidé de NE PAS la publier ! Ouf pour tous les membres !

Et ce choix, il le revendique noir sur blanc car sur la page de leak, juste sous une citation d'Aaron Swartz ("Sharing is not immoral, it's a moral imperative"), le message est limpide : "Darkiworld a voulu imposer sa vision capitaliste du partage, nous avons donc pris les choses en main. Personne ne devrait avoir à payer pour du contenu piraté. Le but même de cette communauté est l'entraide et le partage. Nous avons ainsi hacké Darkiworld et ses serveurs internes afin de libérer le catalogue, désormais accessible à tous, gratuitement."

Le gars ne cible donc pas les utilisateurs, mais la "boîte" Darkiworld et son virage business.

Darkiworld, c'est surtout un vieux de la vieille qui a déjà changé de nom trois fois (PapaFlix, puis Darkino, et j'en passe) et ce mois-ci, il s'est "repositionné" pour ramasser les orphelins de Ygg : torrents, streaming intégré, téléchargement direct, abonnements premium, downloads accélérés, moins de pub, et même un navigateur maison baptisé "Hydra Browser".

Bref, du piratage en mode startup, avec offre freemium et tunnel de conversion. Donc au lieu de rester la petite communauté d'entraide du départ, la plateforme a foncé sur la monétisation, ce qui a fini par cristalliser la colère de ses utilisateurs et de ceux de Ygg.

Maintenant, d'après blackspell81, la personne qui tient le site aujourd'hui serait la même que celle qui pilotait Ygg, sous les pseudos Destroy et Oracle. Il évoque des adresses IP au Maroc qui correspondent et un mail "d'un certain Amine". À prendre avec des pincettes, hein, parce que personne d'autre n'a confirmé ça de façon indépendante pour l'instant.

Mais ces deux pseudos collaient déjà aux admins de Ygg dans plusieurs comptes rendus du hack de YggTorrent . Donc soit c'est le même bonhomme qui collectionne les fuites, soit quelqu'un veut très fort le faire croire.

Côté Hydracker, on assume mollement... Sur le Telegram officiel, un message signé "GANDALF" (oui oui) explique que "le dev vient de reprendre la main sur les serveurs", que c'est "très loin d'être la fin", et qu'ils ne se laisseront pas faire par "une dizaine de mécontents" face aux "milliers" qui apprécient le site.

Les changements indispensables dont il parle, ce sont donc les abonnements payants... voilà voilà.

Si vous aviez un compte sur Darkiworld ou Hydracker, partez du principe que vos identifiants ont fuité, même si la base users n'est pas publique. Car "Pas publiée" ne veut pas dire "pas exfiltrée". Ça veut juste dire "pas encore".

Du coup, changez ce mot de passe partout où vous l'avez recyclé (et je sais que vous l'avez recyclé ^^), activez la double authentification, et vérifiez votre email sur Have I Been Pwned .

Et souvenez-vous, T411 et Zone-Téléchargement tombés il y a des années déjà, le roi du scan manga Bato.to coulé en janvier, Ygg démoli en mars... les sites de téléchargement pirates se font dégommer en série depuis quelque temps pour des guéguerres internes qui surgissent à chaque fois quand le site se met à vendre du premium et qu'il devient, de fait, pile ce qu'il prétendait combattre.

Bref, qui sera le prochain ?

Édit du 18 mai : GANDALF, l'admin d'Hydracker, m'a contacté directement pour démentir. Selon lui, son équipe et le dev d'Hydracker n'ont aucun rapport avec ceux de Ygg. Je veux bien le croire, mais j'en sais rien. Le hacker dit exactement le contraire, donc en l'état, personne ne peut trancher.

Source

Quand vous voulez récupérer un modèle 3D d'un jeu vidéo, en général il y a deux options. Soit vous fouillez les fichiers du jeu pour en extraire les assets, ce qui demande des outils spécialisés et qui ne marche pas simplement sur console.

Soit vous abandonnez. Un bidouilleur connu sous le pseudo Dung3onlord vient de proposer une troisième voie, beaucoup plus rigoloute et qui ne touche pas du tout au jeu lui-même.

