Voilà un outil qui va plaire à ceux qui chassent les failles de sécurité... Ce projet s'appelle Security Skills et c'est un système de compétences pour agents IA (genre Claude Code ou Gemini CLI) qui transforme votre proxy mitmproxy en chasseur de failles automatisé. Vous lui dites "trouve-moi des problèmes de sécurité sur example.com" et l'IA se met à analyser le trafic HTTP intercepté en appliquant des patterns qu'elle a appris de vrais bugs rémunérés.

Le mec derrière cet outil a commencé par récupérer 10 000 rapports de bugs sur HackerOne via un dataset Hugging Face, qu'ensuite, il a filtré pour ne garder que les 4000 qui ont reçu un paiement, partant du principe que si une boîte a sorti le portefeuille, c'est que la faille était sérieuse. Et avec ces 4000 exemples concrets, il a créé 17 Skills différents qui savent détecter des trucs comme les IDOR (quand vous pouvez accéder aux données d'un autre utilisateur juste en changeant un ID dans l'URL), les SSRF, les injections SQL, les fuites de secrets et j'en passe.

Ce qui est malin avec cette approche, c'est qu'il n'a pas essayé de tout coller dans le prompt système du LLM. Comme sa première version avec 150 descriptions de bugs collées directement dans les instructions faisait exploser les coûts et le contexte, il a décidé de découper ça en modules réutilisables. Chaque Skill étant un fichier markdown avec ses propres patterns de détection, quand vous demandez à l'IA de chercher des failles d'authentification, elle va chercher le bon Skill et l'appliquer intelligemment.

Le système tourne avec CodeRunner, un serveur MCP open source qui exécute du code IA dans une sandbox isolée sur Mac donc c'est plutôt moderne, et ça utilise aussi les conteneurs natifs d'Apple pour l'isolation et ça supporte pas mal de LLM différents comme Claude, ChatGPT, Gemini ou même des modèles locaux.

Et le succès est au rendez-vous car l'auteur raconte avoir testé son système sur Vercel et trouvé une faille sur leur endpoint /avatar?u=USERNAME qui permettait d'énumérer les noms d'utilisateurs. Le genre de bug classique IDOR que l'IA a repéré automatiquement en analysant le trafic capturé. Bon, c'est pas le hack du siècle, mais ça prouve que le système arrive à appliquer ce qu'il a appris des vrais rapports de bug bounty.

Pour l'installer, faut cloner le repo CodeRunner, puis lancer l'installeur et le serveur MCP deviendra accessible localement. Ensuite vous pouvez l'utiliser avec n'importe quel client compatible MCP, que ce soit Claude Desktop, Gemini CLI ou même votre propre interface. Les Security Skills sont dans un repo séparé et contiennent toute la logique de détection dérivée des 4000 rapports en question.

Voilà encore un bel exemple de comment on peut vraiment utiliser les LLM pour des tâches de sécurité concrètes, et pas juste pour générer du code. Et j'ai trouvé l'idée d'apprendre à partir de vrais bugs payés plutôt que de documentation théorique, plutôt pas con.

Voilà, si vous faites du bug bounty ou que vous voulez automatiser vos tests de sécu, ça vaut le coup d'y jeter un œil .

Vous utilisez Claude Code ? Alors vous savez probablement que l'outil d'Anthropic peut être étendu avec des "Skills", c'est à dire des modules qui ajoutent des capacités supplémentaires à Claude. Y'a un fichier SKILL.md, des scripts optionnels, et comme ça, votre assistant sait faire de nouvelles choses. Sauf que pour trouver ces skills quand on n'a pas envie de se les palucher à la main (ou à l'IA), faut aller les chercher dans les repos GitHub, fouiller les README, comparer les étoiles... La flemme quoi...

C'est la raison d'être de SkillsMP qui vient résoudre ce problème. C'est en fait un marketplace communautaire (pas affilié à Anthropic) qui agrège plus de 26 000 skills Claude provenant de dépôts GitHub publics, le tout présenté dans une interface qui ressemble à un App Store, avec des catégories, des stats, et tout le toutim.

Je vous préviens d'emblée, le site est un peu bordélique. Entre les filtres, les catégories (Développement, Outils, Data & AI, DevOps...), les tris par popularité ou mise à jour récente, et l'interface du tur-fu, faut un peu tâtonner au début. Mais une fois qu'on a pigé comment ça marche, c'est vraiment cool de pouvoir explorer tout ça au même endroit.

