Et je remarque un petit message de Zax, notre amie que tu connais évidemment.
Salut Brice !
Qui dit que le bug bounty est encore bien affaire au marché gris malheureusement.
Oui, c'est très vrai.
Ce qui veut dire que concrètement t'es un cyber-cheminel ou un ou non, tout simplement
un hacker.
Actuellement ton travail est mieux valorisé sur des plateformes de marché noir que sur
des plateformes officielles.
C'est pas du marché noir parce que c'est très flou légalement mais c'est des plateformes
comme zérodium, zdi ou des trucs comme ça qui vont racheter des failles de sécurité
sur d'autres vendeurs.
Et après en fait c'est un peu une boîte noire de qu'est-ce qu'ils font sur...
Qu'est-ce que sont les clients ?
C'est ça, on pense que c'est étatique et donc l'éthique de envoyer ça on sait pas
vraiment, il n'y a pas vraiment de lois donc...
Mais c'est là-bas où une faille va coûter 2 millions alors que Apple pour la faille
qu'on disait vont payer je crois c'est 200 000 dollars donc...
Fache, impredite.
C'est ouf.
C'est ça.
Je vous le disais du coup on va un petit peu reparler de OpenAI et des petits dingrées
qu'on peut en faire dans son métier de tous les jours.
Evidemment tout le monde ne fait que parler de chat GPT en ce moment et faut le dire c'est
vrai que c'est ultra puissant donc c'est logique.
Mais à mon avis la démoistration qu'on va vous montrer aujourd'hui ça m'étonnerait
fortement que vous l'ayez vu ailleurs.
On va vous montrer très concrètement comment GPT3 a réussi plus ou moins à trouver une
faille dans un centre hospitalier.
Ronny c'est grâce à toi qu'on peut montrer tout ça puisque donc tu es accuréthique et
t'es un des premiers que je connaisse à avoir tout de suite adopté la technologie en fait
dans le job et littéralement gagner de l'argent du coup grâce à ça comme c'est ton travail.
Juste avant qu'on parle du coup de ce hacking automatisé est-ce que tu peux nous expliquer
à quoi ça ressemble très concrètement du hacking assisté par hier en fait ?
Oui carrément du coup ça fait à peu près un an que que que je utilise GPT3 développé
par OpenAI pour m'assister un peu sur sur des piratages et à la base le modèle que
j'utilisais il y a un an c'est DaVinci 2 pour ceux qui connaissent et qui veulent jouer
avec et aujourd'hui on est sur du DaVinci 3 ils ont même sorti de chat GPT et en fait
ce qui se passe c'est que je vais utiliser l'intelligence artificielle pour m'expliquer
des concepts ou des bribes de code. Du coup un truc qu'on adore faire quand on est en
bug bounty c'est de passer en boîte blanche directement en boîte blanche ça veut dire
qu'au lieu de faire des tests à distance on va aller lire le code pour mieux comprendre
ce qui se passe dans le code et finalement pouvoir trouver des failles plus facilement
donc une fois qu'on accéde au code c'est beaucoup plus facile de trouver des failles
et le truc c'est qu'il y a tellement de langages différents de fraymore de librairie
que on ne peut pas être expert tout de suite sur tous les langages il faut avoir vraiment
pas mal d'expérience il faut connaître tout ça et je me suis dit est ce que je peux optimiser
ma productivité en donnant le libre de code à OpenAI et je lui laisse m'expliquer en
anglais le code. Ce qui se passe. Et du coup je lui dis bah ok ligne par ligne maintenant
explique moi le code et c'est une d'un bêche. Du coup là on le voit à l'écran. Là j'utilise
chat gpt mais moi je préfère utiliser le playground OpenAI mais là je sais pas. C'est à peu près la
même chose. Si ça vous demandez c'est un peu préparé. La seule différence c'est que chat gpt est
vraiment entraîné pour être un assistant alors que OpenAI tu peux un peu faire ce que tu veux
c'est natif et du coup là je lui dis bon bah explique moi du code en PHP et je lui dis bah
tu es un pen testeur tu dois m'assister dessus et il m'a généré du coup ce magnifique pavé qui
est très compréhensible en soi donc par exemple si quelqu'un n'a jamais lu de PHP normalement
il pourrait comprendre avec quelques notions de programmation qu'est ce qui est en train de
se passer. Alors juste pour savoir le code PHP que tu lui as donné. Oui du coup il vient d'où.
