Une semaine dense pour l’écosystème IA : Alibaba lance son modèle phare Qwen3.7-Max conçu pour l’ère agentique, GitHub révèle un incident de sécurité impliquant une extension VS Code malveillante, NVIDIA publie un framework ouvert de gouvernance pour les skills d’agents, et Runway renouvelle son modèle d’édition vidéo avec Aleph 2.0 et Edit Studio. Côté outils développeur, Claude Code 2.1.146 renomme /simplify en /code-review et Codex 26.519 introduit les Appshots sur macOS.
Qwen3.7-Max — Le flagship d’Alibaba pour l’ère agentique
21 mai — Alibaba lance Qwen3.7-Max, son nouveau modèle propriétaire phare, conçu spécifiquement pour les agents autonomes. Le modèle succède aux previews Qwen3.7-Max-Preview et Qwen3.7-Plus-Preview évalués sur Arena le 18 mai.
Le positionnement est explicitement “Agent Era” : Qwen3.7-Max vise les tâches qui dépassent la compréhension ponctuelle pour entrer dans le domaine de l’autonomie longue durée et de l’orchestration complexe.
| Métrique | Valeur |
|---|---|
| Score AAII | 56,6 |
| Progression vs précédent | +4,8 pts |
| Heures d’autonomie continues (test noyau) | 35 h |
| Appels d’outils (test noyau) | 1 000+ |
| Vues tweet principal | ~325 000 |
Cinq capacités annoncées :
- Agent de codage de bout en bout — prototypes frontend, refactorisations multi-fichiers, débogage réel
- Productivité de bureau — tâches via intégrations MCP et gestion multi-agents
- Autonomie longue durée — 35 heures consécutives sur une tâche d’optimisation noyau, 1 000+ appels d’outils sans hallucination critique
- Agnostique aux scaffolds — compatible Claude Code, OpenClaw, Qwen Code ou toute stack personnalisée
- Raisonnement scientifique renforcé — score AAII : 56,6 (+4,8 pts)
Selon Tongyi Lab (Alibaba), Qwen3.7-Max est “notre dernier modèle propriétaire conçu spécifiquement pour l’ère des agents”, avec un agent de codage frontier, un assistant de productivité bureau, et une autonomie longue durée — fiable à chaque fois, agnostique aux scaffolds.
Le modèle est accessible via Qwen Studio (chat.qwen.ai) et l’API Alibaba Cloud.
GitHub — Incident de sécurité : extension VS Code malveillante
20 mai — GitHub révèle un incident de sécurité majeur : un employé a installé une extension VS Code malveillante depuis le marketplace Microsoft, permettant un accès non autorisé à des dépôts internes de GitHub.
L’annonce initiale sur X a généré 13,4 millions de vues, 8 000 reposts et 25 000 likes — signe d’un impact communautaire considérable. GitHub a publié un thread en 5 parties détaillant la chronologie et les mesures prises.
“1/ Yesterday we detected and contained a compromise of an employee device involving a poisoned VS Code extension. We removed the malicious extension version, isolated the endpoint, and began incident response immediately.”
🇫🇷 Hier, nous avons détecté et contenu la compromission d’un appareil d’employé impliquant une extension VS Code empoisonnée. Nous avons supprimé la version malveillante de l’extension, isolé le point de terminaison et lancé immédiatement la réponse aux incidents. — @github sur X
Ce qui s’est passé :
- Vecteur : extension VS Code malveillante du marketplace Microsoft
- Appareil d’un employé GitHub compromis
- Accès non autorisé aux dépôts internes GitHub
Ce qui n’a pas été affecté (selon GitHub) :
- Aucun impact confirmé sur les données clients (entreprises, organisations, dépôts publics ou privés)
Actions immédiates :
- Retrait de l’extension malveillante
- Isolation de l’endpoint compromis
- Analyse des journaux (logs) et rotation des secrets
- Surveillance accrue de l’infrastructure
GitHub s’est engagé à publier un rapport complet à l’issue de l’investigation. Cet incident relance le débat sur la sécurité du marketplace d’extensions VS Code, qui compte des dizaines de milliers d’extensions dont la vérification reste limitée.