Le truc intéressant c'est que SkillsMP filtre automatiquement les repos de mauvaise qualité. Pour qu'un skill apparaisse, il faut minimum 2 étoiles sur GitHub. Ça évite de se retrouver avec des trucs abandonnés ou mal foutus. Y'a même un badge "Marketplace Ready" pour les skills qui ont un fichier marketplace.json bien configuré.

Pour installer un skill que vous avez trouvé, vous avez alors 3 options. Soit vous le mettez dans ~/.claude/skills/ pour l'avoir disponible partout sur votre machine. Soit vous le collez dans .claude/skills/ dans votre projet si vous voulez le partager avec votre équipe via Git. Soit vous passez par l'installation plugin avec une commande du genre /plugin marketplace add anthropics/skills.

La différence avec les commandes slash c'est que les skills sont "model-invoked". Ça veut dire que c'est Claude qui décide tout seul quand les utiliser en fonction du contexte de votre demande. Vous n'avez donc pas besoin de taper /truc pour activer un skill, il se déclenche automatiquement quand c'est pertinent.

Attention quand même, comme toujours avec du code open source venu d'Internet, les développeurs de SkillsMP le précisent bien, ils filtrent les repos pourris mais ça reste votre responsabilité de vérifier ce que vous installez. Un skill a accès à pas mal de trucs sur votre machine, donc prenez 2 minutes pour auditer le code avant d'installer un truc d'un développeur inconnu.

Bref, si vous passez beaucoup de temps sur Claude Code et que vous voulez découvrir ce que la communauté a créé comme extensions, SkillsMP c'est un bon point de départ. C'est gratuit, y'a pas besoin de compte, et ça vous évite de passer des heures à fouiller GitHub manuellement.

Un grand merci à Lorenper pour le partage !

Vous avez toujours voulu créer des workflows d'agents IA mais vous avez la flemme de coder tout ça à la main ? Hé bien y'a un projet open source qui va vous faire plaisir. Ça s'appelle Sim Studio et c'est une plateforme qui permet de construire des workflows d'agents IA de manière visuelle, un peu comme sur Figma.

Le principe c'est d'avoir un canvas sur lequel vous glissez-déposez des blocs : des LLMs, des outils, des connexions à des services tiers comme Slack, Gmail, Supabase ou Pinecone. Vous reliez tout ça avec des flèches et hop, vous avez votre workflow qui tourne. Pas besoin d'écrire une seule ligne de code si vous voulez pas.

Et le truc sympa c'est qu'il y a un Copilot intégré qui peut générer des nœuds, corriger les erreurs et améliorer vos flows directement à partir de langage naturel. Vous lui décrivez ce que vous voulez et il vous pond les blocs correspondants. Pratique pour les feignasses comme moi.

Côté fonctionnalités, c'est plutôt complet. Vous pouvez connecter différents modèles (des LLMs hébergés mais aussi des modèles locaux), brancher des bases de données vectorielles pour que vos agents puissent répondre à des questions basées sur vos propres documents, et contrôler finement comment chaque outil est utilisé.

Et une fois votre workflow prêt, vous avez plusieurs options pour le déployer. Soit vous le déclenchez manuellement, soit vous le transformez en API, soit vous le programmez pour qu'il tourne périodiquement. Y'a même moyen de le faire réagir à des webhooks, genre quand vous recevez un message Slack, ou de le déployer comme un chatbot standalone.

Le projet est backé par Y Combinator et ils annoncent déjà plus de 60 000 développeurs qui utilisent la plateforme. De plus, c'est SOC2 et HIPAA compliant, donc niveau sécurité c'est du sérieux pour ceux qui bossent dans des environnements exigeants.

Niveau déploiement, bien sûr, vous avez le choix. Soit vous utilisez leur version cloud sur sim.ai , soit vous self-hostez le bazar avec Docker Compose ou Kubernetes. Pour les paranos qui veulent garder le contrôle total sur leurs données, c'est possible de tout faire tourner en local avec Ollama.

Pour l'installer en local, c'est assez simple. Vous pouvez lancer directement avec npx simstudio ou passer par Docker. Niveau technos, le projet utilise Next.js, PostgreSQL avec pgvector, et ReactFlow pour l'éditeur visuel.