Ah oui en fait il vient d'un WordPress du coup sur les WordPress ce que ce que j'aime bien
faire c'est que les ils ont des plugins sur WordPress qui sont totalement publics c'est
à dire c'est des extensions du blog du CMS et du coup ce que je vais faire c'est que je suis
installé le plugin et je suis directement allé voir le code et du coup là c'est vraiment
le site d'un centre hospitalier et du coup il m'explique dans le code que en gros ça sert à
chercher des noms d'utilisateurs dans une base de données en SQL et du coup c'est dans la base
de données de WordPress et après ce que je lui ai demandé c'est est ce que tu peux m'expliquer
si le code interprète une action d'un outil d'un outil d'un outil de foret est ce que ça
ce code si un outil de foret écrit quelque chose sur le site il va l'interpréter et effectivement
comme on le voit à l'écran il me dit bah oui il y a un paramètre Q qui est dans dans la roquette
que l'utilisateur peut modifier et ce paramètre va après dans une fonction que ça appelle strip
slash et strip slash tout ce qui est fait c'est enlève les backslash de la chaîne de caractère
voilà du texte et question avant qu'on avance oui est ce que tu peux expliquer pourquoi cette
question n'est pas anodine du tout genre parce que je pense que à part si tu es dans la super
sécurité le fait que un utilisateur renseigne quelque chose j'en sais rien moi dans un champ de
texte comment ce texte est traité c'est pas du tout évident que c'est très important ouais en
fait c'est hyper important parce qu'on a ce concept qui est de source et de sync donc en fait on va
essayer de voir le code comme un antonnois c'est à dire qu'est ce que l'utilisateur peut faire qu'est
ce qu'on lui donne accès et cet accès où est ce qu'il va dans le code et dans quelle fonction il
est en train de rentrer et en fait par rapport aux accès qu'on est en train de donner à l'utilisateur
on va pouvoir manipuler le code et trouver des failles d'autorisation d'injection et plein de
choses comme ça donc là c'est vraiment une question qui est hyper pertinente pour OpenAI parce
que je lui dis qu'est ce que en gros la personne qui a programmé ce plugin me donne accès qu'est ce
que je suis en train de manipuler quelle donnée il veut me faire utiliser et du coup là OpenAI
m'a dit bah le code interprète ton paramètre Q pour aller chercher dans la base de données des
tables d'utilisateur et ce qu'il faut savoir c'est qu'il m'a même écrit que y'avait peut-être
possibilité qu'il y ait une injection SQL ça veut dire que on peut éditer la requête SQL pour
dire pour demander ce qu'on veut à la base de données il a fait tout seul je lui ai même pas
encore demandé si c'était possible qui me l'avait déjà écrit il y a peut-être moyen que ce soit
possible du coup je lui ai dit ok écrit moi là c'est ce qu'on voit à l'écran écrit moi la requête
SQL que je devrais faire et c'est exactement la bonne requête pour identifier une injection SQL
et du coup à partir de ce moment là ça a bien trouvé la faille et du coup j'ai pu vérifier
moi en tant que cumain que voilà je constate il y a une faille de sécurité et je lui ai dit bon
bah maintenant génère moi un beau rapport de bugbunty comme ça j'ai vraiment mais rien à faire
et voilà il m'a généré un rapport qui est très proche de nous ce qu'on envoie j'aurais édité
deux trois petits trucs mais c'est dans les grandes lignes c'est exactement ce qu'on fait et
du coup on pose la question qui est le craque là si je dois résumer un peu c'est à dire que tu as
arrivé sur le site d'un hôpital ou un truc de santé tu te posais la question de s'il pouvait
y avoir des vulnérabilités dessus tu fournis un bout du code dont tu sais qu'il est probablement
utilisé tchage peut-être explique comment il marche il te suggère tout seul qu'il y a peut-être une
faille à un endroit tu lui demande de t'écrire la preuve qui est effectivement une faille tu la test
c'est bon parce que c'est quand même si simple tu lui demande de rédiger le rapport le rapport
afin de signaler sur la plateforme de bugbunty c'est ça quand il y a un bug et tu empoches la
tune c'est incroyable c'est génial il ya un autre truc aussi ça veut dire que même n'importe qui
développe aujourd'hui peut tester son code parce que ce que c'est en train de montrer c'est que ça
peut aussi aider à rendre un code plus robuste carrément juste de base carrément et ça c'est
