ulrich.dev

Articles.

Notes de terrain sur l'IA en production : ce qui marche, ce qui casse, et la discipline entre les deux. Le blog couvre les agents et leurs workflows à travers l'écosystème entier (Anthropic, OpenAI, Google, Perplexity, Microsoft), la sécurité des systèmes LLM (OWASP Top 10, threat modeling, supply chain), l'outillage open source et propriétaire qui tient la stack, la conformité RGPD côté builder, et l'analyse des incidents publics à mesure qu'ils définissent le périmètre du risque. Écrites depuis Paris, en français, par un ingénieur qui audite, ship et lit le code, pour les équipes tech comme pour les métiers (sécurité, conformité, risque, produit, direction) qui veulent l'analyse précise plutôt que la checklist optimiste, l'opinion assumée plutôt que le hype-cycle.

2026

Automatisation & agents · 5 juin 2026 · 9 min de lecture

Agent d'investigation de tickets support : le pattern de John Yeo qu'on peut reproduire

Automatiser l'investigation de tickets support : le pattern documenté par John Yeo, les trois ingrédients buildables, et l'écart de qualité local vs cloud.

Web & produit · 5 juin 2026 · 8 min de lecture

MiniGun de Ran Aroussi : la vraie innovation, c'est le skill qui apprend au modèle quand dire non

MiniGun de Ran Aroussi : un envoyeur d'emails pour agents, CLI, MCP, et un skill qui enseigne au modèle quand procéder, quand attendre, et quand refuser.

Automatisation & agents · 4 juin 2026 · 7 min de lecture

Trouver des idées d'entreprise avec un agent IA : la méthode et les corpus

Trouver des idées d'entreprise avec un agent IA : quatre étapes, collecte, extraction, clustering, scoring, et le substrat qui décide ce que vous trouverez.

IA & sécurité · 4 juin 2026 · 13 min de lecture

Sécurité du vibe coding : la checklist de trente minutes qui sépare une app lancée d'un data leak

Sécurité du vibe coding : la checklist de trente minutes qui sépare une app lancée d'un data leak. RGPD, RLS Supabase, prompts d'audit IA, rate limits.

Web & produit · 3 juin 2026 · 7 min de lecture

Claude ne doit pas réviser le code qu'il vient d'écrire

Fresh session, fresh contexte : pourquoi Claude ne doit pas réviser le code qu'il vient d'écrire, et le réflexe qui rend la revue par LLM réellement utile.

Automatisation & agents · 3 juin 2026 · 5 min de lecture

Mémoire partagée entre agents IA : la fragmentation est un choix

Mémoire partagée entre agents IA, Claude Code, Codex, assistant perso : ce que la fragmentation coûte vraiment, et la version pragmatique d'une couche commune.

IA & sécurité · 2 juin 2026 · 17 min de lecture

Outils de sécurité IA en 2026 : le panorama des cinq lancements de mai

Panorama des cinq outils de sécurité IA publiés en mai 2026 par Google, Microsoft, OpenAI, Perplexity et Anthropic : ce que chacun fait, et la grille de choix.

Web & produit · 1 juin 2026 · 22 min de lecture

Dynamic Workflows dans Claude Code : ce que change l'orchestration externalisée

Dynamic Workflows dans Claude Code : architecture, cas d'usage Bun, coûts, limites, pourquoi externaliser le plan d'orchestration change la nature des agents.

Web & produit · 29 mai 2026 · 11 min de lecture

Claude Opus 4.8 : un modèle qui rattrape ses propres bugs

Claude Opus 4.8 : 4× moins de bugs laissés passer, subagents parallèles dans Claude Code, défaut d'effort à high, et ce qui change pour ce que vous shippez.

Automatisation & agents · 22 mai 2026 · 5 min de lecture

Claude Code : quatre disciplines plutôt que trente-deux hacks

Claude Code en quatre disciplines : le contexte, le plan, le modèle à la tâche, les permissions et les hooks. La version condensée des listes de hacks.

Automatisation & agents · 13 mai 2026 · 7 min de lecture

La boucle d'agent qui a remplacé mon samedi

Un petit agent bien clôturé qui fait le travail que je redoutais. Ce qui l'a rendu assez fiable pour le laisser tourner seul, et ce que j'ai appris.

Automatisation & agents · 8 mai 2026 · 5 min de lecture

Brancher Claude Code à Telegram : un hook, pas un canal magique

Recevoir les notifications Claude Code sur Telegram avec un hook Stop et un script de cinq lignes, et pourquoi le token de bot est un secret de production.

Web & produit · 4 mai 2026 · 9 min de lecture

J'ai livré une fonctionnalité IA le vendredi. Le lundi, c'était un risque juridique.

Un post-mortem sur le fait d'aller vite avec un LLM, et les quatre garde-fous sans lesquels je ne livrerai plus jamais une fonctionnalité IA.

IA & sécurité · 29 avr. 2026 · 14 min de lecture

Le prompt est le nouveau périmètre

Les LLM ont avalé la frontière de confiance. Ce qui la remplace n'est pas une autre boîte, c'est une discipline de séparation des privilèges.

Web & produit · 27 avr. 2026 · 11 min de lecture

Ce que l'OWASP rate à propos des agents LLM

Le Top 10 OWASP est une checklist pour apps web. Les agents ne sont pas des apps web. Voici la colonne que j'ajouterais, et celle que je retirerais.

