Claude Code est tout ce qu’il vous faut

Avis sur Hacker News

• J’aime vraiment l’esprit d’expérimentation et le plaisir qu’on ressent dans cet article. Installer Claude sur un VPS et lui dire de « faire ce qu’il veut », c’est une idée vraiment brillante et amusante. C’est exactement le genre d’essai qui me fait garder espoir dans l’IA. Le simple fait de jouer avec des outils me redonne cette sensation que j’avais quand j’ai appris à coder au début : « si je comprends comment faire ça, je peux tout faire »

  • Cette sensation de « si je comprends comment faire ça, je peux tout faire » s’accompagne cette fois d’une condition supplémentaire : « si je comprends comment faire et que je paie aussi l’usage de l’API Claude ». Ce qui est triste, c’est qu’on parle peu du fait qu’à mesure que l’usage de l’IA se démocratise, la barrière à l’entrée devient moins le savoir que l’argent. J’ai l’impression qu’il sera beaucoup plus difficile pour les jeunes générations sans moyens d’apprendre à bien utiliser l’IA. On peut toujours coder manuellement, mais si l’approche centrée sur l’IA devient la norme, il est possible qu’il y ait aussi moins de guides et de tutoriels pour débutants

  • J’ai du mal à m’adapter aux outils IA comme Claude Code. Je préfère encore les interfaces conversationnelles où je garde l’initiative, et j’aime le processus consistant à écrire le code moi-même. C’est aussi pour ça que je n’ai jamais voulu devenir manager. Ces systèmes d’agents ont l’air conçus pour des personnes extraverties et neurotypiques. Si l’industrie bascule entièrement vers ce modèle centré sur les agents, je pense que je me reconvertirai

  • Je pense que ce genre d’expérimentation libre avec l’IA, c’est la bonne manière de l’utiliser. J’aime l’attitude « est-ce que ça marcherait ? Essayons ». Faire des choses bizarres et intéressantes comme ça, c’est bien. On apprend beaucoup en comprenant pourquoi ça ne marche pas. Le battage autour de l’IA est limité à certains domaines. Il y a des gens qui dépensent de l’argent de manière spéculative sans même savoir ce qui marchera, des récits imaginant les changements à venir, et des médias qui exagèrent les deux. Quand plusieurs entreprises veulent ajouter de l’IA partout sans vraie raison, j’y vois aussi le résultat de ce battage. En pratique, le seul impact réel que ça a sur moi, c’est l’agacement de voir de l’IA forcée dans des endroits où elle ne sert à rien. Les médias semblent surtout transformer le sujet du .ai en terrain de dispute. Que d’autres fassent des paris très risqués avec leur propre argent, ça m’est égal. En revanche, j’ai l’impression que les discours trop inquiets sur la « surchauffe excessive autour de l’IA » se concentrent souvent sur des positions marginales qu’on croise très peu en réalité. Amusez-vous en essayant des choses. Si vous trouvez quelque chose d’intéressant, partagez-le. Pas besoin d’ajouter des explications négatives inutiles du genre « moi je ne fais pas ça, pour telle raison »

  • D’un côté, je trouve ces expériences puériles amusantes, mais de l’autre j’ai aussi l’impression qu’elles reviennent à diffuser du spam automatisé dans des espaces où se retrouvent d’autres êtres humains. Je me demande si ce qui est amusant pour certains ne l’est pas déjà plus du tout pour les autres depuis longtemps

  • Voir Claude se promener librement sur un serveur de prod me met un peu mal à l’aise, mais la façon dont Claude Code peut être utilisé on the go est intéressante. Je pense installer KASM workspaces sur mon serveur OCI gratuit pour tester comment ça se comporte
    Lien KASM Docker Hub

• Le boom actuel du codage avec l’IA fait vraiment peur. Il y a quelques mois, lors du recrutement d’un nouvel ingénieur dans notre équipe, seuls 2 candidats sur 9 ont réussi l’entretien technique sans IA. Les autres ne savaient même pas structurer une app sans IA, ni écrire des requêtes SQL de base (nous utilisons une app Phoenix). Et quand on leur demandait les avantages et inconvénients d’un code généré par l’IA, la plupart n’en savaient absolument rien

  • Je suis surpris de voir combien de jeunes ingénieurs professionnels aujourd’hui ne connaissent même pas SQL en tant que tel. Il y a sans doute l’effet des rôles spécialisés, comme dans les microservices où on ne touche pas directement à la base de données, ou encore l’influence du NoSQL. Il y a 5 ans, je n’aurais jamais cru que SQL serait oublié à ce point