ce que je dis à certains des développeurs avec qui je travaille je leur dis bon bah voilà si à un
moment vous voulez faire vraiment des cheques préliminaires vous pouvez déjà aller sur tchage
gpt et l'utiliser et du coup tu balance le code et tu mets dis moi si ce code a potentialement
des vulnérabilités et du coup je dis des gg pour avoir automatisé ton travail ce qu'il faut
savoir c'est que ça c'est vraiment faille hyper basique et du coup c'est un bon exemple je trouve
pour réaliser jusqu'où ça peut aller c'est à dire que c'est pas ça c'est le potentiel du
truc quoi c'est pas un tout petit truc où t'as été aidé c'est sur chaque étape c'est limite
toi qui est l'assistant du chat c'est ça c'est débile mais en fait du coup c'est plutôt cool
parce que par exemple on pourrait se dire bah là il y a une fonction que tu comprends pas et
imagine dans vs code tu peux juste cliquer sur un bouton et il te déroule toute l'explication
s'il a trouvé une faille ou pas et toi t'as juste à vérifier mais du coup ce qu'il faut savoir
c'est que ça marche vraiment sur les failles hyper évidentes et il faut savoir bien lui poser
des questions et par rapport à sa formulation bah parfois il va te dire non il n'y a pas de failles
alors clairement il y en a une est ce que ça marche pour des failles durs ou qui valent beaucoup
et bah c'est exactement la question que je me suis posé pour cette chronique et du coup j'ai voulu
retrouver une faille sur facebook que un chercheur qui s'appelle Youssef Samouda que j'adore je l'ai
rencontré il est génial il est trop bon techniquement il a trouvé une faille sur facebook qui lui a
valu 42 000 dollars donc ça va et il a expliqué dans un article voilà comment j'ai réussi à
ré-hacker facebook je veux savoir c'est que ce gars il n'a pas à qu'est une fois facebook
il est premier du top l'hider bar du bug bounty de facebook je crois que il a mis un tweet très
récemment il a trouvé quatre failles la dernière il a fait 450 000 dollars donc donc voilà le gars
c'est un turbo crack et du coup dans son article il montre un code JavaScript donc le code qui a
vraiment dans ton navigateur de facebook et ça ressemble à ce pavé là concrètement c'est du code
qu'on appelle minifier ça veut dire que en gros pour réduire la taille du code javascript qui
est envoyé au navigateur parce que tu dois le télécharger sur ton navigateur pour pouvoir
l'exécuter on va utiliser ce truc minifier qui va pacter et du coup c'est pas très lisible
humainement donc en gros le développeur n'a pas du tout écrit ça c'est un système une moulinette
qui a tout réduit condensé réduit les variables etc c'est ça mais du coup à lire c'est un femme
et renombe les variables c'est tout super chanel c'est pas fait pour que ça soit lisible pour un
nom du coup je me suis dit est ce que est ce que c'est au panneille est ce que au panneille pourra
m'aider à trouver la faille dans ce code donc attend on est d'accord la faille a déjà été trouvée
par ce gars là la question c'est est ce que j'arrive avec une intelligence artificielle t'aurais
pu la trouver à l'époque exactement si jamais tu l'avais ok du coup c'est un peu une expérience
hypothétique mais on veut là on est sur des failles vraiment très très complexes à trouver parce
que clairement l'impact de cette faille c'est il a réussi à prendre contrôle de n'importe quel compte
facebook si tu cliquais sur son lien ok donc concrètement le gars c'est vraiment il est trop
fort et alors que d'il y a et du coup je lui ai dit vas-y explique moi le code et très surprenant
il a compris ce qu'a fait le code et il m'a dit exactement ce qu'il faisait et exactement ce
qui est décrit d'ailleurs dans l'article et j'ai trouvé ça insaine parce que concrètement là
j'ai plus besoin de lire du code minifier ça veut dire de vraiment mettre un des bugger
comprendre que ok là c'est telle variable qui rentre dans tel truc tout ça qui peut être hyper
soporifique là je me suis enlevé une heure à deux heures de de mon temps et derrière je lui ai dit bon
bah simplifie moi le code pour que je peux pu se lire humainement et il m'a généré un code qui
est vraiment très très très proche de la réalité ou en tout cas il est c'est la même logique c'est
la même algorithmie derrière et c'est simple à lire les noms des variables sont intelligibles
et donc c'est une base déjà pour pour chercher une faille j'imagine exactement et du coup la faille
