00:00:00Si vous avez suivi l'actualité ces derniers temps, vous avez probablement vu toutes les mises en garde sur
00:00:04les dangers liés à l'utilisation d'agents d'IA autonomes. Qu'il s'agisse de fuites de données accidentelles ou
00:00:10de failles de sécurité majeures comme celle d'OpenClaw. La réalité, c'est que donner à un agent d'IA un accès
00:00:15total à votre terminal hôte est assez dangereux. Mais nous n'allons pas arrêter d'utiliser ces outils juste
00:00:21pour des raisons de sécurité, n'est-ce pas ? Ce qu'il nous faut, c'est un meilleur bac à sable. Et il existe
00:00:28un outil incroyable appelé Code on Incus, qui vous permet d'exécuter du code CLAUDE dans un conteneur
00:00:34Incus complètement isolé, afin de faire tourner vos agents de code sans craindre de fuites de clés SSH
00:00:40ou de variables d'environnement. Dans la vidéo d'aujourd'hui, nous allons voir de plus près comment fonctionne
00:00:46Code on Incus, puis je vous montrerai comment l'installer vous-même pour lancer en toute sécurité
00:00:51votre propre flotte d'agents d'IA autonomes. Ça va être passionnant, alors c'est parti.
00:00:58Alors tout d'abord, qu'est-ce qu'Incus ? En fait, j'ai déjà abordé Incus en détail dans l'une de mes
00:01:07vidéos précédentes, donc n'hésitez pas à la voir pour approfondir son fonctionnement. Mais pour l'essentiel,
00:01:12Incus est un gestionnaire de conteneurs système et de machines virtuelles open source qui permet de faire
00:01:18tourner des systèmes Linux complets dans des environnements isolés. Et Code on Incus pousse ce concept
00:01:24plus loin en vous permettant de déployer de mini-machines Linux isolées avec CLAUDE Code pré-installé,
00:01:31pour les utiliser comme agents CLAUDE Code sécurisés. C'est une excellente idée. Cela donne en gros
00:01:36à CLAUDE son propre environnement Linux dédié. Contrairement au mode privilégié de Docker, les
00:01:43conteneurs Incus se comportent comme de vraies machines Linux et possèdent un état persistant, ce qui permet
00:01:49d'arrêter et de reprendre des sessions sans perdre votre progression ou l'historique. L'un des meilleurs
00:01:54aspects de cette configuration est qu'elle règle le casse-tête des permissions. Habituellement, quand un conteneur
00:02:00crée un fichier, il appartient à root, et on se retrouve à devoir faire un "chown" pour éditer son propre code.
00:02:08Mais Incus utilise le mappage d'UID, ce qui trompe le système pour que tout ce que CLAUDE crée dans le bac à sable
00:02:14vous appartienne nativement sur votre machine locale. Dans ma vidéo précédente, je montrais comment configurer
00:02:20Incus sur Linux. Mais cette fois-ci, je vais vous montrer comment faire sur un Mac.
00:02:26Nous allons utiliser un outil nommé Colima, qui est son propre conteneur. Nous allons faire tourner Incus
00:02:31à l'intérieur, qui est un autre conteneur, puis CLAUDE Code à l'intérieur de celui-ci. Un vrai scénario
00:02:36à la Inception. Avant toute chose, assurez-vous d'avoir téléchargé Colima. Et ici à droite, j'ai créé
00:02:42un dossier simple appelé "my-test-app" où nous stockerons tout ce que CLAUDE Code produit via Incus.
00:02:48Maintenant, lançons une instance Colima. Nous allons passer l'option "mount" pour autoriser l'écriture
00:02:55dans le dossier que je viens de créer. Une fois cela fait, nous allons nous connecter en SSH à notre conteneur
00:03:00Colima. À partir de là, il suffit de suivre les instructions du dépôt GitHub de Code on Incus.
00:03:06Copiez ces lignes pour installer et configurer Incus. La documentation indique ensuite d'exécuter
00:03:11la commande bash, mais lors de mes tests précédents, cela ne fonctionnait pas comme prévu. À la place,
00:03:17vous pouvez copier le contenu dans un fichier "install.sh" et l'exécuter. Le script d'installation
00:03:23va se lancer et détecter qu'Incus est déjà installé, ce qui est parfait, mais il reste à configurer
00:03:29notre pare-feu. Nous verrons cela dans un instant. Pour l'instant, tapez 1 pour compiler depuis la source
00:03:35et laissez le script travailler. Une fois terminé, nous pouvons passer aux commandes de configuration
00:03:42du pare-feu. Selon les instructions, l'étape suivante consiste à lancer "koi build".
00:03:47Mais lors de mes tests, j'ai rencontré des problèmes de connectivité réseau. Comme Incus tourne
00:03:52dans la machine virtuelle Colima, il crée son propre pont réseau virtuel, généralement appelé
00:03:58"incas-br0", pour donner l'accès internet aux conteneurs CLAUDE. C'est là que ça se corse.
00:04:04Par défaut, les pare-feux Linux et même les règles réseau de Docker peuvent entrer en conflit avec ce pont.
00:04:10Pour corriger cela, il faut s'assurer que la VM Colima laisse circuler le trafic librement entre le
00:04:16pont Incus et le monde extérieur. On le fait en ajoutant le pont Incus à notre zone de pare-feu de confiance
00:04:22et en activant le transfert IP version 4. Une fois que vous voyez "success" s'afficher deux fois
00:04:28dans le terminal, nous sommes officiellement prêts à compiler Code on Incus.