  • Avec l’IA, on peut apprendre de nouvelles connaissances beaucoup plus vite. Au final, ce n’est qu’un outil

  • J’ai eu une expérience similaire. Sur 6 candidats, un seul répondait au niveau attendu. J’utilise moi aussi souvent claude code, mais si le résultat ne me plaît pas, je suis capable d’expliquer pourquoi et, si nécessaire, je fais simplement le travail moi-même

  • C’était déjà comme ça avant l’arrivée des outils LLM. Il a toujours été difficile de trouver des gens compétents dans des domaines variés. Une personne excellente dans un contexte peut être catastrophique dans un autre. Un processus de recrutement doit évaluer non seulement les compétences techniques, mais aussi l’adéquation avec la culture de l’équipe. Des bases comme SQL peuvent s’apprendre rapidement. L’adéquation culturelle, elle, ne s’apprend pas

  • Si on retire Google, les LSP et l’ordinateur lui-même, et qu’on me demande d’écrire un CTE au crayon, ce serait franchement compliqué aussi (j’exagère). Mais aujourd’hui, si quelqu’un sait vraiment bien utiliser l’IA (c’est-à-dire pas n’importe comment), j’aurais davantage envie de le recruter que quelqu’un qui sait juste bien coder à la main

• Je paie l’abonnement Max x20 depuis 5 mois, mais comme le support client d’Anthropic m’ignore complètement depuis 4 jours, tout mon enthousiasme précédent pour promouvoir Claude Code est retombé. Jouer avec de nouveaux logiciels, c’est amusant, mais la leçon est qu’il ne faut jamais dépendre d’une entreprise qui ne répond jamais. Même Amazon ne fait pas ça

  • Je me suis inscrit à Max avec une mauvaise adresse e-mail, j’ai contacté le support immédiatement, et j’ai reçu un remboursement intégral sous quelques jours avec une réponse aimable me remerciant. C’était il y a quelques mois, donc peut-être qu’ils sont débordés aujourd’hui par l’explosion des demandes, mais mon expérience avec le support client a été très bonne

• Si j’étais responsable sécurité, je n’accepterais absolument jamais qu’un agent de codage sans contrôle d’autorisations soit déployé sur un serveur de production. Et je n’aimerais pas non plus les agents que notre équipe n’a pas développés elle-même. Si quelqu’un mettait réellement un agent en mode YOLO sur un serveur de prod, il n’échapperait ni à ma colère ni à mon jugement

  • L’auteur glisse d’ailleurs lui-même ce conseil dans l’article : « Je soutiens aussi qu’il faut toujours exécuter dangerously skip permissions sur les ressources importantes. Si vous travaillez dans l’infosec, il vaut mieux arrêter votre lecture ici pour votre propre bien »

  • Il faut bien exagérer un peu pour attirer l’attention haha. Pour ma part, si je suis prêt à donner certaines permissions à un stagiaire ou à un développeur junior sous supervision directe, je pense que je peux donner le même niveau de permissions à Claude. Ce qui me gêne, c’est que les responsables infosec ne prennent pas toujours assez en compte l’impact et le niveau de risque réels. Si on parle de la tour de contrôle d’atterrissage d’un Boeing 737, évidemment non, mais pour une simple app CRUD, le compromis peut être raisonnable

  • Même si l’auteur l’a utilisé « de la mauvaise façon », Anthropic a renforcé les fonctions de sécurité de Claude Code il y a 5 jours, donc ils sont peut-être simplement en train de rattraper le mouvement
    Informations sur la revue de sécurité
    Avant toute PR ou tout commit, il vaut mieux toujours lancer la commande /security-review.
    En pratique, ce prompt produira probablement un code avec un niveau de sécurité supérieur à celui de la majorité des développeurs
    Prompt d’exemple
    Je recommande aussi d’utiliser en parallèle des outils comme Kusari ou Snyk. Dans bien des cas, ces outils commencent réellement à surpasser des ingénieurs ayant une expertise sécurité

  • Certaines entreprises comme fly.io donnent parfois une impression de « culture cowboy » (style qui accepte l’imprudence), donc il faut être d’autant plus attentif à ce genre de conseils

