dimanche 14 juin 2026

Digest court

Journée calme côté Angular. Le blog officiel n'a rien publié de neuf depuis le 5 juin (« AI Training, Local Gemini, and Styling Signal Forms »), déjà couvert dans un digest précédent. La version stable courante reste Angular 22.0.1 : l'écosystème digère la GA de la v22 (Signal Forms, Selectorless, httpResource, zoneless par défaut) plutôt que d'enchaîner les annonces. Pas de RC, de patch notable ni de breaking change ce week-end.

À surveiller

• Angular 22.0.x : prochains patchs correctifs attendus au fil de l'eau ; rien d'urgent à migrer aujourd'hui.
• Signal Forms : la documentation et les retours communautaires continuent de s'étoffer post-GA — bon moment pour consolider tes patterns plutôt que guetter du neuf.

Rien qui exige une action de ta part aujourd'hui. Pas d'analyse détaillée publiée pour cette catégorie ce jour.

Digest court

Week-end calme côté .NET. Pas de nouvelle preview ni de release : les mises à jour de servicing de juin (9 juin, correctifs .NET 8/9/10) et .NET 11 Preview 5 (C# closed hierarchies, union types, unsafe explicite) ont déjà été traités dans des digests récents. L'actualité se concentre désormais sur l'agentic modernization issue de Build 2026 plutôt que sur le runtime. Rien de bloquant à appliquer ce jour.

À surveiller

• .NET Day on Agentic Modernization — livestream Microsoft Reactor le 16 juin 2026 (16h–20h UTC) : modernisation de legacy assistée par agents, migration cloud, ajout d'IA aux apps existantes. Pertinent si tu portes du Web Forms vers Blazor/Aspire.
• .NET 11 Preview 5 : déjà installé ? Continue à tester les union types C# sur une branche, sans viser la prod (cycle stable en novembre 2026).

Pas d'analyse détaillée publiée pour cette catégorie ce jour. Source événement : https://devblogs.microsoft.com/dotnet/join-us-for-dotnet-day-on-agentic-modernization-livestream/

Digest court

Week-end dominé par deux signaux forts côté open-weight. D'abord le code : Moonshot sort Kimi-K2.7-Code, un MoE 1T (32B actifs) qui mise pour la première fois sur l'efficience (~30 % de tokens de raisonnement en moins) plutôt que sur le score brut — avec des benchmarks maison à prendre avec des pincettes. Ensuite la diffusion : Google ouvre DiffusionGemma (Apache 2.0), premier LLM par diffusion supporté nativement dans vLLM, jusqu'à 4× plus rapide qu'un autorégressif. Xiaomi pousse la même logique avec une variante FP4 « DFlash » de MiMo V2.5 Pro. Tendance de fond : la vitesse d'inférence devient le terrain de bataille.

Top 3 — Modèles open-weight de la semaine

• Kimi K2.7-Code (Moonshot) : MoE 1T / 32B actifs, 256K contexte, Modified MIT ; +21,8 % Kimi Code Bench v2 vs K2.6, mais zéro chiffre SWE-Bench indépendant.
• DiffusionGemma 26B-A4B (Google) : diffusion de texte, 256 tokens en parallèle, >1000 tok/s sur H100, Apache 2.0, déjà dans vLLM + GGUF.
• MiMo V2.5-Pro FP4 « DFlash » (Xiaomi) : décodage spéculatif + block-diffusion en MXFP4, orienté agent/code, MIT.

La grille de lecture du jour : efficience et débit, pas la course au plus gros score.

→ Analyse complète : 2026-06-14_detail.md

Digest court

Semaine où la supply chain logicielle et l'outillage IA encaissent une vague coordonnée. Trois fronts : une RCE non authentifiée exploitée sur la plateforme LLM Langflow (CVE-2026-5027, ~7 000 instances exposées, pas de patch) ; une attaque npm via node-gyp qui exécute du code à l'install et vole tes secrets cloud/CI ; et Agentjacking, une injection MCP/Sentry qui détourne les agents de code IA en contournant EDR, WAF et firewall. Le fil rouge : ce que ton agent ou ta CI ingère (fichiers, erreurs, paquets) est devenu le maillon faible. Aucune actu framework majeure ce week-end.

Top 3 — Sécurité & supply chain

• Langflow CVE-2026-5027 : CVSS 8.8, RCE sans auth via path traversal, KEV, exploité in-the-wild, aucun correctif — sors-le d'Internet.
• Node-gyp (npm) : 57 paquets piégés, binding.gyp exécuté à npm install, vol de tokens npm/GitHub/AWS/Azure/Vault/K8s, worm auto-propagateur.
• Agentjacking : faux événement Sentry → exécution arbitraire par l'agent de code via MCP ; 85 % de réussite, 2 388 orgs exposées.

Réflexe transverse : --ignore-scripts, npm ci, rotation des secrets CI, et sorties MCP traitées comme entrées non fiables.

→ Analyse complète : 2026-06-14_detail.md