Bref, si vous cherchez un outil pour bricoler des workflows d'agents IA sans vous prendre la tête avec du code, c'est open source et gratuit .

Merci à Letsar pour la découverte !

Vous avez des LEGO qui traînent chez vous et vous cherchez un projet un peu original à faire avec ? Hé bien j’ai trouvé un truc sympa pour vous occuper ce week-end : Construire un QR code fonctionnel en briques LEGO.

Ça s’appelle Brick QR Code et c’est un générateur en ligne qui transforme n’importe quelle URL en instructions de montage LEGO. Vous entrez votre lien, le site génère le pattern, et hop vous avez tout ce qu’il faut pour construire un QR code scannable avec vos petites briques colorées.

Un QR code c’est juste une grille de carrés noirs et blancs, et ça tombe bien parce que les LEGO 1x1, c’est totalement ça. Le site vous donne les instructions étape par étape, un modèle 3D pour visualiser le truc, et surtout une liste de pièces compatible BrickLink pour commander exactement ce qu’il vous manque.

Pour que ça marche, il faut respecter quand même quelques règles de base. D’abord, la taille minimum d’un QR code c’est 21x21 studs, mais ça peut monter plus haut selon la longueur de votre URL. Ensuite, et c’est super important, il faut absolument une bordure blanche autour du code sinon votre téléphone n’arrivera pas à le scanner. C’est le piège classique dans lequel tout le monde tombe au début.

D’ailleurs, le fait que ça soit en LEGO ne pose aucun problème de lecture. Malgré la surface un peu irrégulière des briques avec les studs qui dépassent, les smartphones modernes scannent ça sans broncher. Y’a même des gens qui font ça depuis 2009 et qui confirment que ça fonctionne nickel.

Après, c’est surtout un projet fun à faire pour le délire. Vous pouvez coller ça sur la fenêtre de votre bureau pour impressionner vos collègues, l’offrir à quelqu’un avec un lien vers une playlist ou un message perso, ou juste le faire parce que c’est cool de construire un code qui marche vraiment. Et puis c’est quand même plus classe qu’un QR code imprimé sur du papier, non ?

Voilà, si vous voulez vous lancer, prévoyez une baseplate d’au moins 32x32 studs pour avoir de la marge avec la bordure, et assurez-vous d’avoir assez de pièces 1x1 dans deux couleurs bien contrastées. Le noir et blanc c’est le plus fiable, mais techniquement n’importe quel combo de couleurs avec un bon contraste devrait passer.

A découvrir ici : Brick QR Code

L’IA n’attend plus que vous : elle entre maintenant directement dans vos threads Slack pour écrire du code, réparer des bugs et ouvrir des pull requests. Anthropic vient de déclencher l’un des plus gros bouleversements de l’année dans le monde du développement logiciel : Claude Code débarque officiellement dans Slack, sous la forme d’une intégration beta pensée […]

L’article Claude Code s’invite dans Slack : Anthropic veut transformer chaque conversation en ligne de code est apparu en premier sur BlogNT : le Blog des Nouvelles Technologies.

Vous en avez marre des services de partage de code tout pourris qui vous demandent de vous créer un compte, ou de lier votre GitHub, et qui ensuite vous bombarde de bannières pubs ?

Hé bien y’a une alternative plutôt cool qui va vous plaire.

Ça s’appelle pbnj (oui, comme le sandwich au beurre de cacahuète - Peanut Butter aNd Jelly), et c’est un pastebin auto-hébergé qui vous permet de partager du code en tout simplicité. Pas de prise de chou avec de la gestion de users ou ce genre de choses… Vous y balancez du code et vous récupérez une URL à envoyer à vos amis.

Le truc sympa, c’est que ça génère des URLs faciles à retenir au lieu des classiques suites de caractères aléatoires. Comme ça vous avez des trucs du genre “coucou-tu-veux-mon-blog” plutôt que “x7f9k2m8”. Bon ok c’est un peu plus long, mais au moins vous pouvez le retenir ou le donner par téléphone sans épeler chaque lettre. Vous pouvez tester ce que ça donne en cliquant ici .

