Cloudflare a affirmé avoir implémenté Matrix sur Cloudflare Workers, mais ce n’est pas le cas

 (tech.lgbt)
1 points par GN⁺ 2026-01-28 | 1 commentaires | Partager sur WhatsApp
  • Cloudflare a annoncé avoir implémenté le protocole Matrix sur Cloudflare Workers, mais le code ne contient pas les fonctionnalités essentielles
  • De nombreux commentaires inachevés comme « TODO: Check authorisation » sont présents dans tout le code, et la vérification des signatures ainsi que les procédures d’authentification sont absentes
  • Sans implémenter l’algorithme de résolution d’état, le code insère directement le dernier état dans la base de données, ce qui peut entraîner des failles de sécurité et des problèmes de compatibilité
  • Après la publication du billet de blog, Cloudflare a modifié l’article et le README en ajoutant une clause de non-responsabilité indiquant que ce n’était pas destiné à la production
  • Dans la communauté des développeurs, les critiques contre le code généré par IA et les affirmations techniques mensongères se sont multipliées, soulevant des doutes sur la crédibilité de Cloudflare

Les affirmations de Cloudflare sur son implémentation de Matrix et la vérification du code

  • Cloudflare a annoncé sur son blog avoir implémenté Matrix sur Cloudflare Workers, mais le code réel n’assure pas les fonctions essentielles
    • Le code contient encore des commentaires inachevés comme « TODO: Validate PDU signature », « TODO: Check authorization »
    • Comme les règles d’authentification de l’API inter-serveurs de Matrix ne sont pas implémentées, même des données falsifiées peuvent être acceptées
  • L’algorithme de résolution d’état (state resolution), au cœur de Matrix, a été omis, et l’approche utilisée consiste simplement à insérer le dernier état dans la base de données
    • Cela peut provoquer des incohérences d’état des salons, des problèmes d’interopérabilité et des vulnérabilités de sécurité

Des affirmations techniques erronées et l’historique des corrections

  • Dans son blog, Cloudflare affirmait que Tuwunel et son prédécesseur utilisaient Postgres ou Redis, ce qui est faux
  • Le billet a ensuite été modifié avec le remplacement par « Synapse », et le README a lui aussi reçu la mention « prototype d’exemple non destiné à la production »
    • Ces modifications sont visibles dans le commit GitHub (fd412f41f98c0f3f360f5c4034443ef80680de49)
    • La version corrigée inclut aussi une phrase indiquant qu’elle a bénéficié de l’aide de Claude Code Opus 4.5

Réactions et critiques de la communauté

  • Sur Mastodon et Lobsters notamment, les critiques contre le code généré par IA et la promotion technique trompeuse se sont propagées
    • Nombreux sont ceux qui ont pointé que « la vérification des signatures, les hashes et l’authentification ont été retirés » et qu’il ne s’agissait pas d’un système sécurisé mais d’un simple exemple
  • Certains utilisateurs ont qualifié la réponse de Cloudflare de « tentative de dissimulation », en suivant la suppression de l’historique des commits et les traces de force push
  • La communauté a également réagi avec des commentaires satiriques
    • « Comme l’architecture est serverless, le coût passe à l’échelle jusqu’à 0 (puisque cela n’existe pas). »
    • « Cloudflare a atteint une sécurité parfaite en n’envoyant tout simplement aucun message. »

Déclarations supplémentaires de Jade et présentation du projet

  • Jade a présenté Continuwuity, un homeserver Matrix en Rust qu’elle développe
    • Il peut fonctionner même sur un Raspberry Pi et ne dépend pas d’une infrastructure cloud centralisée
  • Une intervention est prévue à la FOSDEM 2026 sur le thème de l’expérience de correction de vulnérabilités Matrix
    • La co-intervenante sera @nex@fedi.transgender.ing, qui participera également au stand Matrix

