Nicolas Fonrose

@maximsagot On aimerait que tout ça soit un poisson d’Avril … Le fait que la correlation horaire ne soit pas obligatoire ASAP est vraiment dingue. Ça laisse vraiment planer un doute sur le réel objectif de tout ça (la décarbonation réelle passe au second plan)

L'idée que la corrélation mensuelle pourrait être d'application dans les mix électriques dont l'intensité carbone serait <180 gCO2e/kWh souffre de deux écueils. 1⃣ Avec une électricité si carboné, l'hydrogène produit présente un bilan carbone jusqu'à ~10 kgCO2e/kgH2, équivalent à l'hydrogène fossile qu'il est sensé substituer. L'intérêt environnemental est faible ou nul. 2⃣ Le critère de corrélation temporelle a justement du sens dans les mix électriques carbonés afin que la demande liée aux électrolyseurs ne puisse accroitre l'appel aux centrales thermiques fossiles

Cinq Etats membres appellent à réviser la réglementation 🇪🇺 technique et complexe encadrant la production d'hydrogène et d'e-fuels renouvelables. Les assouplissements demandés risquent cependant de relâcher un peu trop les exigences environnementales, là où la priorité devrait être la décarbonation des mix électriques... ⤵️ hydrogeninsight.com/policy/exclusi…

This is either brilliant or scary: Anthropic accidentally leaked the TS source code of Claude Code (which is closed source). Repos sharing the source are taken down with DMCA. BUT this repo rewrote the code using Python, and so it violates no copyright & cannot be taken down!

Deux A350, un 900 et un 1000, qui volent « en formation » au dessus de Toulouse ! Ça ressemble à un bug FlightRadar mais non, c’est la réalité :-) #Airbus

@jabial @GIE_SESAMVitale Je n’ai croyais pas, je viens de tester et c’est vrai. Coller interdit dans le champ mot de passe …

Mais non… L'appli Carte Vitale interdit les gestionnaires de mots de passe. En 2026 !!!!!!!!! Pour une app qui gère vos données de santé. L'application officielle de l'Assurance Maladie (@GIE_SESAMVitale) vous EMPÊCHE d'utiliser les outils de sécurité que TOUTES les agences de cybersécurité du monde recommandent. Copier-coller bloqué. Remplissage auto bloqué. Clavier personnalisé imposé. Le mot de passe doit faire 10 à 19 caractères avec majuscules, chiffres, symboles. Mais il faut le taper. Lettre. Par. Lettre. Sur un clavier custom. Deux fois. Résultat ? Personne ne va utiliser un mot de passe fort. Les gens vont taper "Vitale2026!" et passer à autre chose. Ce n'est pas de la sécurité. C'est l'exact opposé. Le NIST, LA référence mondiale en cybersécurité, écrit dans sa norme SP 800-63B (celle que Google, Apple, Microsoft et tous les adultes de la tech suivent) : "Verifiers SHALL allow the use of password managers." "Verifiers SHOULD permit claimants to use the paste function." SHALL. En langue normative, ça veut dire OBLIGATION. pages.nist.gov/800-63-4/sp800… Mais attendez, peut-être que la France a un avis différent ? Non. L'@ANSSI_FR recommande l'utilisation d'un coffre-fort de mots de passe. Guide officiel cosigné avec la @CNIL. L'ANSSI CERTIFIE ELLE-MÊME des gestionnaires de mots de passe (certification CSPN). messervices.cyber.gouv.fr/guides/recomma… Donc résumons. Le NIST dit : autorisez les gestionnaires. L'@ANSSI_FR dit : utilisez un coffre-fort. La @CNIL cosigne. Google le fait. Apple le fait. Votre banque le fait. Et le @GIE_SESAMVitale, depuis Le Mans, dit : "non, nous on sait mieux." L'audace. La recherche le documente depuis 15 ans : quand vous torturez les gens pour saisir un mot de passe, ils choisissent le plus court et le plus simple qui passe la validation. Vous n'avez pas renforcé la sécurité. Vous avez FABRIQUÉ de l'insécurité. Avec de l'argent public. À l'échelle nationale. Le plus beau ? Sur le Google Play Store, un utilisateur a exactement signalé le problème. Réponse officielle du @GIE_SESAMVitale : "Le clavier spécifique apporte le niveau de sécurité nécessaire." C'est faux. C'est factuellement, scientifiquement, normativement faux. Mais c'est dit avec aplomb, donc ça passe. play.google.com/store/apps/det… Je ne crois pas une seconde que les développeurs du GIE ignorent tout ça. Ce genre de décision se prend dans une salle de réunion, par quelqu'un qui confond "pénible" et "sécurisé". Ce quelqu'un peut corriger ça dans la prochaine mise à jour. Trois choses : - Autoriser le remplissage auto - Autoriser le copier-coller - Supprimer le clavier custom C'est tout. @GIE_SESAMVitale vous vous décrivez comme "accélérateur d'échanges de confiance". Alors faites confiance à l'@ANSSI_FR. Faites confiance au NIST. Faites confiance à la @CNIL. Et arrêtez de punir 58 millions de Français parce que quelqu'un a pris une mauvaise décision UX un mardi après-midi. On attend la mise à jour. 🫡 cc @fs0c131y @_SaxX_ @Numerama @nextaborant