NVIDIA Verified Agent Skills — Un standard ouvert pour la gouvernance des agents IA
21 mai — NVIDIA lance les NVIDIA-Verified Agent Skills, un framework de gouvernance ouvert pour sécuriser les capacités (skills) des agents IA. L’initiative répond à un problème croissant : les skills augmentent les capacités des agents, mais introduisent également des vulnérabilités potentielles.
Un skill “vérifié” selon NVIDIA repose sur quatre piliers :
| Composant | Description |
|---|---|
| Catalogage | Synchronisation quotidienne depuis les équipes produit NVIDIA |
| SkillSpector | Scanner de risques basé sur OWASP LLM et MITRE ATLAS |
| Signature cryptographique | Signature détachée skill.oms.sig vérifiable via OpenSSF Model Signing |
| Skill Card (SKILLCARD.yaml) | Métadonnées machine-readable : provenance, dépendances, limitations, statut |
Le framework détecte notamment : dépendances vulnérables, injection de prompts, trigger abuse, excessive agency et tool poisoning.
La spécification technique est ouverte via agentskills.io (format SKILL.md), compatible nativement avec Claude Code, OpenAI Codex et Cursor. Le répertoire public des skills NVIDIA est disponible sur github.com/nvidia/skills.
“Verified means cataloged, scanned, signed, and documented with a skill card.”
🇫🇷 Vérifié signifie catalogué, scanné, signé et documenté avec une fiche de compétence. — Developer Blog NVIDIA, 21 mai 2026
Le fait que la spécification soit ouverte et compatible avec les trois principaux outils de codage IA (Claude Code, Codex, Cursor) suggère une ambition de standard industriel, pas seulement d’outil NVIDIA interne.
Runway Aleph 2.0 et Edit Studio — Édition vidéo jusqu’à 30 secondes en 1080p
21 mai — Runway lance Aleph 2.0, mise à jour majeure de son modèle d’édition vidéo, accompagnée de Edit Studio, une nouvelle interface dédiée aux équipes marketing et aux cinéastes.
La nouveauté centrale d’Aleph 2.0 est le contrôle image-level : l’utilisateur donne une frame éditée comme référence visuelle, et le modèle applique la modification de façon cohérente sur l’ensemble de la vidéo. Contrairement aux approches précédentes où le résultat final était inconnu avant génération, cette méthode offre un contrôle prévisible sur l’output.
| Fonctionnalité | Détail |
|---|---|
| Durée max | 30 secondes |
| Résolution | 1080p |
| Contrôle | Frame de référence image (image-level) |
| Édition multi-shots | Oui — application automatique sur plusieurs plans |
| Accès | Tous les plans payants Runway |
Capacités d’édition d’Aleph 2.0 :
- Éditions localisées précises : seule la zone modifiée change, le reste est préservé
- Édition multi-shots : modifications appliquées sur des vidéos avec plusieurs coupes
- Clips jusqu’à 30s en 1080p — longueur suffisante pour publicités et contenu court
Cas d’usage d’Edit Studio : swap produit, changement de fond, variation saisonnière de campagne, correction d’éclairage, suppression d’éléments parasites, restyling complet.
“With Aleph 2.0, your edited frame defines what the change should look like, and the model carries it through to the right parts of your video.”
🇫🇷 Avec Aleph 2.0, votre image modifiée définit l’apparence souhaitée, et le modèle l’applique aux parties correspondantes de votre vidéo. — Runway, blog officiel 21 mai 2026
Claude Code 2.1.146 — /code-review et corrections background agents
21 mai — Anthropic publie la version 2.1.146 de Claude Code avec une nouveauté principale et plusieurs corrections de stabilité importantes.
La commande /simplify est renommée /code-review, accompagnée d’un niveau d’effort optionnel (/code-review high). Ce changement repositionne explicitement la fonctionnalité comme outil de revue de code dans les workflows agentiques.
| Domaine | Correctif |
|---|---|
| Windows PowerShell | Régression v2.1.124 corrigée pour pwsh via winget/Microsoft Store |
| MCP pagination | resources/list et prompts/list ne perdent plus les items au-delà de la page 1 |
| Sessions background | Strobing Windows Terminal, worktrees NTFS, blocages /background et claude agents |
| Auto mode | AskUserQuestion préservé quand le skill ou l’utilisateur en dépend |
| Bedrock | Auth cross-account corrigée avec awsCredentialExport |
| VSCode Voice | Feedback microphone silencieux, suggestions sox pour WSLg |
Claude Code /usage — Décomposition de la consommation de tokens par composant
21 mai — Boris Cherny (lead Claude Code chez Anthropic) annonce sur X une extension significative de la commande /usage : la prochaine version permettra de voir exactement quels Skills, Agents, MCPs et Plugins consomment des tokens dans une session.