Suite des discussions et réactions techniques détaillées

  • Plusieurs développeurs ont relevé dans le code de Cloudflare des erreurs de logique (par exemple l’utilisation de || au lieu de ??), la gestion des « unknown error » et l’abondance de commentaires TODO
  • Certains ont souligné l’ironie de voir le commit de correction de Cloudflare laisser « Remove PII » comme commit public
  • Plus largement, la communauté a exprimé des inquiétudes quant à la dépendance de Cloudflare au développement assisté par IA et à son manque de fiabilité technique

À lire aussi

1 commentaires

 
GN⁺ 2026-01-28
Réactions sur Hacker News

  • Les blogs techniques des entreprises d’infrastructure ont à l’origine deux objectifs : afficher leur expertise et inspirer confiance
    Mais dès qu’un ton exagéré s’y glisse, ils perdent les deux
    Je ne sais pas si « nous avons implémenté Matrix » est factuel ou relève de l’exagération marketing, mais dans tout le secteur, on voit souvent des billets « nous avons fait X » qui signifient en réalité « nous avons fait une démo d’une partie de X », et cette tendance commence à fatiguer tout le monde
    La solution est simple : écrire clairement ce qui a réellement été construit. Dire quelque chose comme « nous avons mis un prototype de homeserver Matrix limité sur Workers » ne ferait pas perdre en crédibilité

    • Pour être juste, les billets techniques de Cloudflare sont en général riches en enseignements
    • Mais s’ils écrivaient ça aussi honnêtement, la direction se mettrait en colère. Ce serait reconnaître que les LLM n’ont pas encore atteint le niveau promis par les CEO

  • Mon interprétation, c’est que quelqu’un a fait du « vibe coding », a produit en même temps le billet et le dépôt, puis a publié le tout sur le blog de Cloudflare sans relecture
    L’auteur n’est probablement pas ingénieur et semble avoir cru l’IA quand elle disait « c’est prêt pour la production et entièrement testé »
    Le principal indice, c’est que le code n’est pas dans un dépôt officiel Cloudflare mais sur un GitHub personnel. Cloudflare devrait renforcer ses procédures de validation pour toute communication publique à l’avenir

    • Si cette personne est employée chez Cloudflare, ça inquiète de se demander sur quoi d’autre elle est en train de faire du vibe coding. On ne sait jamais quand un autre « accident » coupera à nouveau la moitié d’Internet
    • D’après ce que j’ai entendu, le CEO et le CTO de Cloudflare relisent eux-mêmes tous les billets de blog
    • Le problème n’est pas simplement « est-ce qu’on peut le faire », mais la structure des incitations au sein de l’organisation
      Chez Cloudflare, les billets de blog seraient considérés comme un livrable majeur pour tous les métiers, y compris les ingénieurs. Dans ce genre de structure, il est facile que la vitesse passe avant la qualité
      Au final, cette affaire va réduire la confiance, augmenter les étapes de validation et ralentir le rythme de publication. C’est une évolution naturelle à mesure qu’une organisation grandit
      Ce qui est surprenant, c’est qu’ils n’aient toujours pas retiré l’article et qu’ils aient au contraire créé encore plus de confusion avec leurs modifications

  • J’aimerais que Cloudflare publie un billet d’analyse des causes profondes (RCA) sur cet incident
    Ce serait probablement aussi intéressant à lire qu’un rapport d’incident
    J’aimerais savoir quelles procédures de validation ont échoué cette fois et comment ils comptent restaurer la crédibilité du blog

  • J’ai retrouvé le code source mentionné par Jade, et il semble que l’auteur ait pris connaissance de ce fil
    Lien vers le commit concerné

    • Dans un nouveau commit, il a supprimé la mention « production grade » du README, indiqué qu’il avait reçu une aide de l’IA, et corrigé l’alignement du diagramme ASCII
      Lien vers le commit
      Franchement, il aurait simplement fallu supprimer le blog et le dépôt
    • Mais ce commit a ensuite été modifié en « Clean up code comments », ce qui brouille totalement l’intention
      Commit modifié
    • Ce genre de retouche ne fait qu’aggraver la situation