Automatisation & agents · 22 avr. 2026 · 5 min de lecture

Claude Opus 4.7 dans Claude Code : ce qui change vraiment

Bonnes pratiques pour Claude Opus 4.7 dans Claude Code : xhigh par défaut, pensée adaptative, moins de subagents, et ce qu'il faut désapprendre de 4.6.

Automatisation & agents · 17 avr. 2026 · 7 min de lecture

Écrire des skills que votre agent de code utilisera vraiment

Une skill que l'agent ignore, c'est de la documentation. Une skill qu'il sollicite par défaut, c'est du levier. La différence est dans le déclencheur.

Automatisation & agents · 13 avr. 2026 · 5 min de lecture

LLM Wiki de Karpathy : pré-digérer ses sources plutôt que les réinterroger

LLM Wiki de Karpathy : pré-digérer ses sources dans un wiki Markdown piloté par CLAUDE.md, plutôt que rejouer la même RAG à chaque question. Méthode et limites.

Web & produit · 8 avr. 2026 · 8 min de lecture

Ce que coûte réellement une fonctionnalité LLM sur un an

Une lecture ligne par ligne de la facture que personne ne modélise avant le lancement, tokens, retries, évals et la longue traîne des abus.

IA & sécurité · 3 avr. 2026 · 4 min de lecture

Un petit rituel pour lire les threat models des autres

Cinq questions que je pose avant même d'ouvrir un schéma de menaces. La plupart des documents échouent à la question deux, et c'est la plus simple.

IA & sécurité · 30 mars 2026 · 13 min de lecture

Ton pipeline RAG est un adjoint confus

Un article de 1988 sur le problème du confused deputy en dit plus sur les pipelines RAG modernes que la plupart des posts de 2024.

IA & sécurité · 27 mars 2026 · 7 min de lecture

Le journal d'audit est la fonctionnalité de sécurité IA la plus sous-estimée

Si vous ne pouvez pas rejouer ce que votre agent a fait, vous n'avez pas un produit en production, vous avez un pari. Voici ce qu'il faut journaliser.

IA & sécurité · 23 mars 2026 · 7 min de lecture

Le moindre privilège pour les modèles de langage

Le principe a quarante ans. L'appliquer à un LLM avec accès aux outils, c'est là que ça devient intéressant, et non trivial.

Automatisation & agents · 18 mars 2026 · 5 min de lecture

Faire payer un logiciel que l'on peut exécuter en local

Trois modèles de tarification que j'ai essayés pour un outil offline-first, et ce que chacun récompensait réellement. Un retour d'expérience honnête.

Automatisation & agents · 13 mars 2026 · 6 min de lecture

Arrêtez de coller du contexte : un meilleur workflow dans l'IDE

Copier-coller des fichiers dans un chat est un symptôme de workflow cassé. Comment câbler l'éditeur au modèle pour que le contexte voyage seul.

Web & produit · 9 mars 2026 · 7 min de lecture

Votre logique de retry vous ment

Les retries naïfs transforment une requête lente en trois requêtes lentes et appellent ça de la résilience. Ce qu'il faut faire à la place.

Web & produit · 4 mars 2026 · 6 min de lecture

Le streaming des réponses est une décision d'UX, pas de transport

Quand streamer, quand attendre, et pourquoi ce choix appartient autant au produit qu'à l'ingénierie. Trois patterns et leurs compromis.

Automatisation & agents · 9 janv. 2026 · 7 min de lecture

Comment j'empêche un binôme IA de réécrire la moitié du dépôt

Discipline de périmètre pour les agents de code : petits diffs, barrières serrées et une boucle de relecture qui repère la dérive avant qu'elle coûte.

2025

Automatisation & agents · 5 déc. 2025 · 6 min de lecture

LLM Council de Karpathy : faire débattre quatre modèles, et ce qui en sort

LLM Council de Karpathy : protocole en trois étapes pour faire débattre quatre modèles. Pourquoi ça marche sur les questions dures, pourquoi pas sur le code.

Automatisation & agents · 7 nov. 2025 · 6 min de lecture

Fichiers mémoire : donner à ton agent un cerveau de travail à court terme

Une convention de fichiers simple qui permet à un agent de se souvenir des décisions au fil d'une session sans tout relire à chaque tour.

Web & produit · 31 oct. 2025 · 7 min de lecture

Fallbacks, timeouts et l'art de se dégrader gracieusement

Le modèle sera en panne, lent ou dans l'erreur. Concevez pour cela avant la panne et la fonctionnalité cesse d'être fragile.

IA & sécurité · 24 oct. 2025 · 7 min de lecture

Secrets, outils, et l'agent qui a lu votre fichier env

Donnez un accès shell à un agent et vos secrets ne sont plus qu'à un cat .env de distance. Des patterns de confinement qui tiennent.

Web & produit · 10 oct. 2025 · 8 min de lecture

La mise à jour de modèle qui a discrètement cassé la production

Un remplacement de modèle « transparent » a changé la forme de la sortie juste assez pour casser un parseur en aval. Comment mettre à niveau sans casser.

Automatisation & agents · 15 août 2025 · 7 min de lecture

Les petites automatisations qui se cumulent sur un trimestre

Un script qui fait gagner deux minutes a l'air de rien. Vingt d'entre eux, tournant discrètement sur un trimestre, changent la texture du travail.