• export IS_SANDBOX=1 && claude --dangerously-skip-permissions

  On peut raccourcir ça en
  IS_SANDBOX=1 claude --dangerously-skip-permissions
  Comme ça, la variable d’environnement n’est définie que pour la commande qui suit immédiatement, ce qui sera souvent plus pratique.
  Si on demande à Claude de renommer tous les fichiers, il peut faire sans se fatiguer tout le travail répétitif que les humains détestent. Mais ce genre de tâche consomme énormément de tokens, donc dès que je vois une sortie mécanique, je lui demande plutôt d’écrire un programme. Par exemple, quand il fallait modifier le format de 100 fichiers JSON, Claude essayait de les changer un par un, donc je l’ai arrêté après 3 fichiers et je lui ai fait écrire un script pour tout traiter d’un coup. Résultat : 30 secondes et c’était terminé

  • Pour quelque chose de plus générique, il faut plutôt utiliser
    env IS_SANDBOX=1 claude --dangerously-skip-permissions
    Toutes les shells ne prennent pas en charge le préfixe FOO=bar, alors qu’avec fish shell, cette méthode fonctionne

  • Utiliser && avec une variable env ne fonctionne pas vraiment bien. Il faut faire comme expliqué plus haut

  • On peut aussi raccourcir ça encore plus (?) avec rm -rf /

  • J’ai trouvé amusante la remarque sur le gaspillage de tokens

• J’ai l’impression que cet article a été écrit comme une conversation entre une IA et un humain. Avec un peu plus d’édition humaine, il aurait été plus clair et mieux structuré. En l’état, il est vraiment difficile à suivre

  • On voit souvent ce genre d’article sur HN récemment : il y a une ou deux infos intéressantes, mais on dirait surtout qu’on a copié-collé une conversation avec une IA pour en faire un article. L’essence même de l’écriture, c’est de retirer la verbosité inutile de l’IA pour n’en garder que l’essentiel

  • Tout à fait d’accord

• Le titre me semble trop exagéré. Le niveau des projets présentés dans l’article ne signifie absolument pas « all ».
  Personnellement, je préfère utiliser les LLM uniquement dans une fenêtre de discussion pour obtenir l’orientation générale et des idées d’architecture. Je trouve dangereux de confier tous les détails du code à un LLM

  • Le titre est un jeu de mots tiré du titre de l’article fondateur de ChatGPT, « Attention Is All You Need »
    Article Attention Is All You Need

  • Je trouve Claude-Code très utile. Il fait gagner du temps, surtout sur les tâches répétitives ou ennuyeuses. Mais dès qu’un projet est vraiment difficile ou énorme, ça devient presque ingérable. Même en le découpant en des centaines d’étapes, ça reste vrai. Par exemple, si je veux porter tout un gros codebase d’un langage à un autre, lui donner plusieurs dossiers et guides ne suffit pas pour qu’il y arrive correctement

  • Aujourd’hui, la plupart des harness ont un mode Plan/Act. On discute d’abord du flux général en mode Plan, on l’enregistre par exemple dans plan.md, puis on exécute ensuite tel quel en mode Act, en mettant aussi à jour l’avancement dans plan.md

• Le mot « All » me paraît beaucoup trop exagéré. Claude Code n’est pas bon marché, et sa pérennité dépend aussi entièrement de l’entreprise qui le fournit (il me semble même qu’il y a eu récemment un durcissement du rate limiting). L’expression « All you need » suggère en général qu’un seul élément suffit, et Claude Code n’en est pas là. Cela dit, à voir les expériences présentées ici, ça me donne quand même envie d’essayer. Ça ne remplacera pas le fait de coder soi-même, mais pour le prototypage, ça peut être amusant

• J’attends l’article de suivi : « Claude Code considered harmful »

  • La vraie suite, ce sera sans doute « Pourquoi, après avoir utilisé Claude code, je me suis remis à coder directement en assembleur »

• J’ai été choqué en lisant la section disant que « le fabricant du modèle (Anthropic) fait aussi office de police ». Je trouve étonnant que certains jugent cette situation acceptable. On ne vit pas en Corée du Nord non plus...

  • Si j’ai bien compris, les entreprises d’IA cherchent à éviter d’être impliquées, elles-mêmes comme leurs clients, dans des actes criminels involontaires. Exiger un human-in-the-loop est au fond une politique destinée à réduire leur propre risque. Si un agent commet un acte illégal, l’entreprise d’IA pourrait être juridiquement responsable, donc elle a besoin d’un cadre où l’utilisateur humain dit en substance : « j’accepte cette action et je l’ai approuvée moi-même ». Il y a probablement une clause de ce type quelque part dans les CGU. Bien sûr, si un humain commet délibérément un crime, c’est sa responsabilité. Mais si des comportements automatisés à risque similaire se répètent, l’entreprise d’IA coupera le client, parce qu’elle-même pourrait faire l’objet de sanctions légales