The Unreliable Engineer

4/ Appliquer des garde-fous SRE à l'IA (read-only par défaut, approbation humaine). Observe ton agent comme un service de prod. Quelle brique tu veux creuser ?

1/ Savoir ce que le modèle sait faire (résumer oui, inventer non). 2/ Faire des évaluations sur ton vrai terrain, comme un incident miniature. 3/ Utiliser le tool calling pour transformer le risque.

Le prompt n'est pas ton système. L'IA pour le #SRE ne commence pas par 50 outils. Ton vrai métier démarre quand le modèle touche à ta prod. Voici la roadmap en 4 briques pour un agent fiable ⬇️

@KuptoKosmos Y’a un truc qui me dérange avec cette histoire c’est pourquoi 25k € Je dois pas bien connaître les prix du marché mais ça me semble bas. Un avis ?

Mistral n’a pas publié de nouvelle déclaration depuis le 12 mai sur la mise en vente des 450 repos ni sur le sample de code partagé par TeamPCP. Ils s’en tiennent à cet advisory : docs.mistral.ai/resources/secu…

🚨🇫🇷 Des hackers du groupe TeamPCP ont réellement fait une attaque "Mini Shai-Hulud" (un ver informatique) chez @MistralAI 👉 Ils n’ont pas attaqué Mistral directement 👉 Ils ont empoisonné des outils que les développeurs de Mistral utilisent tous les jours : des paquets npm et PyPI (des petits morceaux de code que tout le monde télécharge) 👉 L’outil le plus touché s’appelle TanStack (très populaire chez les développeurs) 👉 Résultat : quand un développeur de Mistral a utilisé ces outils infectés, son ordinateur personnel a été contaminé !! ⚠️ Les hackers ont volé ses mots de passe GitHub et ses clés d’accès aux serveurs internes Le 13 mai au soir, TeamPCP annonce détenir : ➡️ 5 Go de données 👉 Environ 450 dépôts Git privés (des dossiers de code source) : - Code pour entraîner les IA - Outils de fine-tuning (améliorer les modèles) - Agents KYC (vérification d’identité) - Agents finance - Dashboards internes - Projets expérimentaux Ils mettent tout ça en vente pour 25 000 dollars (prix fixe, un seul acheteur !) S’il n’y a pas d’acheteur dans une semaine, ils publieront tout gratuitement sur le forum !! 🇫🇷 Réaction de Mistral AI : 👉 Oui, ils ont été touchés par l’attaque TanStack 👉 Mais ils disent : "C’est seulement un ordinateur de développeur qui a été infecté. Notre grosse infrastructure n’a pas été touchée. Rien de grave"!! Aujourd’hui, 14 mai 2026 @seblatombe poste sur X un retour : - Les hackers répondent avec ironie : "S’ils ne considèrent pas cela comme critique, c’est leur choix" - Et surtout ils envoient un vrai extrait pris dans un dépôt interne de Mistral ! Ce code concerne : 🔴 La gestion des clients 🔴 Les abonnements API 🔴 Le calcul des coûts d’utilisation 🔴 Les métriques de facturation 🔴 L’export de données C’est du code vivant et stratégique, pas juste des noms de fichiers C’est la première "preuve technique" Résultat : ➡️ Les hackers ont bien accès à des parties internes ➡️ Ils ont aussi open-sourcé le code du worm sur GitHub pour que d’autres puissent l’utiliser ➡️ Mistral n’a pas encore réagi à cette nouvelle preuve ➡️ Dans 5 à 7 jours maximum, soit quelqu’un paie 25 000$, soit tout est publié gratuitement !! Des secrets de fabrication et une réputation en danger 🤦‍♂️ #CyberSécurité 🇫🇷🩸

@alexdesousa Dans le cas de l’agentic, il faut déjà améliorer la maturité de l’équipe en termes de méthodologies (gitops), sinon l’agent ira plus vite que l’équipe 😂 si t’es pas capable de rollback en moins de quelques minutes, tu peux pas te permettre d’introduire un agent.

@TheUnreliableEn Je suis d'accord sur l'importance de commencer simple. Mais n'oublions pas que la culture d'équipe et la communication sont tout aussi cruciales pour réussir avec ces briques. Comment les intégrer efficacement ?