00:04:34La documentation peut être un peu déroutante ici car pour compiler l'outil, il faut lancer un script
00:04:40de configuration situé dans le dépôt. Le plus simple est donc de cloner directement le dépôt
00:04:46Code on Incus, d'aller dans le dossier, puis de lancer "koi build". C'est ainsi que j'ai réussi
00:04:52à le faire fonctionner. Le processus de compilation prend une minute ou deux. Mais une fois terminé,
00:04:59c'est là que le plaisir commence. Nous pouvons enfin lancer nos agents CLAUDE Code autonomes dans
00:05:04leurs propres bulles Incus. Voyons cela en pratique. J'ai préparé deux fenêtres de terminal.
00:05:11Je lance notre première instance sur le port 1, en passant le chemin de l'espace de travail pour que
00:05:16CLAUDE sache où enregistrer les fichiers. J'ajoute aussi le flag "network open". C'est crucial car
00:05:23cela permet à l'agent d'accéder à internet, de télécharger des dépendances et d'appeler l'API pour fonctionner.
00:05:28Je fais la même chose pour le port 2, créant ainsi un duo de choc. Un agent sera entièrement
00:05:35concentré sur le back-end et l'autre sera dédié à la partie front-end.
00:05:40Pour cette démo, je vais leur demander de créer une application "Holocron Star Wars" qui récupère des
00:05:45données de personnages via l'API SWAPI. Pour rendre ça plus sympa, j'ai aussi demandé à l'agent front-end
00:05:51de donner à l'interface un effet d'hologramme bleu scintillant, inspiré du look des terminaux
00:05:57Star Wars de 1977. On les laisse ensuite travailler. Quelques minutes plus tard, on constate que nos deux agents
00:06:04ont collaboré avec succès sur le même espace de travail. Ils ont créé à la fois le back-end et
00:06:10l'interface front-end. Ouvrons le navigateur pour voir le résultat. C'est pas mal du tout.
00:06:16On a bien cet effet de lueur holographique classique de Star Wars. Et si je cherche des infos sur
00:06:22Darth Vader, les données remontent parfaitement. Pareil pour Yoda, et pour Luke Skywalker.
00:06:28C'est toute la puissance d'orchestrer des agents d'IA en toute sécurité, sans jamais exposer
00:06:34votre machine hôte à des dépendances inconnues ou à du code désordonné.
00:06:40Je vais maintenant vous montrer un autre exemple où ce type de sécurité est très utile. Disons que
00:06:46vous avez téléchargé un fichier et que vous soupçonnez qu'il puisse contenir un malware.
00:06:52Pour les besoins de la démonstration, je vais utiliser un échantillon de malware fourni par l'Institut
00:06:56EICAR, utilisé pour simuler un virus informatique. En soi, le fichier ne fait rien de malveillant,
00:07:02mais il contient une signature de malware. Supposons que vous ayez ce fichier, mais que vous ne
00:07:09vouliez pas le décompresser sur votre machine locale. C'est là encore que Code on Incus peut intervenir
00:07:14pour extraire l'archive à votre place. On peut ensuite utiliser CLAUDE Code pour analyser
00:07:19précisément le contenu de ce fichier. Dans ce second exemple, j'ai lancé une nouvelle instance Colima.
00:07:25Cette fois, je passe le dossier contenant le fichier EICAR comme espace de travail pour Incus.
00:07:30J'ai refait tout le processus d'installation et de configuration de Koi. Un nouvel agent d'IA est lancé.
00:07:37Dans un terminal séparé, on peut envoyer le fichier vers l'instance Incus. On utilise pour cela
00:07:41la commande "incus file push", en spécifiant l'ID du conteneur de cette instance Koi.
00:07:48Une fois le transfert effectué, je demande à CLAUDE Code d'examiner le contenu et de générer un rapport
00:07:54d'analyse complet. Quelques instants plus tard, CLAUDE Code a terminé. Comme prévu, il a déterminé
00:08:00que le fichier est sûr et non malveillant. Il a bien identifié qu'il s'agissait d'un fichier de test
00:08:06malware EICAR et a détaillé tous les éléments dans son rapport d'analyse. C'est vraiment génial.
00:08:11Si vous êtes chercheur en sécurité ou simplement un développeur recevant beaucoup de fichiers
00:08:17non fiables, vous pouvez utiliser ce processus pour les inspecter sereinement. Vous combinez
00:08:24la puissance d'analyse de CLAUDE avec le bouclier impénétrable d'un conteneur système Incus.
00:08:29Voilà donc Code on Incus en résumé. Cet outil propose plein d'autres commandes utiles que je n'ai pas
00:08:34eu le temps d'aborder dans cette vidéo. Par exemple, vous pouvez lancer des instances avec vos propres
00:08:40images personnalisées, ou gérer des snapshots et des sessions. Allez voir le projet complet pour
00:08:47approfondir le sujet. Je pense qu'avec toutes les menaces numériques actuelles, de tels outils
00:08:52sont essentiels pour orchestrer des agents d'IA en toute sécurité. Et le fait qu'il utilise Incus pour ça
00:08:57me plaît beaucoup. Ça a donc ma validation totale. Mais que pensez-vous de cet outil ?
00:09:03L'avez-vous testé ? Allez-vous l'utiliser ? Dites-le nous dans les commentaires juste en dessous.
00:09:09Et si vous avez trouvé cette vidéo utile, n'hésitez pas à cliquer sur le bouton "J'aime".
00:09:16Pensez aussi à vous abonner pour ne manquer aucune de nos futures analyses techniques.
00:09:21C'était Andris de chez Better Stack, on se retrouve dans les prochaines vidéos.
00:09:26if you found this video helpful, please let me know by smashing that like button underneath the video.
00:09:31And don't forget to subscribe to our channel so you don't miss out on any other of our future
00:09:36technical breakdowns. This has been Andris from Better Stack and I will see you in the next videos.