je vais pas rentrer dans les détails mais en gros c'était vérifier l'origine d'une roquette pour
savoir si elle domaine avait le droit de faire une roquette sur un autre domaine et du coup je lui ai
dit est ce que tu arrives à m'expliquer comment est vérifier l'origine donc c'est encore ce truc de
source et sync qu'on vérifie est ce que l'utilisateur a le droit de faire quelque chose et il m'a dit
exactement ce que faisait le source et sync exactement ce qu'il vérifiait et à ce moment là bon
j'ai discuté je pense pendant 10 15 minutes avec avec jpt oh même vraiment c'est un pote on a
passé une discussion mais aux petits oignons et je lui ai dit bon bah maintenant est ce que tu peux me
générer le le code malveillant qui aurait pu exploiter la faille de sécurité et effectivement
il m'a généré qui est close qui est très très très très proche de ce qui est dans l'article du
coup c'est à base d'une fonction j'ai écrit ça par les post messages bref on va pas rentrer encore
une fois dans les détails mais dans l'article je sais pas si on a l'image après mais on a à quoi
ressembler la fonction et on voit exactement qui a fait deux post message à la suite et qui était
exactement les mêmes et en fait tout ce qui lui manquait c'est le contexte que j'avais oublié de
lui dire de est ce que tu peux faire un call à une API pour qui me donne le token d'authentication de
utillateur en fait ça je lui ai pris le petit et moi je lui ai pas dit et donc yussef je lui ai
parlé sur twitter attend parce que là ça veut dire que avec charge et pt avec le même bout de code
que ce chercheur de malade mentale a réussi à produire le code malveillant pour exploiter une
faille qui vaut 42 000 dollars j'ai une question quand même parce que du coup cette article là il
est paru quand alors je m'en rappelle plus c'était je crois dans l'année dernière le but de ma
question en fait c'est de savoir est ce que oui est ce que au final j'ai d'étés à pas du l'article
ouais exactement au pnaï dit que leurs modèles sont entraînés jusqu'à 2019 c'est à dire que tout ce
qui a après 2019 il ne connaît pas alors je pense que je sais pas en gros à mon avis que
je me dis si je me trompe parce que tu connais mieux que moi mais charge et pt ça va plus long
que ça c'est genre 20 2 millions de gens à mon avis toi les modèles que tu as l'habitude
d'utiliser il me semble que c'est peut-être 2019 tu as sa suivant les versions de gp et donc toi tu
utilises d'avine c'est connex dans cet exemple c'était charge et pt j'avais aussi testé avec le
playground il avait trouvé des trucs similaires mais donc charge et pt lui il a la connaissance depuis
2020 oui ok 2021 apparemment du coup ça j'avais pas l'info mais ça pose la question après sur
ouverture sur les limites de ce genre de système et ça salut si vous appréciez dans score vous
pouvez nous aider de ouf en mettant cinq étoiles sur apple podcast en mettant une idée d'invité
que vous aimeriez qu'on reçoive ça permet de faire remonter un score voilà telle une sur
le site mais du coup j'ai parlé à yusef sur twitter de cette faille et il m'a dit en effet il
n'a pas tout le contexte de comment facebook fonctionne tout le truc interne tout ça et
peut-être qu'avec plus de discussion on aurait pu arriver à un résultat plus probant mais par
contre un truc qu'on a réussi à noter c'est un peu notre conclusion c'est super bien juste pour
déblayer tous les trucs chiants que nous on veut pas faire c'est à dire aller chercher des du code
minifié comprendre la logique du truc tout ça et en fait là on le fait pour que ce soit lisible
pour apparaître un humain et finalement on a juste à travailler sur la logique même de la faille
plutôt que sur toute l'interaction technique du truc c'est toi qui marque l'essai mais
tout le de sale job tu la fais faire quoi et exactement et en fait c'est là où moi je me
dis je vais pas essayer de tout automatiser avec je vais juste automatiser les petites taches que
j'aime pas faire pour que finalement moi je me concentre que sur l'essentiel qui est la logique
pure du hack et et finalement je pense que c'est c'est un peu la conclusion de mon expérience
avec sur facebook j'avais testé plusieurs chats différents il y en a carrément un où il m'a dit
je veux pas te répondre parce que c'est pas éthique parce que chat j'ai pété c'est un
assistant il a été entraîné comme un assistant et du coup il a une notion d'éthique et par