Cette fonctionnalité va au-delà du redesign UI de la veille. Elle apporte une granularité par composant — permettant d’identifier les extensions les plus gourmandes en contexte. Elle est déjà disponible en CLI et arrivera sur l’application Desktop prochainement. L’annonce a généré 137 527 vues sur X, avec de nombreuses demandes pour désactiver sélectivement des connecteurs non utilisés.
“In the next version of Claude Code: run /usage to see a breakdown of which Skills, Agents, MCPs, and Plugins are using your tokens CLI today, coming to Desktop next”
🇫🇷 Dans la prochaine version de Claude Code : exécutez
/usagepour voir la répartition de la consommation de tokens par Skills, Agents, MCPs et Plugins — disponible en CLI aujourd’hui, sur Desktop prochainement. — @bcherny sur X
Google I/O 2026 — Le récap officiel “100 annonces”
20 mai — Google publie son article récapitulatif officiel “100 things announced at I/O 2026”, document de référence pour l’ensemble des lancements de l’événement. Parmi les annonces confirmées : Antigravity 2.0 CLI (successeur du Gemini CLI), Universal Cart (achats multi-enseignes), Google Pics (gestion intelligente de photos), Ask YouTube (interrogation de vidéos YouTube), Android XR glasses et l’expansion de SynthID. Ce document consolide l’ampleur du Google I/O 2026 et sert de source primaire pour les développeurs souhaitant retrouver tous les détails officiels.
🔗 Blog Google — 100 annonces I/O 2026
Gemini Connected Apps — OpenTable, Canva et Instacart
21 mai — Google Gemini étend ses Connected Apps à trois nouveaux partenaires : OpenTable (réservation de restaurant), Canva (création de visuels) et Instacart (courses alimentaires). Gemini ne se contente plus de chercher des informations — il prend des actions concrètes dans l’écosystème numérique de l’utilisateur au nom de celui-ci. Cette annonce post-I/O traduit concrètement la vision agentique de Gemini Spark : l’agent agit sur les services tiers populaires sans quitter l’application.
🔗 Annonce Gemini Connected Apps
GitHub Copilot — Quatre mises à jour développeur
Rapports métriques migrés vers copilot-reports.github.com
20 mai — Les URLs de téléchargement des rapports Copilot Usage Metrics migrent de l’ancien domaine Azure Front Door (azurefd.net) vers le domaine stable copilot-reports.github.com. Action requise pour les organisations avec pare-feu ou proxy : ajouter le nouveau domaine à l’allowlist enterprise dès que possible. L’ancien domaine reste actif durant la période de transition mais sera déprécié ultérieurement. Pour les instances GitHub Enterprise Cloud, le nouveau domaine suit le format copilot-reports.SUBDOMAIN.ghe.com. Un fallback vers *.blob.core.windows.net est prévu en cas d’indisponibilité Azure.
Cloud agent — Claude Haiku 4.5 et GPT-5.4-mini à 0,33x
18 mai — Le Copilot cloud agent intègre deux nouveaux modèles économiques : Claude Haiku 4.5 et GPT-5.4-mini, tous deux facturés à 0,33x du multiplicateur standard (contre 1x pour les modèles standard). Cette expansion permet de choisir le bon outil selon la nature de la tâche — modèle léger et rapide pour corrections simples de lint ou tests unitaires, modèle plus puissant pour refactorisations complexes. Le choix du modèle s’effectue au moment de déléguer une tâche au cloud agent, permettant d’optimiser le rapport coût/qualité selon la complexité réelle du travail.
Chat web — Panneau latéral contextuel en disponibilité générale
18 mai — Copilot Chat sur github.com s’ouvre désormais en panneau latéral directement à côté de la ressource consultée (PR, issue, dépôt), sans avoir à naviguer vers une page dédiée. Le contexte s’accumule automatiquement en naviguant entre plusieurs PRs et issues dans la même session — les références cross-ressources restent accessibles sans perdre le fil de la conversation. L’expérience immersive pleine page reste accessible via “More → In immersive chat”. Il est également possible de transformer la conversation en session agent pour créer des PRs ou lancer une recherche approfondie. Disponible en GA pour tous les plans Copilot.