[Embed: https://www.reddit.com/r/OculusQuest/comments/1srgzgz/capture_and_view_ps5_characters_on_a_quest_link/]

La technique repose sur deux trucs intégrés à la PS5. D'abord, le mode Photo, présent dans la plupart des gros titres modernes, qui permet de geler la scène et de la regarder sous n'importe quel angle.

Ensuite, la photogrammétrie, une vieille méthode qui consiste à reconstruire un objet 3D à partir de plein de photos prises sous différents angles. Mettez les deux ensemble et vous obtenez votre modèle, sans toucher au moteur du jeu.

Le mode opératoire de Dung3onlord est assez simple. Il filme une vidéo en orbite autour d'une scène figée en mode Photo, désactive toute interface visible, extrait les images de la vidéo, et passe le lot dans un logiciel de photogrammétrie classique.

Le résultat, c'est un nuage de points 3D, qu'il nettoie, dont il enlève le fond, puis qu'il transforme en gaussian splat. C'est une technique récente d'affichage 3D qui demande très peu de puissance de calcul pour le rendu. Il visualise ensuite le tout dans un casque VR Quest, ce qui donne une vraie sensation d'immersion dans la scène du jeu.

Il y a des limites évidemment. Plein d'effets graphiques modernes, comme les normal maps qui font croire à du relief sur des surfaces plates, ne donnent pas une vraie géométrie par exemple. Du coup la version 3D paraît parfois plus lisse que ce que vous voyiez dans le jeu. Et la technique ne marche que sur des scènes statiques, pas sur des animations.

Mais pour des paysages, des décors, ou des modèles fixes, c'est efficace. Surtout si l'objectif n'est pas d'avoir la précision absolue d'un fichier 3D natif, mais juste de revisiter une scène en immersion.

Et puis surtout, ça contourne tout le problème de l'extraction directe : le DRM, les formats propriétaires, les hooks dans la mémoire. Ici, on photographie l'écran. Le jeu n'a rien à dire. C'est une méthode bien élégante en tous cas.

Source : Hackaday

Faire tourner les logiciels Adobe sous Linux, c'est la quête éternelle des photographes et graphistes qui voudraient bien quitter Windows ou macOS mais qui n'ont rien de comparable côté Linux.

Adobe n'a jamais voulu porter sa suite officiellement. Du coup, depuis des années, des développeurs tentent de la faire fonctionner via Wine, le logiciel libre qui sait exécuter des programmes Windows sur Linux. Avec un succès souvent partiel, et beaucoup de bidouille manuelle.

Un développeur connu sous le pseudo sander110419 vient de publier une recette reproductible pour faire fonctionner Adobe Lightroom CC sur Linux. Pas Lightroom Classic, attention, mais bien la version Creative Cloud avec la synchronisation, qui dépend de plus de composants Windows.

Tout est documenté sur GitHub, avec les scripts, les DLL patchées et le mode d'emploi. La particularité, c'est qui a fait le travail. Le développeur a simplement donné une consigne à Claude Code, l'assistant de programmation d'Anthropic en ligne de commande, et il a regardé l'IA bosser.

La consigne tenait en une phrase : faire tourner Lightroom CC sur Linux, puis publier une recette reproductible. Et Claude Opus 4.7, le modèle utilisé, a tout fait en autonomie. Il a identifié les composants Windows manquants, écrit des stubs, des fausses DLL qui simulent le comportement attendu, patché celles qui posaient problème, testé le tout sous Wine 11.8 staging, puis rédigé le README et la documentation. L'humain a juste validé derrière.

Côté résultat, ça marche raisonnablement bien sur la dernière version testée (Lightroom CC 9.3.1). La synchronisation cloud fonctionne, l'interface répond, les fonctions de base sont là. Quelques boîtes de dialogue plantent encore, et certaines fonctions accélérées par la carte graphique ne sont pas complètement opérationnelles. Mais on est sur un usage réel possible, ce qui n'avait jamais été le cas auparavant pour cette version.

Au passage, c'est un cas d'école intéressant pour ceux qui suivent l'évolution des assistants IA. La tâche est typiquement le genre de travail que personne n'a vraiment envie de faire : ingrat, plein de tâtonnements, qui demande de lire de la doc obscure et de tester en boucle. Et c'est précisément le terrain où une IA en mode agentique tient le mieux la route aujourd'hui.