I was thinking that, in the AI Coding Agent era, language choices would only matter for runtime performance (and maybe compilation speed). But I will move to strong-typing for all AI agent generated code moving forward. Too many tokens wasted due to weak typing. 2/2

I’ve been creating code with Gemini CLI (3.1-pro and 3-flash) for 2 solid months now, with both Java and Python And « strong typing » really wins because it helps the agent a lot. Many errors are caught early by the agent when using typed languages 1/2

Golfech avec ses deux tranches qui carburent à 1300MW chacune :-)

I wish Claude Code would automatically include the prompts + the full context in a repo as a git commit "note". The full conversation that led from zero to feature, and I want it in git blame, not just who did it, but what the conversation was. Is there something like this?

what i’m coming to understand is software modularity is more important than ever before. as the agents are forgetful what ya gotta do is push stuff down as an infrastructure concern. let’s take logging/tracing - move that from an application level concern to an infrastructure middleware/effect concern that provides application tracing for free that way when the clanker forgets to sprinkle it in control flow it doesn’t matter. less the agent has to do the better outcomes thanks for the convos @xoofx i think you are right.

Codex laughs at your petty guardrails

Oh, it just got worse. The [public github issue](github.com/BerriAI/litell…) has been closed as "not planned" by the owner, so they likely have been fully compromised.

Software horror: litellm PyPI supply chain attack. Simple `pip install litellm` was enough to exfiltrate SSH keys, AWS/GCP/Azure creds, Kubernetes configs, git credentials, env vars (all your API keys), shell history, crypto wallets, SSL private keys, CI/CD secrets, database passwords. LiteLLM itself has 97 million downloads per month which is already terrible, but much worse, the contagion spreads to any project that depends on litellm. For example, if you did `pip install dspy` (which depended on litellm>=1.64.0), you'd also be pwnd. Same for any other large project that depended on litellm. Afaict the poisoned version was up for only less than ~1 hour. The attack had a bug which led to its discovery - Callum McMahon was using an MCP plugin inside Cursor that pulled in litellm as a transitive dependency. When litellm 1.82.8 installed, their machine ran out of RAM and crashed. So if the attacker didn't vibe code this attack it could have been undetected for many days or weeks. Supply chain attacks like this are basically the scariest thing imaginable in modern software. Every time you install any depedency you could be pulling in a poisoned package anywhere deep inside its entire depedency tree. This is especially risky with large projects that might have lots and lots of dependencies. The credentials that do get stolen in each attack can then be used to take over more accounts and compromise more packages. Classical software engineering would have you believe that dependencies are good (we're building pyramids from bricks), but imo this has to be re-evaluated, and it's why I've been so growingly averse to them, preferring to use LLMs to "yoink" functionality when it's simple enough and possible.