Genspark intègre Gemini 3.5 Flash gratuitement
20 mai — Genspark intègre Gemini 3.5 Flash dès le lendemain de son annonce au Google I/O, disponible gratuitement dans AI Chat Agent et Genspark Claw. La plateforme (70+ modèles simultanés simultanément disponibles) illustre sa stratégie d’intégration réactive : adopter les modèles les plus récents sans forcer l’utilisateur à choisir manuellement. Gemini 3.5 Flash représente le modèle Flash le plus performant de Google à ce jour, optimisé pour la vitesse de réponse sur des tâches complexes.
Kling AI à Cannes — RAPHAEL RAPHAEL, film 100% IA
21 mai — Kling AI présente RAPHAEL RAPHAEL au Festival de Cannes 2026, un projet de long-métrage 100% généré par IA à grande échelle. Cette annonce est distincte du post du 20 mai sur House of David (première série Hollywood à intégrer Kling à l’échelle industrielle, 44 millions de viewers, #1 sur Prime Video US). Kling AI consolide ainsi une présence multi-projets à Cannes 2026, affirmant sa position comme acteur majeur de l’IA vidéo pour le cinéma.
BFL FLUX Erase — Suppression d’objets et effacement de texte
21 mai — Black Forest Labs lance FLUX Erase, fonctionnalité d’effacement intelligent pour les images FLUX. Trois capacités principales : suppression d’objets (retrait propre avec reconstruction cohérente du fond), effacement de texte (suppression tout en préservant le design sous-jacent) et suppression automatique des ombres liées aux objets effacés. La fonctionnalité est conçue pour la retouche de précision (precision inpainting) : seule la zone ciblée est modifiée, sans dégrader le reste de l’image. Disponible via l’outil web flux-tools.bfl.ai/erase et l’API BFL (docs.bfl.ai/flux_erase), avec accès immédiat sans liste d’attente.
ElevenReader — 200 000+ titres premium avec voix au choix
21 mai — ElevenLabs intègre 200 000+ titres premium dans ElevenReader : best-sellers en audiobooks et eBooks sous licence, dont des milliers disponibles avec la voix du narrateur au choix parmi les voix ElevenLabs. Cette expansion positionne ElevenReader comme une plateforme de lecture audio personnalisable, où l’utilisateur n’est plus limité au narrateur original d’un livre : il peut choisir la voix qu’il préfère pour n’importe quel titre compatible. L’application est accessible sur elevenreader.io avec un accès gratuit pour commencer.
xAI Grok × OpenCode — Grok Build dans le CLI de code
21 mai — Les abonnés Grok ou X Premium peuvent désormais utiliser le modèle Grok Build dans OpenCode, éditeur de code en ligne de commande (CLI coding editor) spécialisé dans l’intelligence de codebase. Cette intégration suit celle annoncée dans OpenClaw deux jours plus tôt — xAI étend progressivement son abonnement à davantage d’outils tiers. L’accès est inclus dans l’abonnement Grok/X Premium existant, sans surcoût supplémentaire. OpenCode se distingue d’OpenClaw par son focus spécifique sur le code : analyse de base de code, navigation et refactorisation assistée.
Codex 26.519 — Appshots, Goal mode GA, computer use verrouillé, partage de plugins
21 mai — OpenAI publie Codex 26.519 avec plusieurs nouvelles fonctionnalités macOS et entreprise. Les Appshots permettent d’envoyer la fenêtre d’application au premier plan dans un fil Codex via un double appui sur les deux touches Command — la fenêtre visible et le texte accessible par l’API d’accessibilité macOS sont capturés. Le Goal mode quitte le statut expérimental et passe en disponibilité générale (app, extension IDE, CLI). Remote computer use : Codex peut désormais utiliser les applications bureau après verrouillage du Mac. Le partage de plugins est disponible pour ChatGPT Business.