Source : Phoronix

Sur Linux, certains utilisateurs passent des heures à customiser leur bureau pour le rendre joli. Cette pratique a même un nom dans la communauté : le "ricing", de l'anglais "to rice", qui veut dire bichonner sa machine comme on bichonnerait une voiture tunée.

Un utilisateur vient de publier un projet baptisé "Waylandcraft" qui pousse le concept assez loin : tout son bureau ressemble à l'intérieur du jeu Minecraft, le célèbre bac à sable où l'on construit avec des blocs cubiques.

Pour comprendre la blague du nom, il faut savoir que la majorité des Linux modernes utilisent un environnement graphique appelé GNOME, c'est-à-dire la couche qui dessine les fenêtres, les menus et le bureau (l'équivalent visuel de Windows ou macOS). Cet environnement tourne par-dessus un système d'affichage techniquement nommé Wayland, le successeur récent du très vieux Xorg. Le créateur a donc fusionné "Wayland" et "Minecraft" pour donner "Waylandcraft", et le nom n'aurait pas eu de sens il y a encore deux ans.

Visuellement, le thème reprend tous les codes du jeu : icônes en cubes texturés style terre et bois, fond d'écran avec un paysage de plaine herbeuse, police pixelisée façon Minecraft, et même les boutons et menus qui ressemblent à des inventaires de joueur. C'est du travail de précision, chaque détail a été retravaillé pour coller à l'esthétique du jeu de Mojang.

Le projet a immédiatement explosé les échanges autour de son intérêt dans la communauté. C'est typiquement le genre de truc qui finit publié en libre accès, avec une notice détaillant chaque thème, chaque police, chaque petit script utilisé pour arriver au résultat. Et si vous voulez vous lancer dans la customisation Linux, sachez que ça peut vite devenir un loisir chronophage. Très chronophage.

Source : Reddit

Vous n'avez pas de Mac Silicon, mais vous avez vu passer mon article de ce matin sur vLLM-MLX et son serveur d'IA local ? Hé bien bonne nouvelle, je suis tombé ce midi sur Lemonade SDK , un serveur d'IA local communautaire sponsorisé par AMD (et largement codé par leurs ingénieurs), qui joue dans la même cour, mais côté PC + Mac !

C'est la même logique qu'avec vLLM-MLX, vous installez le serveur (un paquet clé en main selon votre OS, pas de bidouille pip), et il expose un endpoint compatible API OpenAI sur http://localhost:13305/api/v1. Vos scripts tapent dessus au lieu d'envoyer vos prompts, et votre pognon, chez OpenAI.

Le démarrage tient en une ligne. Un lemonade run Gemma-4-E2B-it-GGUF lance un modèle, et un lemonade launch claude branche carrément Claude Code sur votre machine.

Sauf que là où vLLM-MLX s'appuie sur MLX pour les puces Apple, Lemonade vise les NPU Ryzen AI et les GPU Radeon. Et c'est tout l'intérêt du truc car depuis la 10.0 sortie en mars, le NPU XDNA2 des machines Ryzen AI récentes sert enfin à faire tourner des LLM sous Linux, et plus juste à décorer la fiche technique !

La 10.5 apporte également 2 nouveautés qui valent le coup. D'abord, le support macOS passe de bêta à officiel. Toutes les grosses fonctions sont validées sur Mac (le texte via llama.cpp et Metal, le reste via les autres moteurs embarqués) et ensuite, ça bascule sur ROCm 7.13 pour llama.cpp et la génération d'images.

J'ai pas de PC Ryzen AI sous la main pour tâter du fameux NPU, donc j'ai fait mes tests sur mon GPU Metal à moi. Notez qu'un lemonade list crache tout le catalogue, Qwen, Gemma, Llama, DeepSeek et compagnie.

Et ça dépote ! Un petit Qwen3-0.6B dans le chat intégré tourne à ~96 tokens par seconde avec mes 32 Go de RAM, c'est donc une réponse quasi instantanée. Après un modèle de 0,6 milliard de paramètres, c'est le poids plume du ring, donc comptez nettement moins sur un gros 8B, mais ça tourne nickel.