contre dans le playground donc quand on utilise des modèles beaucoup plus natifs qui ne sont
pas teintés il y a pas du tout de limite et du coup il te donne tout de suite racy les
tu peux nous donner des exemples de taches que du coup t'automatisent dans le job et qui te font
gagner comme ça des heures du coup m'expliquer du code déjà c'est un truc de ouf c'est beaucoup
mieux pour ça générer des petits scripts c'est bête à dire mais des fois il y a des commandes
un peu à rallonge qu'il faut écrire dans son terminal et quand t'as pas envie de lire la
documentation de toutes les commandes bah juste lui dire généralement la commande je veux que ça
soit l'input je veux qu'un résultat ressemble à ça et il te le fait plutôt bien en général et ce
que j'ai trouvé hallucinant chez OpenAI c'est qu'il y a un truc de logique c'est il arrive à reconnaître
une certaine logique et par exemple si je lui donne un morceau de code je lui dis ça c'est l'entrée de
la fonction essaye de deviner le résultat il arrive à le faire et très très proche de la
réalité et du coup c'est trop cool et aussi j'ai écrit tous mes rapports de bug bounty maintenant
comme ça et en fait ce que je vais c'est que ce qui est bien c'est que j'écris la majorité du
truc après quand il a faux ou à des endroits je veux repéracifier un truc j'ai juste à écrire
deux trois phrases et basta c'est fini ça me prend cinq minutes ou avant ça pouvait me prendre
une heure ou deux pour vraiment les rapports hyper long donc c'est juste trop cool et c'est une
technologie que j'ai envie d'utiliser pour plein de trucs par exemple pour ma boîte mano mano
là on est en train de réfléchir avec l'équipe SQ de l'âge et on va de rajouter OpenAI dans
notre scanner de sécurité en gros on a un scanner qui va aller tester des failles vraiment très
primitives et un truc qu'on arrive pas à faire en scannant c'est les failles logiques ça veut
dire par exemple si je envoie une requête à pays mais j'ai de la donnée d'un autre utilisateur
donc la donnée personnelle comment je fais comprendre à un ordinateur que c'est de la donnée privée
par exemple une adresse qui est complètement publique d'une entreprise comment il fait la
distinction entre c'est l'adresse d'une entreprise et c'est l'adresse d'un particulier qui est là
et privée et donc on a testé des pocs avec OpenAI et on lui donnait directement les réponses de
nos appels même pas en extrait la donnée c'est juste on donne la réponse en jason et en fait
il arrive à trouver et t'expliquer pourquoi c'est de la donnée personnelle il arrive à t'expliquer
tout le concept de rgpd qui est derrière et même les amendants courus si ça ça devrait liquer
ou des choses comme ça donc en gros c'est l'étape un peu de pour vous pour vous aider à qualifier
si la faille est très critique si vous voulez la patch en premier etc et bien c'est du travail
manuel pénible pour un humain et lui l'arrive à saisir cette subtilité de dans ça c'est de la
donnée personnelle trastaro pour le patch et du coup en fait on peut l'utiliser comme un classificateur
je sais pas si ça dit comme ça mais vraiment ça c'est de la donnée personnelle ça c'est pas de la
donnée personnelle et du coup nous ça nous aide à vraiment mieux catégoriser les failles qu'on
trouve donc ça c'est un projet qu'on a en cours et qu'on veut vraiment faire avec OpenAI et ce qui est
trop cool c'est qu'au pain aille ils utilisent aussi des modèles d'entraînement qui s'appelle
fine tune où tu peux lui donner des données un jeu de données et il va s'entraîner avec ce jeu
de données et du coup il devient expert d'une certaine tâche que tu as lui donné et du coup pour
ce question de donner à caractère personnelle nous on comptait aller chercher le fine tune et
vraiment lui envoyer lui bourriner de fausses données client du coup anonymiser et finalement que
lui il arrive à les reproduire sur nos appays il nous dire où est-ce qu'on traite de la donnée à
caractère personnelle et comme ça on fait des mappings de dingue et tout donc voilà c'est un peu
les options futures qu'on a avec OpenAI qui sont insaines c'est trop bien de justement d'avoir
un peu cet état là où on a vu une faille simple fait quasiment de az par unia une faille très complexe
sur sur l'infra de facebook à 40 000 balles où là c'était on va dire quasiment automatique mais