Côté fonctionnalités, on a de quoi faire avec de la coloration syntaxique dans plus de 100 langages différents avec 12 thèmes . Y’a aussi un outil en ligne de commande qui s’installe via npm et qui permet de balancer un fichier en une commande comme ceci :

`pbnj monfichier.py`

`npm install -g @pbnjs/cli`

`pbnj --init`

Vous développez une app SwiftUI et Claude vous balance du NavigationView alors qu’Apple recommande NavigationStack depuis la sorite d’iOS 16 ? Ou encore il vous sort @ObservableObject et @Published alors qu’on est passé à @Observable ?

Bienvenue dans le club des devs qui passent plus de temps à corriger les hallucinations de leur IA qu’à coder…

Ce problème, Aleahim, un développeuse macOS, en a eu marre alors elle a créé Cupertino, un serveur MCP qui donne accès à Claude à plus de 22 000 pages de documentation Apple en local. Plus besoin d’aller sur le net, et surtout plus d’excuses pour mélanger du code iOS 12 avec du SwiftUI moderne.

Ainsi, au lieu de laisser Claude deviner les API (et se planter une fois sur deux), on lui file l’accès direct à la vraie doc. Les 261 frameworks Apple sont là, indexés dans une base SQLite locale, avec un moteur de recherche full-text qui répond en moins de 100ms. SwiftUI, UIKit, AppKit, Foundation, Core ML, ARKit… tout y est.

L’écosystème se découpe ensuite en plusieurs repos GitHub. D’abord le serveur MCP principal qui fait le boulot d’indexation, ensuite un repo avec la doc pré-crawlée (parce que se taper 20 heures de téléchargement, merci mais non merci), et une collection de 606 projets d’exemple Apple officiels pour la route.

De quoi transformer Claude en assistant qui connaît VRAIMENT la plateforme.

Si ça vous intéresse, sachez qu’avant de vous lancer, faut être sur macOS 15 minimum avec Xcode 16 et Swift 6.2+. Côté espace disque, prévoyez 2-3 GB. Et si vous avez déjà bidouillé dans le terminal, que vous connaissez Git et que vous avez Claude Code installé, vous êtes bons. Comptez environ une quinzaine de minutes pour tout mettre en place.

Et rassurez-vous, je ne vous laisse pas tomber, on va attaquer l’installation ensemble. D’abord, récupérez le projet et compilez-le :

git clone https://github.com/mihaelamj/cupertino.git
cd cupertino
make build
sudo make install

git clone https://github.com/mihaelamj/cupertino-docs.git ~/.cupertino

# Swift Evolution, ~5 minutes
cupertino fetch --type evolution
# Doc complète, ~20-24h
cupertino fetch --type docs
# Sample code Apple, ~4 minutes
cupertino fetch --type samples

cupertino save

cupertino serve

claude mcp add cupertino --scope user -- /usr/local/bin/cupertino

Vous voyez cet emoji ? 😎󠄺󠄗󠅑󠅙󠄐󠅠󠅑󠅣󠄐󠅥󠅞󠄐󠅠󠅕󠅥󠄐󠅜󠅕󠄐󠅝󠅕󠅙󠅜󠅜󠅕󠅥󠅢󠅣󠄐󠅣󠅙󠅤󠅕󠄐󠅔󠅥󠄐󠅝󠅟󠅞󠅔󠅕󠄐󠄯 Hé bien, il contient peut-être un message secret que vous ne pouvez pas voir.

Non je ne suis pas devenu fou, c’est de la stéganographie Unicode et c’est le sujet de ma dernière vidéo.

L’idée c’est de planquer du texte invisible à l’intérieur de n’importe quel caractère grâce aux sélecteurs de variation Unicode. Ces petits caractères invisibles se glissent après un emoji et peuvent encoder un message complet. À l’oeil nu, vous voyez juste un smiley. Mais en réalité, y’a peut-être tout un paragraphe caché dedans.

Dans cette vidéo, je vous montre donc comment utiliser l’outil open source de Paul Butler pour encoder et décoder vos propres messages. On teste aussi si ChatGPT arrive à lire ces messages cachés et je vous explique les applications concrètes comme le watermarking de contenu ou l’envoi de messages discrets.

C’est une technique à la fois fun et utile à connaître, que ce soit pour protéger vos créations ou juste pour impressionner vos potes geeks.

J’ai tout expliqué en 13 minutes, accessible même si vous n’y connaissez rien en Unicode. Et un grand merci à mes soutiens sur Patreon sans qui rien ne serait possible !