Du coup, sur Mac, vLLM-MLX joue la carte du natif Apple via MLX, alors que l'intérêt de Lemonade c'est surtout le cross-plateforme et le NPU Ryzen AI. Et comparé à Ollama , vous gagnez ce NPU mais aussi les fonctions audio (synthèse vocale, transcription) + un gestionnaire graphique de modèles pour piocher vos modèles. Et tout ça est sous licence Apache 2.0.

Bref, que vous soyez team Mac ou team Ryzen, c'est zéro ligne de facture API en fin de mois et surtout vos données qui restent chez vous !

Source : Phoronix

Greg Kroah-Hartman, le numéro 2 du développement du noyau Linux après Linus Torvalds en personne, s'est offert un nouveau jouet en avril dernier : un assistant IA tournant en local sur son ordinateur, qu'il a appelé gkh_clanker_t1000 en clin d'œil au Terminator.

Le but, c'est de faire du fuzzing, c'est-à-dire balancer plein d'entrées bizarres sur du code pour voir ce qui casse. Et clanker, c'est l'argot anglais légèrement méprisant pour désigner les IA. C'est plutôt rigolo.

Le matériel, c'est un Framework Desktop, un mini PC modulaire et réparable, équipé du Ryzen AI Max+ "Strix Halo" d'AMD, avec ses seize cœurs et jusqu'à 128 Go de mémoire unifiée. Le tout fait tourner un grand modèle de langage en local, sans cloud, sans dépendance externe. Greg KH lui balance des bouts du noyau Linux à analyser, l'IA repère les fragments suspects, et lui, avec ses décennies d'expérience, regarde si c'est un vrai bug ou du bruit. Quand c'est un vrai bug, il écrit le patch lui-même.

Depuis avril, près de 24 patches issus de ce process ont été mergés dans la branche principale du noyau Linux. Ils touchent des sous-systèmes très variés : USB, HID, audio ALSA, partage de fichiers SMB, IO_uring, le pilote graphique Nouveau, et plein d'autres.

Tous portent une étiquette spéciale dans Git, "Assisted-by: gregkh_clanker_t1000", pour signaler à la communauté que l'IA a participé à leur découverte. C'est une transparence que pas mal d'autres projets feraient bien de copier.

Et la suite est déjà là. Greg KH travaille sur une version successeur baptisée gkh_clanker_2000, qui poursuit la même logique avec quelques évolutions de méthodologie. L'idée n'est pas que l'IA écrive du code à la place du mainteneur, mais qu'elle agisse comme un assistant qui débroussaille et signale, pendant qu'un humain expérimenté garde la responsabilité finale.

Le détail qui change tout, c'est que tout ça tourne en local. Pas d'API cloud, pas de fuite de bouts de noyau chez un fournisseur tiers. Pour un projet aussi sensible que le noyau Linux, ce n'est pas un détail. Et ça démontre qu'on n'a pas besoin de GPT-5 ou Claude Opus dans le cloud pour faire du travail sérieux d'analyse de code, un bon modèle local sur un bon PC suffit.

Source : Phoronix

Si vous avez déjà rêvé d'une machine portable qu'on peut démonter, réparer et améliorer pièce par pièce comme un Lego, l'objet construit par Jankbu va vous parler. Le YouTubeur, spécialisé dans la bidouille électronique, vient de publier la vidéo de son cyberdeck, c'est-à-dire un ordinateur portable maison taillé dans des composants choisis un par un, qui fait franchement penser à l'esthétique cyberpunk des années 80-90.

Au cœur de la bête, un Raspberry Pi 5 qui tourne sous Linux. Mais c'est tout autour que ça devient intéressant. Plutôt qu'une charnière classique d'ordi portable, Jankbu a opté pour un écran qui coulisse verticalement sur deux tiges en acier et roulements linéaires, avec une chaîne porte-câbles miniature pour éviter que les fils se coincent.

Le truc vraiment bien pensé, c'est le rail NATO qui équipe la machine. Ce rail standardisé permet de clipser et déclipser des modules à la volée. Et ça marche. Module d'alimentation avec des batteries NPF interchangeables (les mêmes que sur les caméras photo professionnelles), trackball récupéré d'une vieille souris Logitech Trackman Marble pour la navigation, poignée en aluminium massif usinée pour la robustesse... chaque pièce est pensée pour être démontable, remplaçable, modifiable.