| Fonctionnalité | Statut | Plateformes |
|---|---|---|
| Appshots | Nouveau (GA) | macOS uniquement |
| Goal mode | GA (était expérimental) | App, IDE extension, CLI |
| Remote computer use (Mac verrouillé) | Nouveau | macOS + Codex Mobile |
| Plugin sharing | Nouveau (Business) | ChatGPT Business |
Brèves
- Gemini Daily Brief — disponibilité générale — Le résumé quotidien est désormais accessible à tous les abonnés Google AI Plus, Pro et Ultra (18+), initialement aux États-Unis. 🔗 source
- Grok × Imagine — assets de jeux vidéo (8,1M vues) — Démonstration virale du prototypage d’assets de jeux directement avec Grok et @imagine, fort engagement de la communauté gaming. 🔗 source
- Cohere Command A+ — poids W4A4 disponibles sur HuggingFace — Les poids quantifiés W4A4 de Command A+ sont téléchargeables, permettant le déploiement sur 2× H100 avec +47% de vitesse vs BF16. 🔗 source
Ce que ça signifie
L’ère agentique s’affirme sur plusieurs fronts simultanément. Le lancement de Qwen3.7-Max avec 35 heures d’autonomie continue et 1 000+ appels d’outils, combiné aux NVIDIA Verified Agent Skills qui standardisent la gouvernance des capacités d’agents, signale que l’industrie passe d’une phase d’expérimentation à une phase de structuration. Le fait que NVIDIA base son standard sur la spec ouverte agentskills.io — compatible avec Claude Code, Codex et Cursor — suggère une convergence vers des interfaces communes pour les agents IA, indépendamment du modèle sous-jacent.
La sécurité de la chaîne d’outils IA devient un enjeu critique. L’incident GitHub, où une extension VS Code malveillante du marketplace officiel Microsoft a compromis un appareil interne, illustre une surface d’attaque nouvelle que l’industrie n’a pas encore fully adressée. Le timing est révélateur : NVIDIA lance ses Verified Agent Skills le même jour que GitHub annonce son incident. Les skills et extensions non vérifiées représentent un vecteur d’attaque croissant à mesure que les agents IA prennent le contrôle de systèmes critiques.
L’outillage développeur se consolide autour de la transparence de consommation. L’annonce de Claude Code /usage avec décomposition par composant, combinée aux Appshots de Codex et au Goal mode GA, révèle une tendance : les outils développeur IA de nouvelle génération doivent désormais expliquer ce qu’ils consomment et comment. La granularité par Skills/Agents/MCPs/Plugins répond à une demande concrète des équipes qui déploient des agents en production et veulent comprendre les coûts réels.
L’IA générative vidéo entre dans l’industrie cinématographique. Runway Aleph 2.0 avec son contrôle image-level prévisible, Kling AI à Cannes avec un long-métrage 100% IA (RAPHAEL RAPHAEL) et la confirmation que House of David (44M viewers, #1 Prime Video US) utilise Kling à l’échelle industrielle marquent un tournant. Les studios ne testent plus la technologie — ils l’intègrent dans leurs pipelines de production standards.
Sources
- Qwen3.7-Max — Tweet Alibaba Qwen
- Qwen3.7-Max — Blog officiel
- GitHub — Incident sécurité (annonce initiale)
- GitHub — Incident sécurité (thread détaillé)
- NVIDIA Verified Agent Skills — Blog développeur
- NVIDIA Verified Agent Skills — Tweet
- Runway Aleph 2.0 — Annonce officielle
- Runway Aleph 2.0 — Tweet
- Claude Code CHANGELOG
- Claude Code /usage breakdown — Boris Cherny
- Google I/O 2026 — 100 annonces
- Gemini Connected Apps — OpenTable, Canva, Instacart
- GitHub Copilot — Migration URLs rapports
- GitHub Copilot — Claude Haiku 4.5 et GPT-5.4-mini
- GitHub Copilot Chat web — Panneau latéral GA
- Genspark — Gemini 3.5 Flash intégré
- Kling AI — RAPHAEL RAPHAEL à Cannes
- BFL FLUX Erase
- ElevenReader — 200 000+ titres
- xAI Grok × OpenCode
- Codex 26.519 — Appshots
- Codex 26.519 — Changelog
- Gemini Daily Brief GA
- Grok × Imagine — assets jeux vidéo
- Cohere Command A+ — W4A4 HuggingFace