il y avait un besoin de plus de travail c'est assister et et des perspectives plus plus
longaine sur chadjp t dans la cyber security très très intéressant merci merci tu te
dis chadjp t déjà actuellement dans ton taf tu pour rappel tu es chez adou le vs est-ce que t'as
trouvé des moyens de gagner du temps sur des trucs non mais clairement si si franchement ce
que comme ronnie je pense on a discuté un peu avant mais c'est un peu c'est un peu life changing
je trouve moi dans mon travail aussi après moi ce que je trouve ultra cool c'est que ça permet
de de s'absouser un peu du syndrome de la page blanche tu vois quand quand quand tu veux commencer
à créer un rapport ou que tu as une idée ou quelque chose et que tu essaies de le mettre en forme
mais tu sais pas exactement encore comment l'organiser tout ça et bien en fait moi ça m'a
fait de l'idée globale et bien sûr en général après ce que je vais écrire comme rapport ça
aura rien à voir avec ce que je chadjp t est imaginé mais ça accélère énormément mon
travail du coup pour pour ça je l'utilise énormément en fait je vous entendais discuter des
stratégies pour optimiser au maximum et c'est un vrai sujet il ya des il ya des gens qui
fin il ya des formulations des choses comme ça qui vont vous donner beaucoup de résultats et
non c'est un peu comme à l'époque où les gens découvraient les outils de génération d'image
et ben les promptes donc les les textes quand védonnaient il ya ça avait beaucoup de valeur
il ya limite des entreprises qui se montaient qui vendait des promptes qui donnaient des résultats
super cool et j'ai l'impression qu'il y a un peu ce truc avec chat jp t ou et suivant comment
fin souvent si tu connais un petit peu les tournures de france etc tu peux avoir des résultats de
faut je pense que ça va devenir une skill en fait ça va devenir une skill d'être capable de de bien
faire comprendre ce que tu veux faire générer à lia est ce que c'est un exemple de conseil genre
de de appliquer quand on utilise déjà de chacune de pt ouais ouais ouais pas combien de temps
ouais bah là récemment j'ai vu un gars sur twitter que que j'ai hrt parce que c'était
insin où il explique en fait plein de petits points ou par exemple tu expliques l'objectif
dès le début de ce que tu veux faire tu dis toi t'es un pentester toi t'es un cuisinier top chef
tout ça et je veux que tu me fasses une recette gastronomique trop bonne et en fait il faut que
tu lui donne un contexte de qui il est ça m'a frappé effectivement tu as fait ça sur des
captures d'écran tu dis ça tu es un assistant qui m'aide à faire de la cyber sécurité c'est ça
et en gros en fait c'est comme ça lui il comprend c'est quoi son objectif parce que si je lui dis
juste explique moi ce code et après je lui dis trouve la faille de sécurité bah déjà son truc
éthique il va me dire bah non c'est mort et de après peut-être qu'il va essayer de de de te trouver
un truc même s'il existe pas et du coup il est généraliste un peu et là tu le spécialises
dans son objectif là en gros on va en fait c'est ce que tu me disais de tout à l'heure créer un focus
et en gros le mettre dans un autre noir de penser ok à peu près je pense à des gens
c'est rien des gens qui sont pas les sur sur internet depuis 15 ans qui tombent sur cette
discussion je pense qu'ils doivent péter à l'aéron on essaie de modifier le comportement
du nia qui répond à nos questions pour targaiter son focus pour qu'elle nous aide mieux je crois
qu'on a inventé une phrase là c'est une perchée quand même d'un autre conseil ouais
ben en fait ça rejoint un peu ce que zahoni parce que nous je pense qu'aujourd'hui on a la
habitude de faire des requêtes qui sont assez simplifiées où on va direct droit de rebute alors
qu'en fait avec liage il faut il faut lui donner du contexte mais il faut aussi préciser un peu
comment tu veux qu'elle formule sa réponse et et tu peux même moduler le vocabulaire qu'elle va
utiliser ou ou le niveau de d'expertise par exemple de de vulgarisation que tu veux genre par
exemple moi si je vais écrire un truc ultra technique sur une techno et ben comme tu disais
tu vas introduire avec une phrase du style tu es expert en ça mais après tu peux lister
tout ce que tu veux comme enfin quand dire comment tu veux caractériser ta réponse par exemple tu
peux tu peux lui dire fais le dans le ton d'un article d'accord ou fais le comme si tu écrives