La philosophie est claire : Jankbu déteste les laptops modernes scellés où vous ne pouvez rien réparer. Du coup, il a tout misé sur des connecteurs USB standard, du câblage modulaire, et des composants qu'on peut sourcer en magasin de bricolage. La machine est conçue pour faire du web et de la CAO, deux usages qu'on peut largement assurer avec un Pi 5 sans avoir à se ruiner sur un MacBook Pro.

MiniPlasma - La faille Windows que Microsoft croyait corrigée

Mon, 18 May 2026 12:51:20 +0200 - (source)

Si vous tournez sur un Windows 11 à jour, sachez qu'il existe une faille qui permet à un programme local spécialement conçu de grimper tranquillou jusqu'au compte SYSTEM. Pour rappel, c'est le compte tout-puissant de la machine, c'est à dire celui qui passe même au-dessus de l'administrateur ! Et cette faille elle s'appelle MiniPlasma, et elle vient d'être balancée en public sur GitHub par un chercheur planqué derrière le pseudo Nightmare-Eclipse.

Et le plus gênaaaaant dans l'histoire, c'est que Microsoft était censé avoir bouché ce trou depuis 2020, dans cette CVE-2020-17103 , après un signalement de James Forshaw, le chercheur du Project Zero de Google.

Le bug vit sa life dans cldflt.sys, le pilote Cloud Files de Windows. Ce truc c'est un composant système livré d'office avec l'OS, qui est principalement utilisé par OneDrive mais aussi par d'autres stockages cloud. Et bien sûr, il reste présent sur la machine même si vous ne touchez jamais à OneDrive.

Du coup, en passant par une API non documentée baptisée CfAbortHydration, l'exploit crée des clés de registre là où il ne devrait pas, et s'en sert pour détourner un chemin d'exécution privilégié, ce qui finit par lui ouvrir les droits SYSTEM.

Le code de démo est dispo sur le dépôt GitHub du projet , écrit en C#, et il lance directement un cmd.exe en SYSTEM quand ça fonctionne. Parce que oui, ça ne marche pas à tous les coups puisque c'est une race condition. Le taux de réussite varie donc d'une machine à l'autre.

Le PoC en action : à gauche, un compte « user » standard lance l'exploit (« Exploit succeeded ») et à droite, le shell obtenu où whoami renvoie nt authoritysystem.

Maintenant, le truc qui fait vraiment mal au cul, c'est que la fameuse faille patchée par Microsoft est donc toujours vulnérable 6 ans après sa détection. Personne ne vérifie chez krosoft ??? C'est dingue !

Selon le chercheur, c'est exactement la même faiblesse qu'à l'époque. Reste à savoir pourquoi ça leur a échappé. Le patch n'a peut-être jamais corrigé la racine du problème, ou il a sauté quelque part en cours de route, j'en sais rien... Faudra analyser le code de Windows et de ses MAJ au fil du temps pour comprendre où ça a merdé.

Du coup, votre machine peut avoir avalé tous les Patch Tuesday et rester quand même exposée à une élévation de privilèges locale dès qu'un attaquant (ou un malware) arrive à exécuter du code dessus.

J'sais pas vous, mais on a déjà vu ce film avec d'autres dossiers Windows, comme cette histoire de BitLocker contournable , ou encore ces contournements de Secure Boot signés Microsoft . Certains trous de sécu sont tout simplement increvables !

Nightmare-Eclipse n'en est d'ailleurs pas à son coup d'essai puisque le chercheur enchaîne les divulgations publiques de 0-days Windows depuis quelques semaines, du contournement BitLocker au déni de service sur Defender en passant par plusieurs élévations de privilèges, toujours avec le PoC qui va bien et zéro divulgation coordonnée.

Et y'a pas de "on prévient Microsoft et on attend gentiment 90 jours" ici. Il balance tout car il est a ras-le-bol de la lenteur de Microsoft. C'est violent, dangereux et clairement discutable côté éthique, mais ça met une grosse pression pour corriger au plus vite. Maintenant pour nous tous, ça signifie surtout qu'un PoC public et fonctionnel, ce sont des malwares qui vont vite l'intégrer.

Côté protection, il n'y a pas de correctif officiel ni la moindre déclaration de Microsoft et ucune mitigation validée par l'éditeur non plus. Puis pour un particulier, pas de moyen simple de savoir après coup si la machine a été touchée.