DevOps/SRE + IA : ne commence pas par 50 outils. Commence par 4 briques : modeles, evals terrain, tool calling, garde-fous. Le prompt est visible. La vraie valeur est dans le systeme autour.

@alexdesousa Ouai j’en parlais dans un carrousel sur l’usage d’IA dans une PR. Faut respecter le rythme de son équipes, et faire preuve d’ownership en comprenant les changements mis en place.

Parce que en contrat B2B, on ne parle plus d'abonnement illimité. On parle de consommation API à l'usage de tokens. C'est comme ça qu'Anthropic fait plus de revenue qu'OpenAI. En te bloquant dans son écosystème, on te pousse à tordre ton workflow de dev.

Le plan d'Anthropic est simple : tu t'habitues à leur écosystème fermé. Tu t'habitues chez toi à brûler du token sans contrôler ton contexte, sans utiliser des solutions économiques (RTK, Caveman). Tu vas en entreprise pour demander Claude. Et là c'est différent.

Dans le monde de l'observabilité, on appelle ça du Vendor Lock-in. C'est quand on ne te laisse pas utiliser un standard open source et qu'on te pousse à utiliser uniquement une techno propriétaire. Mais Anthropic a bien un business plan derrière.

Security things from the last few days: - CopyFail (linux pwn'd) - CopyFail 2/Dirty Frag - 13 advisories in Next.js - Over 70 CVEs addressed in MacOS 26.5 - ~50 CVEs addressed in iOS 26.5 - YellowKey (Windows Bitlocker pwn'd entirely) - GreenPlasma (Windows privilege escalation) - CVE-2026-21510 and CVE-2026-21513 confirmed to be used by Russia for Windows RCE - CVE-2026-32202 separately confirmed to be used by Russia for sensitive document access - Mini-Shai Hulud (over 300 JS and Python packages compromised via GitHub Action cache poisoning) - Google confirms they have identified AI-powered exploitation of zero days in an unidentified "open-source, web-based system administration too" - Canvas (popular LMS used in most schools) pwn'd entirely - PAN-OS (palo alto networks) pwn'd with a 9.3 severity CVE-2026-0300 Are you scared yet?

Pas besoin d'utiliser Tanstack pour te faire voler tes secrets CI/CD sur #npm. 🚨 Cette attaque supply chain est contagieuse. J'analyse l'article de Socket.dev pour vérifier si votre infra est infectée. Allez checker les logs de vos runners #SRE.

La leçon SRE du jour : le vrai output d'une veille, ce n'est pas un foutu transcript brut, c'est une connaissance reliée et réutilisable.

La suite ? MLX Whisper transcrit l'audio en local sur Mac, sans dépendre d'une API externe. Mais le texte brut est crade. On nettoie les erreurs, on structure en notes atomiques (LLM-Wiki), et on utilise ffmpeg pour extraire les slides et preuves visuelles utiles. 🛠️

Regarder des vidéos YouTube pour ta veille ne sert à rien si l'info meurt dans ton historique. J'ai monté un pipeline d'ingestion 100% local inspiré du système de Andrej Karpathy. Étape 1 : On sécurise la matière première et les captions direct avec yt-dlp. Zéro perte.

À la demande de @LostRefiner je lance une série sur l’IA pour les DevOps et SRE. Comment l’introduire dans ton quotidien d'Ops : logs, incidents, Terraform, astreinte. Le sujet n'est pas "qui écrit le meilleur prompt". C'est "quelle friction de prod disparaît vraiment".

@Helix167791 That’s the next step when the size of my project will be bigger.

The gap between notes and published work is where most knowledge dies. GraphRAG bridges it—your vault becomes source material, not a graveyard. x.com/TheUnreliableE…

Chez vous, le workflow casse où ?

Je teste le pont inverse : sources -> idées -> scripts -> assets -> posts -> feedback.

Mon cerveau me demande de transformer mon tooling de production de contenu en produit. Est ce que je dois l'écouter ? Une note Obsidian qui ne rejoint jamais un script, un visuel ou une publication finit en archive morte. J'en ai fait un carrousel.