un rapport d'expertise ou alors fais le comme si tu étais tu peux dire comme si tu étais un étudiant
ou alors vulgariste comme si tu parlais et en fait ça va modifier le niveau de détail ou de le ton
qui est exactement et en fait ça modifie son style ça modifie les mots qui l'emploi je trouve ça
ultra incroyable et en fait aujourd'hui quand quand on fait une recherche par exemple sur google
on se dit pas qu'on doit préciser tout ça mais aujourd'hui tu peux vraiment customiser ta ta
réponse et c'est hyper intéressant parce que moi je trouve que tous les gens enfin on est beaucoup à
voilà essayer de chadger pt il y a un effet waouh on trouve deux trois quatre d'usages ça nous
aide mais il y a moi j'ai une petite frustration souvent de ok les réponses sont pas mal mais c'est
et mais et je sens que c'est parce que je dis pas les choses comme il faut il manque une phrase il
manque des choses et du coup je me blase un peu et au final je finis par ne pas l'utiliser autant
que je pourrais donc je trouve ça vachement intéressant de limite d'avoir des feuilles de
tchitchi des feuilles de triche où on te dit voilà on te conseille dans ce genre de cas de faire ce genre
de caranje je vous en je vous entendais par exemple dire que il fallait pas trop lui demander
cinq exemples de quelque chose ouais je donne moi cinq exemples d'un titre youtube il faut pas
que je dis comme ça je dis il faut que je dise quoi en fait alors si on veut un peu comprendre le
truc c'est que chaque mot va être égal à des points et ces points là il va les mettre dans une
dimension et en gros il va essayer de trouver le chemin de probabilité dans ces points là ça
c'est du coup un peu ce qu'on discusait qui m'arrête quand je dis n'importe quoi d'accord et en gros
par rapport au point il va te dire bah lui ce qui me demande dans la dimension que j'ai créé c'est
là tu vois et en gros on sait pas trop comment il fait pour chercher là dedans on sait pas pourquoi
il arrive à ce résultat mais il arrive à ce résultat là et en gros quand tu lui dis je veux
que tu me fasses cinq points bah tu vas lui créer plus de points alors que si tu lui dis juste je
veux que tu brainstormes il a la capacité de comprendre ce qu'est un brainstorm et je vous
il va peut-être en générer dix et toi tu prends juste c'est que tu préfères mais en gros tu as
réussi à simplifier ta demande pour pour gpt et finalement il va avoir des gens beaucoup plus
pertinents que si il s'autobride à déjà comprendre le concept de devoir se limiter à cinq d'accord tu
vois mais pas facile à comprendre mais pas très facile c'est très astring je vois l'idée il ya aussi
que on je pense que de base on va tous poser plus ou moins les mêmes questions tu vois par exemple
si tu dis à dix personnes dans une pièce bah chercher ce concept là des idées pour faire
un gâteau de noël par exemple et ben les gens ont plus ou moins tous formulés la question
pareille et du coup tu vas avoir des réponses qui sont très mainstream comme tu disais tu vois c'est
pas satisfaisant mais je suis d'accord souvent c'est toujours des idées c'est jamais fin c'est rarement
des idées très novatrices ouais c'est toujours des avis consensuels tu vois il ya une notion de ok
boring mais le prochain truc alors que tu peux le pousser tu vois en fait tu peux lui dire ben
propose moi une recette de gâteau de noël mais originale enfin tu vois ou alors tu lui dis
tous les trucs que tu veux pas tu as tu lui dis pas un truc mainstream ou genre fait quelque chose
d'original ou alors fait quelque chose que personne n'a jamais encore proposé ou quelque
chose comme ça et là il va sortir de comme tu disais de son usage probabilistique de réponse
possible et il va essayer de proposer des nouvelles choses et en fait c'est comme ça que tu peux
essayer d'enrichir ton échange et il ya aussi un autre truc que j'ai remarqué c'est quand tu poses
une question avec la réponse ne te satisfait pas souvent des gens ils refraîchent le prompt
ils recommencent depuis le début moi je fais ça non en fait c'est mieux que tu le corrige
ok pendant la conversation et lui du coup il va s'inspirer de ton contexte en fait de la
conversation vous avez vu avant et tu lui dis non non tu m'as proposé ça mais en fait je ne veux pas
que je me le propose comme ça je veux que ce soit plutôt comme ça il est meilleur si tu as donné
un plus ton contexte des grands exemple négatif avant en fait ouais voilà tu peux le corriger au