La bonne nouvelle (relative c'est vraie), c'est que l'attaque est purement locale, donc il faut déjà pouvoir exécuter du code sur l'ordi pour en profiter. Votre vraie défense, c'est donc votre hygiène tech habituelle, à savoir ne pas lancer le premier binaire douteux venu, se méfier des cracks et autres pièces jointes, et côté admins, une surveillance EDR des élévations de privilèges inattendues vaut mieux qu'une règle maison non testée.

Source

vLLM-MLX - Pour remplacer l'API d'OpenAI par votre propre Mac

Mon, 18 May 2026 11:23:41 +0200 - (source)

Si vous avez un Mac avec une puce Silicon et que vous en avez marre de raquer pour des tokens à chaque requête API à un LLM à la con, y'a un projet qui mérite, je trouve, le détour. Ça s'appelle vLLM-MLX , et c'est un serveur d'inférence local qui transforme votre Mac en machine à générer du texte, à analyser des images et vidéos, et même capable de gérer de l'audio... et tout ça sans que l'inférence ne passe par le cloud des zaméricains.

Pour installer le bouzin, ça se fait avec :

uv tool install vllm-mlx

Puis vous lancez suivi du nom d'un modèle et hop, vous obtenez un endpoint API compatible OpenAI qui tourne en local sur votre machine :

vllm-mlx serve %MODEL%

Au début je pensais que j'étais parti pour une séance de configuration qui aller durer des heures mais en fait non. Par exemple moi j'ai lancé ça :

vllm-mlx serve mlx-community/GLM-4.7-Flash-4bit

Vous pouvez aussi opter pour un modèle plus petit :

vllm-mlx serve mlx-community/Qwen2.5-Coder-3B-Instruct-4bit

Du coup, si vos scripts causent déjà avec l'API d'OpenAI, basculer sur ça en local rien qu'en changeant l'URL de base, c'est un jeu d'enfant !

Côté perfs, et là je reprends les benchmarks officiels du repo (M4 Max 128 Go, mono-requête), on tourne autour de 418 tok/s sur un petit Qwen3-0.6B en 8-bit. Ensuite, ça tombe à environ 206 tok/s sur du Llama-3.2-3B et 128 tok/s sur un gros Qwen3-30B-A3B.

Le débit grimpe aussi quand plusieurs requêtes tapent en même temps à la porte... Donc sur les petits modèles ça file vite, mais par contre, sur les gros, faudra pas s'attendre à la même vitesse, hein... Et un Qwen3-30B vous bouffera dans les 18 Go de RAM unifiée, donc sur un Mac à 8 ou 16 Go vous pouvez oublier les gros modèles (Mais qui n'a pas encore un Mac Studio 128 Go ?? hein ? Quiiii ?).

Et c'est pas juste un serveur de texte comme je vous le disais, puisque le projet gère les modèles de vision type Gemma 3, Qwen3-VL, Pixtral, pour analyser images et les vidéos, et côté audio y'a du TTS natif (avec Kokoro, Chatterbox et compagnie) + de la transcription Whisper qui monte jusqu'à 197x le temps réel avec whisper-tiny, ou 55x avec le modèle turbo.

Attention par contre, il vous faudra la version avec l'extra audio (espeak-ng et un modèle spaCy), car c'est pas inclus dans la commande de base. Mais une fois en place, y a de quoi se monter un vrai assistant vocal 100% local et causer synthèse vocale sans louer un GPU chez Azure ou AWS.

Même le endpoint /v1/messages est compatible Anthropic, ce qui permet de brancher Claude Code ou OpenCode directement sur votre serveur comme je vous l'expliquais ici . Suffit d'utiliser ces variables d'environnement et votre éditeur IA ira taper sur votre propre machine plutôt que sur des serveurs distants.

unset ANTHROPIC_API_KEY
export ANTHROPIC_BASE_URL="http://127.0.0.1:8000"
export ANTHROPIC_AUTH_TOKEN="dummy"
claude --model mlx-community/GLM-4.7-Flash-4bit

ou :

claude --model mlx-community/Qwen2.5-Coder-3B-Instruct-4bit

Avouez que c'est trop cool hein ? Vous pouvez trouver tous les modèles pour MLX ici sur HugginFace si vous cherchez un truc plus spécifique.