Wow, the embedded `claude` coming with `cmux` has created 72.4k log files in my `~/.claude/debug` folder totalling 330Gb !!! And that just over 5 days And I’m not even using Claude Code (I’m using Gemini CLI) All issues have found about this seem closed

damn this is so good and encapsulates everything I've been seeing/saying in the last few months - a spec that is sufficiently detailed to generate code with a reliable degree of quality is roughly the same length and detail as the code itself - so don't review those things, just review the code at that point, if you care enough about that level of abstraction - unless you're vibing side projects or prototypes (yes, even zero-to-one software), you ABSOLUTELY SHOULD care about the code at that level of abstraction - you need to find SOME way to get more leverage over coding agents though, because just reading all that code is a pain, esp when a lot of it is slop - the default/dare-i-say-decel way is to go back to "i own the execution, and give little things to the agent, check it along the way" - the accel-but-safe-way is to find something - NOT A SPEC (the word "spec" is broken anyway) - NOT 3 INVOCATIONS OF AskUserQuestion - that lets you resteer the model *before* it slops out N-thousand LOC

@natmakar @GabLattanzio Le sujet c’était le système électrique (pas l’ensemble des émissions) et mon tweet parle de 2020-2026 (pas depuis 2011). La source est la même que la votre, mais en restant sur le sujet et la temporalité initiale. 2020 - 356g CO2e/kWh 2025 - 332g CO2e/kWh

@nfonrose @GabLattanzio Source? Réalité: augmente durant COVID puis continue à diminuer: eea.europa.eu/en/analysis/in… Toutes émissions: ourworldindata.org/grapher/co-emi…

À l'heure de ce tweet, la France produit 27 grammes de CO2 par kwh. L'Allemagne... 332. 12 fois plus. LFI propose ici de polluer autant que l'Allemagne.

After the latest `brew upgrade gemini-cli` to move from `0.33.1` to `0.33.2`, Gemini CLI refuses to start because of a node issue. `brew upgrade node@22` fixes it (node@22 22.22.0_1 -> 22.22.1_3) Cc @geminicli (hope it helps fixing the brew recipe)

@natmakar @GabLattanzio Les émissions en Allemagne ne baissent quasiment plus depuis 2020 (bien entendu en lissant les variations liées à la crise Ukrainienne de 2022) Donc l’argument de la différence de date de démarrage de transition du système elec n’est pas très convaincant

@GabLattanzio Cette comparaison est absurde. makarevitch.com/aveComparaison…

recommended reading sure to ruffle some feathers. but it's largely true for now. keeping the complexity off the bay is really hard, espwcially if you go full agent orchestration. even if you don't, and human in the loop a lot, automation bias kicks in and your reviews of agent generated code become mostly performative.

@BenHadley @thekitze They don’t even have to go over the blue bubble thing. You can receive iMessage msgs on Android using Open Bubbles

@thekitze I switched from Android to iPhone, and I've been telling people that if they just got over the blue bubble thing, they would be white. I'm wildly surprised at how much better Android is in almost every single way.

i swear to god i'm not baiting with this but after a few weeks of using android picking up my iphone is like using a toy phone... idk how i lived with that notification center, home screen, ai assistant, liquid bs and literally everything else even the battery life is better 💀

@ScopoApp Looks very interesting! Does the restore feature support multi screens setups?

@theo This is my first time launching something publicly. I'd genuinely love to hear what you think... what works, what doesn't, what's missing. If you try it, tell me how it feels. DMs are open, replies are welcome. I want to make this better.

A few weeks ago @theo posted about "The Agentic Code Problem", developers juggling multiple projects, hopping between terminal tabs, losing focus. I felt that in my soul. So I built a fix. Meet Scopo! Cmd+Tab, but it only shows windows from your current project.