fur et à mesure en fait lui tu tu vas le pointer en fait vers ce que tu veux et du coup il va plus
au moins ignorer d'autres endroits de l'espace où il pourrait te proposer des choses mais il
comprend que c'est pas ce que tu veux ok et en fait tu peux essayer de l'amener à une réponse qui
est plus satisfaisante ou plus pertinente par rapport à ce que tu fais très intéressant mais il
faut que tu gardes l'historique de la conversation avec c'est passionnant comment un meilleur
compréhension de cassons les coulisses de comment ça à quoi ça ressemble cette histoire de nuages
probabilistes et tout c'est un peu nébuleux mais je pense que c'est quand t'as ce niveau de maîtrise
là que tu le tira au maximum profit de l'outil quoi mais tu vois moi un truc qui me frustrait
normalement c'est qu'on par exemple le jugement d'écrire des rapports des mails ou des trucs comme
ça il me gère toujours un style d'écriture qui est l'an d'a je suis très bien corpochiant
je vais pas rentrer il ya une technique de dingue plus que juste dire il faut que ce soit fun il faut
que ce soit ça tu donne un texte que toi t'as déjà écrit et tu dis analyse moi ce texte et dis-moi
quelles sont les styles d'écriture de ce texte et après tu lui dis écris moi cette phrase là dans
ce style d'écriture et on paraga comme ça et en fait tu vas lui c'est exactement ce qui se passe
dans le code d'abord tu lui fais expliquer le code et après tu le ressentres sur ta problématique
pour fait si par exemple moi dans le truc je lui demande pas d'expliquer le code il va déjà
essayer de comprendre ce qu'est une fonction comment elle interagit et tout ça et en fait tu
va le perdre alors que si tu lui dis le code simplifie le vas-y comprend moi tout ça et après
réécris tout ça et genre en fait tu lui fais un antonnoir dans les deux sans base ça attend donc là
dans la théorie du vas dans la démonstration que tu nous as fait sur la faille de sécurité si tu
lui donnes juste le code et tu lui dis trop moins de failles ça marche absolument pas zéro alors
que si d'abord tu lui dis explique moi ce code ensuite trop moins de failles là ça marche oui et
du coup ce qu'il faudra faire si du coup si moi je vais créer un script de vidéo actuellement il me
ferait un truc ennuyeux à mourir sur un ton très corporate je pourrais lui dire analyse moi du coup
un extrait de vidéo que j'ai déjà écrit et décris moi donc quel style il est exactement lui il me
gênait un pavé et ça après ça me sert de référence et je peux lui redonner toutes les
prochaines fois pour avoir le style d'écriture qui me correspond mais pas par exemple un truc
qui est recommandé par l'équipe de pnaa dans leur documentation c'est si tu veux lui faire
générer des listes ou des trucs comme ça qui ont un algo un peu spécial par exemple ordonne
moi cette liste de telle manière bah d'abord donne lui un exemple et un résultat et tu dis ça
c'est les résultats attendus et après donne lui un autre jeu de données et en fait il va
automatiquement chercher le raisonnement entre le premier jeu de données et le résultat pour
refaire l'expérience expliqué par l'exemple et en fait c'est bien plus simple pour unia que si
toi humain t'essayes d'expliquer exactement ce que tu veux quoi très très très stylé c'était
une on vient de créer une partie supplémentaire sur des conseils pour utiliser chat j'ai fait
exprès de laisser déjà parce que je trouve ça hyper intéressant et donc donc j'espère que vous
aussi vous avez appris les trucs dans le chat comme vous le disiez tout à l'heure je vous ai vu parler
de ça bientôt notre travail en fait ce sera expert prompt juste qui a les meilleures capacités de
confronction de lia etc ouais mais j'insiste sur ça c'est super vrai que il y a beaucoup de gens
qui disent oui bientôt le job des développeurs et tout ça c'est foutu et en fait je pense plutôt
que c'est juste une nouvelle façon d'utiliser ces outils là et que ça va nous permettre d'aller
beaucoup plus vite mais mais il y a de la place pour ces outils là et les développeurs il reste
toujours du taf de glu de compréhension de bien sûr et même de bah comme on dit avoir ce niveau
de compréhension d'adaptation sur ok comment oui les marches comment je peux l'utiliser à mon
avantage ça c'est incroyable bref j'espère que vous aurez après des trucs pour mettre ça à
profil dans votre vie tous les jours en utilisant chat gpt