Dans ce tour d’horizon tu verras une attaque sur la chaîne d’approvisionnement qui touche les paquets Mistral et TanStack, le modèle Mythos d’Anthropic qui trouve autonomement des zero‑days, Google annonçant que 75 % du code est IA, de nouveaux accords d’évaluation IA aux États‑Unis, et la fuite de Gemini 3.2 Flash avant I/O.
Les plus grandes histoires de développement d'IA en ce moment
Suit les versions de modèles, les rounds de financement et les mises à jour d'outils qui importent pour les développeurs et les constructeurs.
1. La chaîne d'approvisionnement sous attaque
12 mai 2026
Une campagne de chaîne d'approvisionnement de logiciels coordonnée nommée "Mini Shai-Hulud" a frappé deux des écosystèmes de packages les plus utilisés dans le monde du développement d'IA le même jour. Les attaquants ont injecté du code malveillant dans le package PyPI de Mistral v2.4.6 et dans plusieurs packages npm de TanStack, notamment `@tanstack/react-router`, `@tanstack/history` et `@tanstack/router-core`. Les packages TanStack seuls sont téléchargés des dizaines de millions de fois par semaine, ce qui rend la portée potentielle inhabituellement large.
Le vecteur d'attaque est simple et difficile à détecter avant que les dégâts ne soient faits. Le code injecté dans le package Mistral s'exécute automatiquement à l'importation, sans invocation explicite par le développeur. Il télécharge ensuite une charge utile externe à partir d'un serveur distant et lance une attaque de deuxième étape ciblant les systèmes Linux. Les informations d'identification de GitHub, les informations d'identification cloud et les jetons CI/CD figurent parmi les catégories d'exposition signalées. Microsoft a confirmé qu'il enquêtait activement sur la compromission de Mistral PyPI v2.4.6.
Le raccourci ultime vers des résultats IA impeccables
Arrête de perdre du temps avec des prompts approximatifs. Obtiens des résultats IA constants et professionnels dès le premier essai, à chaque fois.
Ce qui rend cet incident particulièrement pertinent pour les développeurs d'IA, c'est le profil cible. Le SDK Python de Mistral et les bibliothèques de routage de TanStack sont toutes deux des dépendances courantes dans les projets liés à l'IA. Les développeurs qui construisent des pipelines d'agents, des enveloppes LLM ou des interfaces de frontend modernes pour les outils d'IA sont directement concernés. La campagne signale que les outils de développement d'IA sont maintenant une cible attractive pour les attaquants de chaîne d'approvisionnement, et non plus seulement une catégorie de productivité.
La divulgation est venue de la société de sécurité Aikido, qui a signalé les packages TanStack en premier avant que la compromission de Mistral ne soit découverte quelques heures plus tard. Les deux attaques semblent faire partie de la même campagne en cours. Ni Mistral ni TanStack n'avaient fait d'annonce publique au moment de la divulgation.
Attention : Épinglez tous les packages Mistral et TanStack aux versions vérifiées et exécutez `npm audit` et `pip-audit` avant le prochain déploiement.
2. Mythos trouve des zero-days de manière autonome
7 avril 2026
Anthropic a introduit Claude Mythos Preview, un modèle généraliste de pointe que la société décrit comme un changement de cap par rapport à son prédécesseur, Claude Opus 4.6. Le modèle n'a pas été formé explicitement pour des travaux de cybersécurité. Ses capacités de découverte de vulnérabilités sont apparues comme une conséquence en aval des améliorations générales de la raison, de la compréhension de long contexte et de l'ingénierie logicielle, ce qui rend le résultat plus difficile à rejeter comme une démonstration de capacité étroite.
Au cours d'une période de plusieurs semaines, Anthropic a utilisé Mythos pour exécuter des analyses de sécurité autonomes sur tous les principaux systèmes d'exploitation et navigateurs. Le modèle a identifié des milliers de vulnérabilités zero-day, dont beaucoup sont critiques, sans orientation humaine après un prompt initial. Parmi les découvertes, une faille de 27 ans dans OpenBSD, un système d'exploitation ayant une longue réputation de plate-forme la plus sécurisée, largement utilisé pour exécuter des pare-feu et des infrastructures critiques.