  • Quelques jours à peine après que la fausse info selon laquelle Cursor aurait créé un navigateur web from scratch avec GPT-5.2 a été débunkée, voilà qu’on recommence
    Ce type d’histoire appelle fondamentalement une attitude de méfiance par défaut

    • Après avoir moi-même écrit un article sur « l’expérience navigateur de Cursor », j’ai essayé d’en construire un avec un seul agent
      Post Show HN
      Au final, j’ai réussi à produire, en 20 000 lignes de code, quelque chose d’un niveau comparable à ce que Cursor aurait construit en faisant tourner des centaines d’agents pendant des semaines
      Lien vers le dépôt
    • Le problème, c’est qu’à aucun endroit sur le blog ou dans le dépôt de Cloudflare il n’était indiqué qu’il s’agissait de vibe coding
      Rien qu’en regardant le dépôt matrix-workers, le diagramme ASCII mal aligné est déjà un indice, et c’est étonnant que personne n’ait relu ça
    • Il est difficile de comprendre qu’ils aient publié un article sans même vérifier si la fonctionnalité marchait réellement
    • En ce moment, la plupart des gens liés à l’« IA » donnent l’impression d’être soit des escrocs, soit des beaux parleurs. Je n’ai pas encore vu d’exception
    • Beaucoup ont trop investi dans cette « technologie », donc il faudra du temps avant de revenir à une éthique hacker consistant à ne pas croire automatiquement les annonces des entreprises

  • En haut du billet original, une mention a été ajoutée pour dire clairement qu’il s’agissait d’une « proof of concept », mais en bas figurait encore
    la phrase « notre équipe gère déjà des communications chiffrées réelles avec Matrix on Workers »
    Difficile de savoir laquelle des deux affirmations est vraie

    • Il est difficile de croire à « notre équipe utilise Matrix on Workers ». Le dépôt est sur un GitHub personnel et l’implémentation est incomplète
    • Nouvelle modification à 11:45 : la phrase est désormais devenue « nous expérimentons cette implémentation et accueillons volontiers les contributeurs intéressés »
      Version archivée
    • S’ils l’utilisent vraiment en interne, ce serait surprenant : cela voudrait dire qu’ils font tourner dans leur réseau interne un code incomplet et risqué

  • Il est préoccupant qu’un grand fournisseur publie du code qui ne fonctionne pas réellement tout en essayant de vendre des produits
    Si l’on donne l’impression que l’ingénierie complexe est facile, il devient plus difficile d’expliquer que produire du logiciel sûr prend du temps
    Ce genre de comportement abîme la confiance dans la plateforme

    • Le problème, c’est que le secteur pratique déjà la « course vers le bas » depuis trop longtemps
      Le codage IA n’a fait qu’exploiter cette illusion de simplification, et au fond c’est une structure de marché guidée par la cupidité qui a produit ce genre de situation

  • Cloudflare continue de modifier le billet original, donc pour voir la version initiale, ce lien d’archive est utile

    • Quelqu’un l’a cité sur Mastodon avec l’emoji 🤮, et ils ont discrètement supprimé du blog la tournure typique des LLM « not just X; Y »

  • Toute cette affaire est embarrassante à la fois pour Cloudflare et pour l’auteur
    C’est difficile à croire qu’un texte pareil ait été publié sans validation
    Avec les erreurs qui se multiplient récemment chez Cloudflare, on a l’impression qu’après avoir atteint un sommet, l’entreprise est entrée dans une phase de déclin progressif

    • On se demande « pourquoi y a-t-il autant d’échecs chez Cloudflare en ce moment ? ». Peut-être à cause de la nouvelle technologie à la mode du moment

  • Le fait que le compte qui a posté le blog sur Hacker News soit un compte jetable (throwaway) laisse entendre que l’auteur lui-même n’avait pas confiance dans son code ni dans ses affirmations
    Lien HN

    • En plus, il a même commenté son propre billet en faisant semblant de poser des questions