> STATUT SYSTÈME & ROADMAP

Les entrées de sécurité et d'amélioration sont publiées en anglais.

1. 2026-06-02 FEATURE sitemap.xml et robots.txt automatiques pour le site public — meilleure indexabilité et blocage correct des chemins internes
2. 2026-05-25 FEATURE Plateforme entièrement multilingue — le portail et l'administration ne contiennent plus aucune chaîne de caractères fixe, tout est traduisible
3. 2026-05-23 FEATURE Meilleure reconnaissance des visiteurs récurrents — le bot les mémorise et démarre une nouvelle conversation au bon moment
4. 2026-05-21 FEATURE Messages en temps réel dans la boîte de réception — les nouveaux messages des visiteurs et du bot apparaissent instantanément dans le panneau de détail, sans actualisation
5. 2026-05-20 FEATURE Fichiers dans la boîte de réception — les pièces jointes entrantes des visiteurs (widget et e-mail) sont visibles, et les agents peuvent envoyer des pièces jointes dans les réponses par e-mail
6. 2026-05-19 FEATURE Produits avec photos et vidéo dans le chat — le bot affiche automatiquement les images et vidéos du produit lors d'une question sur un produit, sans configuration supplémentaire
7. 2026-05-18 FEATURE PDF/Word importe automatiquement les produits — téléchargez un catalogue en PDF ou Word et le bot extrait lui-même toutes les données produit (en arrière-plan)
8. 2026-05-18 FEATURE Détection automatique du type de fichier — CSV, Excel et Word sont traités chacun via le bon pipeline pour que le bot comprenne correctement le contenu
9. 2026-05-17 FEATURE Assistant d'onboarding dans Einstein Assist — les nouveaux comptes sont guidés étape par étape pour configurer leur premier bot
10. 2026-05-16 FEATURE Boîte de réception repensée (v3) — mise en page trois colonnes avec dossiers, liste de conversations et détail côte à côte, avec colonnes redimensionnables
11. 2026-05-15 FEATURE Le message d'accueil du bot est automatiquement traduit dans toutes les langues actives du compte à sa création
12. 2026-05-14 FEATURE Connectez votre propre serveur e-mail (SMTP) pour les envois — avec validation SPF, bouton d'e-mail test et indicateur de statut
13. 2026-05-13 FEATURE Routage de confidentialité entièrement configurable via le portail — choisissez par bot et par action quel fournisseur IA utiliser
14. 2026-05-12 ✓
    Enregistrement client comme capacité du bot (réutilisation email/WhatsApp)

    Les bots peuvent désormais créer activement un enregistrement client via la capacité register_customer lorsqu'un visiteur partage son nom et ses coordonnées. Le même service est réutilisé pour les e-mails entrants, WhatsApp et les futurs canaux.

15. 2026-05-11 FEATURE Entraînement du bot par import mail en ligne — les tenants connectent une boîte mail d'entraînement et l'IA génère automatiquement des paires FAQ à partir de vraies questions clients. Les paires FAQ sont traçables jusqu'à l'e-mail source pour une correction ultérieure.
16. 2026-05-11 FEATURE Smart Agendas — plusieurs calendriers, actions personnalisées, attribution aux agents (En cours de planification)
17. 2026-05-10 FEATURE Mascotte de bot personnalisée — choisissez dans une galerie sélectionnée (101 icônes) ou téléchargez votre propre logo (PNG/SVG/WebP/AVIF, redimensionné automatiquement en 256×256 avec ajustement letterbox)
18. 2026-05-09 ✓
    Le chatbot peut planifier des rendez-vous — réservation de rappel via la conversation

    Les visiteurs réservent un rappel ou un créneau vidéo directement dans le chat. Flux iCal par agent, vue semaine/jour/liste avec reprogrammation par glisser-déposer, déclencheur webhook sur changement de statut.

19. 2026-05-08 ✓
    Packs révisés — bundle Discover 3× jetons, multi-devises, conception axée sur les coûts

    Le pack Discover bénéficie de 3× plus de jetons (300k/mois) sans augmentation de prix. Les tenants peuvent désormais choisir leur devise (EUR/USD/GBP/…) avec des instantanés BCE quotidiens.

20. 2026-05-05 ✓
    Boîte de réception unifiée v2 — widget et e-mail en un seul écran à 3 panneaux

    Disposition à 3 panneaux avec dossiers, verrouillage doux par conversation et piste d'audit complète. Panneau de suggestions de réponse IA avec flux d'acceptation/rejet. Règles de réponse automatique par canal.

21. 2026-05-01 ✓
    Modèles Ollama locaux disponibles pour les bots à confidentialité stricte

    Notre cluster bêta exécute Mistral et Qwen localement via Ollama. Les prompts restent entièrement dans notre infrastructure néerlandaise — aucun fournisseur cloud, aucun appel API externe.