La différence de performance par rapport à Opus 4.6 sur des tâches de génération d'exploits contrôlées est significative :
Modèle
Exploits Firefox fonctionnels sur des centaines de tentatives
Claude Opus 4.6
2
Claude Mythos Preview
181
Sur le corpus OSS-Fuzz, Mythos a réalisé une prise de contrôle complète du flux de contrôle sur dix cibles entièrement corrigées. Les ingénieurs d'Anthropic, sans formation formelle en sécurité, ont demandé au modèle de trouver des vulnérabilités d'exécution de code à distance et ont trouvé des exploits complets et fonctionnels qui les attendaient le matin. Anthropic décrit la situation comme un moment charnière : la fenêtre entre la découverte d'une vulnérabilité et son exploitation a été réduite de mois à heures.
Compte tenu de ces capacités, Anthropic a décidé de ne pas rendre le modèle public. Au lieu de cela, il a lancé le projet Glasswing, un consortium restreint de 12 organisations partenaires qui utiliseront Mythos pour identifier et corriger les vulnérabilités dans les logiciels critiques avant de rendre les résultats disponibles à l'industrie plus large. Les partenaires incluent Apple, Amazon, Cisco, CrowdStrike, Google, JPMorgan Chase, la Linux Foundation, Microsoft, NVIDIA et Palo Alto Networks. Anthropic s'est engagé à fournir 100 millions de dollars en crédits d'utilisation au projet. Pour les organisations en dehors du consortium, l'accès à Mythos est limité à un groupe surveillé d'environ 40 organisations qui construisent ou maintiennent des logiciels critiques.
Conseil : Mythos est facturé cinq fois le coût d'Opus 4.6 pour les partenaires de Glasswing. Intégrez les tarifs en fonction du niveau dans votre planification budgétaire d'API.
Dans un billet de blog public, Sundar Pichai a confirmé que 75 % de tout le code nouveau de Google est désormais généré par l'IA et examiné par des ingénieurs avant son expédition. Le nombre est frappant en soi, mais la trajectoire le rend encore plus. En 2024, la part était de 25 %. À l'automne 2025, elle avait doublé pour atteindre 50 %. Le saut à 75 % en l'espace de deux trimestres reflète une accélération, et non un plateau.
Période
Part de code généré par l'IA
2024
25 %
Automne 2025
50 %
Avril 2026
75 %
Les gains de productivité que Pichai a cités sont concrets. Une migration de code complexe réalisée par des agents et des ingénieurs travaillant ensemble s'est déroulée six fois plus vite que la tâche équivalente un an plus tôt avec des ingénieurs seuls. Pichai a décrit la direction du voyage comme un déplacement vers des "flux de travail réellement agents", où les ingénieurs fonctionnent de plus en plus comme des orchestrateurs de forces de tâche numérique autonomes plutôt que comme auteurs directs de code.
Google n'est pas seul dans cette direction. Meta vise une part de code généré par l'IA comparable d'ici la mi-2026. Anthropic a déclaré que entre 70 et 90 % de son propre code est écrit avec Claude Code. Mais la divulgation de Google porte un poids particulier en raison de son ampleur. La société emploie des dizaines de milliers d'ingénieurs et exploite certaines des infrastructures logicielles les plus complexes du monde.
L'image interne est plus compliquée que le nombre d'en-tête suggère. Le New York Times a rapporté que Google a poussé les employés à créer autant d'agents IA que possible, de sorte que d'autres agents ont dû être introduits simplement pour trouver et noter les agents existants, produisant une boucle récursive qui a suscité la colère et l'anxiété parmi le personnel. Certains employés cherchent de nouveaux emplois ou se positionnent pour être licenciés avec une indemnité de départ. Google a également formellement lié l'utilisation de l'IA aux évaluations de performance des ingénieurs pour 2026, ce qui signifie que les développeurs qui ne démontrent pas d'adoption active risquent des évaluations négatives.
Conseil : Si votre équipe n'a pas encore de métriques d'adoption d'IA, définissez-les maintenant avant que la direction ne le fasse pour vous.
4. Trump fait volte-face sur la surveillance de l'IA
5 mai 2026
Le Centre pour les normes et l'innovation en matière d'IA (CAISI), une division du ministère du Commerce des États-Unis située au sein de NIST, a annoncé de nouveaux accords d'évaluation préalable avec Google DeepMind, Microsoft et xAI d'Elon Musk. Les accords permettent au gouvernement américain de tester des modèles d'IA de pointe dans des environnements classifiés avant qu'ils ne soient mis à la disposition du public. La démarche représente un changement notable d'attitude pour une administration qui s'était explicitement positionnée contre les cadres de sécurité et de surveillance de l'IA établis sous la présidence de Biden.