Y'a aussi un endpoint d'embeddings pour faire du RAG en local, de l'appel d'outils externe via MCP avec une douzaine de parsers et le support des modèles de raisonnement qui extraient proprement le processus de réflexion entre les balises <think> pour Qwen3 et DeepSeek-R1.

J'adore !

Côté bidouille si vous vous lancer, sachez qu'il y a 2 ou 3 flags vachement utiles à connaitre.

Par exemple, le --warm-prompts (couplé au continuous batching) précharge les préfixes populaires au démarrage et, dans le bon scénario, vous gagne entre 1,3 et 2,25x sur le temps de première réponse.

Sur les gros modèles MoE genre Qwen3-30B-A3B, le --moe-top-k réduit aussi le nombre d'experts activés pour gratter 7 à 16% de débit. Le hic, c'est que vous y perdez un poil de qualité.

Et pour les agents qui brassent des contextes énormes, le --ssd-cache-dir déverse le cache de préfixes sur SSD pour soulager la RAM, au prix d'un peu de latence quand ça tape sur le disque.

Bref, si vous cherchez une alternative à Ollama qui tape direct dans le GPU de votre Mac avec du batching et du multimodal, le tout avec une compatibilité API aux petits oignons, foncez les amis ! C'est open source (Apache 2.0), ça dépote et ça s'installe en deux commandes !

Et si vous êtes sur PC plutôt que sur Mac, j'ai écrit la suite sur Lemonade SDK , l'équivalent côté AMD qui tape dans le NPU Ryzen AI.

Merci à Christian pour la découverte !

L'histoire géniale du programmeur qui a tout effacé en 1981 à cause d'une astérisque

Mon, 18 May 2026 10:46:14 +0200 - (source)

Sur The Register, un témoignage improbable d'un lecteur qui raconte la fois où il a effacé toutes les données et tout le code de son entreprise. Voilà qui date pas mal, puisque c,'était en 1981, il avait 21 ans, et il développait tout seul un script de nettoyage pour un mainframe IBM. Le genre de mission qu'on ne devrait pas trop confier à un dev junior sans relecture. C'est précisément ce qui a été fait, et la suite est exactement ce que vous pouvez imaginer.

Le système gérait des machines virtuelles pour les utilisateurs, chacune avec son disque attaché et une lettre attribuée de A à Z. À la fin de la journée, le script de Miller, notre héros, faisait trois choses simples : il rattachait tous les disques, les sauvegardait sur un disque temporaire, puis effaçait les originaux. Le problème, c'est que le disque temporaire recevait une lettre dynamique, pas prédictible à l'avance. Donc Miller avait écrit du code pour récupérer cette lettre au moment où elle était attribuée.

Sauf que voilà. Un jour, l'entreprise ajoute un nouveau compte utilisateur. Et là, les 26 lettres de l'alphabet sont toutes occupées. Le système ne peut plus attribuer de lettre au disque temporaire. 

La fonction censée renvoyer la lettre ne renvoie pas une erreur, mais une astérisque. Sauf que dans la plupart des langages de scripting shell, l'astérisque est un caractère joker qui veut dire "tout ce que tu trouves". Quand la commande de suppression s'exécute avec un astérisque à la place d'une lettre précise, elle ne supprime pas un disque. Elle supprime tout. Chaque fichier, toutes les données, tout le code de l'entreprise.

Une journée complète a été nécessaire pour restaurer ce qui pouvait l'être. Une vingtaine de collègues sont restés à se tourner les pouces pendant la restauration. Miller, lui, a appris ce jour-là pourquoi le contrôle de code par un pair existe. Plus de quarante ans plus tard, il dit que la leçon ne l'a jamais quitté.

L'histoire date de 1981, mais elle reste actuelle à un détail près. Aujourd'hui, on a les revues de code, les sauvegardes incrémentales, les snapshots, les outils de récupération, et on confie quand même des scripts shell critiques à des assistants IA qui n'ont pas toujours conscience de ces pièges . L'astérisque parasite n'a pas disparu, elle a juste changé de support. Méfiance donc !

Source : The Register

< Older

Powered by VroumVroumBlog 0.1.31 - RSS Feed
Download config articles