CAISI est le successeur rebaptisé de l'Institut de sécurité de l'IA des États-Unis de l'ère Biden. Au début de l'administration Trump, l'institut a été effectivement marginalisé et son personnel réduit. Les nouveaux accords représentent un renversement. CAISI a désormais terminé plus de 40 évaluations de modèles, notamment des évaluations de modèles de pointe qui restent non publiés. Le Congrès a approuvé des augmentations de financement pour les travaux d'IA de NIST en janvier 2026, notamment 55 millions de dollars pour les efforts de recherche et de mesure d'IA et jusqu'à 10 millions de dollars spécifiquement pour l'expansion de CAISI.
La portée du programme d'évaluation couvre trois catégories de risques :
Cybersécurité - évaluation de la capacité d'un modèle à découvrir et à exploiter des vulnérabilités logicielles de manière autonome
Biosécurité - évaluation du potentiel d'amélioration pour les acteurs de menaces biologiques cherchant à synthétiser ou à déployer des agents dangereux
Risques d'armes chimiques - évaluation de la capacité d'un modèle à aider à la synthèse ou à la mise en œuvre d'armes chimiques
Fortune a rapporté que le renversement de politique a été déclenché directement par le modèle Mythos d'Anthropic et sa capacité démontrée à trouver et à exploiter des vulnérabilités critiques de manière autonome. La Maison Blanche est également rapportée comme consultant un groupe d'experts sur un éventuel décret exécutif qui créerait un processus de révision formel pour les systèmes d'IA avancés avant leur sortie. Le directeur de CAISI, Chris Fall, a déclaré que "la science de mesure indépendante et rigoureuse est essentielle pour comprendre l'IA de pointe et ses implications en matière de sécurité nationale". OpenAI a confirmé séparément qu'il avait fourni GPT-5.5 au gouvernement avant sa sortie publique pour des tests et évaluations de sécurité nationale.
Les accords existants avec OpenAI et Anthropic, initialement signés en 2024 sous la présidence de Biden, ont été renégociés pour refléter les directives mises à jour de CAISI du secrétaire au Commerce Howard Lutnick et du plan d'action pour l'IA de l'Amérique.
Conseil : Surveillez les directives de CAISI comme un indicateur principal des exigences de conformité dans les industries réglementées.
Les utilisateurs ont découvert Gemini 3.2 Flash en cours d'exécution dans l'application iOS Gemini officielle et Google AI Studio sans aucune annonce préalable de la part de Google. La découverte a suivi le modèle établi de Google de sortir discrètement des mises à jour importantes de modèles dans la période précédant les grands événements. Des rapports ont émergé sur Reddit et ont été corroborés par des activités de benchmark sur Eleuther AI Arena. Google n'a pas publié de communiqué de presse ou de confirmation publique au moment de la découverte.
Les données de tarification divulguées extraites d'AI Studio positionnent Gemini 3.2 Flash comme une étape de montée en puissance rentable par rapport aux modèles Flash existants, rapportant une grande partie des capacités de Gemini 3.1 Pro dans les tâches de codage et de création tout en maintenant la vitesse de Flash :
Modèle
Prix d'entrée par million de jetons
Prix de sortie par million de jetons
Gemini 3.2 Flash (fuité)
0,25 $
2,00 $
Au-delà du modèle lui-même, la fuite a révélé deux signaux supplémentaires sur la direction de Google. Un nouvel onglet "Agents (bêta)" est apparu dans l'interface utilisateur de Gemini, actuellement inactif, suggérant que les capacités agentic à venir sont en préparation. Un lifting visuel intitulé "Liquid Glass" a également été repéré, présentant une barre de prompt en forme de gélule et des arrière-plans de gradient pulsant, conforme aux changements d'interface utilisateur de Gemini 2.0 précédemment mis en scène pour iOS.
Le même jour, Google a organisé son événement Android Show I/O Edition et a officiellement présenté "Gemini Intelligence", un répositionnement important. Plutôt que d'être une application autonome, Gemini Intelligence est décrit comme la couche d'intelligence qui s'exécute sous Android lui-même, similaire au concept d'Apple Intelligence intégré à iOS. La marque est apparue pour la première fois dans une vidéo confidentielle Pixel qui a surfacé plus tôt dans la semaine. La nouvelle gamme de laptops Googlebook, conçue de scratch autour de Gemini Intelligence, a également été annoncée lors de l'événement. La révélation complète pour les développeurs de Gemini 3.2 Flash et toute autre annonce de modèle est attendue à Google I/O le 19 mai.
Conseil : Réduisez les contrats de modèle Gemini jusqu'à ce que l'annonce I/O confirme les spécifications et les tarifs finals.