22. 2026-04-30 ✓
    Fournisseurs de confidentialité européens — OVH Mistral, Llama 3.3 70B et OpenRouter intégrés

    Les tenants peuvent désormais choisir parmi des fournisseurs LLM européens et conformes au RGPD : Mistral et Llama 3.3 70B hébergés par OVH (datacenter France), plus la gamme complète de modèles OpenRouter.

23. 2026-04-27 ✓
    Einstein Assist a désormais son propre rythme cardiaque (INT-280)

    L'assistant intégré peut maintenant poster un message dans votre chat dès qu'une tâche en arrière-plan (comme un grand crawl ou une importation) est terminée. Plus besoin de F5, plus de promesses "je vous préviens toutes les minutes" — une vraie conversation en direct. Fonctionne pour les crawls, la génération de Q&R et bientôt aussi pour les boîtes de réception et les analyses de conversations. Simultanément, Einstein Assist a été renforcé contre les messages de statut inventés : le bot doit toujours interroger l'état réel via un vrai outil.

24. 2026-04-27 ✓
    Einstein Assist — standardisé dans chaque compte client

    L'assistant par défaut dans chaque tenant s'appelle désormais Einstein Assist (anciennement : Assistant IA). Ce bot est automatiquement présent, peut être personnalisé (ton, persona, instructions, connaissances) mais ne peut pas être supprimé — ainsi chaque client dispose toujours d'au moins un assistant fonctionnel. Les clients ayant déjà renommé leur bot (Nova, Haagse Wheelie, etc.) conservent le nom qu'ils ont choisi. Einstein Assist peut également répondre à des questions spécifiques au tenant comme "quelle est l'adresse de mon site web ?" en consultant vos domaines vérifiés.

25. 2026-04-27 ✓
    Les paires Q&R ne contiennent plus jamais de prix

    Notre générateur de Q&R filtre automatiquement toutes les mentions de prix dans les paires générées. Pour les questions de prix, le chatbot renvoie désormais les visiteurs vers la page produit où les prix sont mis à jour en temps réel. Résultat : lorsqu'un prix change, il n'est plus nécessaire de régénérer les paires Q&R. La protection est codée en dur (pas seulement une instruction à l'IA), donc 100 % fiable.

26. 2026-04-27 ✓
    Vue en direct des tâches avec contrôles arrêt/relance

    La page de planification d'importation affiche désormais les tâches actives et récentes en arrière-plan (crawls, importations, générations Q&R) avec leur progression en direct ("23 des 50 pages crawlées, 156 Q&R ajoutées"). Cliquez sur une tâche pour voir son calendrier d'étapes. Arrêtez, relancez ou supprimez directement depuis l'interface. La page se rafraîchit automatiquement toutes les 10 secondes.

27. 2026-04-25 ✓
    Catalogue d'outils + Matrice bot-outils v2 (INT-271)

    Gestion des outils entièrement pilotée par la base de données : les administrateurs peuvent ajouter, désactiver et attribuer des outils par bot via un écran maître-détail repensé. Marquage du risque SSRF, enum de surface (customer_bot/help_bot/both/internal_helper), actions en masse bloquées pour les outils SSRF, protection à la suppression avec 409 en cas d'utilisation active. Cache Redis, fallback codé en dur pour les déploiements sans interruption.

28. 2026-04-25 ✓
    UX Conversations — séparation actif/inactif + panneau de raisonnement du bot (INT-270)

    Les conversations actives et inactives sont réparties dans des onglets. Inactivité automatique après une période configurable sans message (30 min par défaut). Colonnes de dates visibles (Début / Dernier message / Actif depuis). Détail de conversation : panneau optionnel "Raisonnement du bot" affichant les appels d'outils et les sources de données. En ligne depuis le 2026-04-25.

29. 2026-04-25 ✓
    Lien Ticket ↔ Historique de chat (INT-269)

    Chaque ticket créé via le chatbot inclut une référence à la conversation d'origine. Dans l'aperçu des tickets du portail tenant, les agents peuvent ouvrir une section dépliable par ticket affichant l'historique complet du chat. Filtrage de portée strict par tenant pour éviter tout mélange de conversations. En ligne depuis le 2026-04-25.

30. 2026-04-25 ✓
    Chat en direct + Prise en main humaine — l'agent reprend sans interruption (INT-268)

    Les agents tenant peuvent suivre les chats du bot en temps réel et les reprendre en un clic. Le bot se met en pause et l'agent tape ses propres réponses au visiteur via le même widget. Retour automatique au bot en cas d'inactivité. Notification RGPD dans le widget lors de la prise en main. Disponible sur tous les packages payants (Launch, Scale, Sovereign) — pas sur Discover. En ligne depuis le 2026-04-25.

31. 2026-04-25 ✓
    Escalade vers bot spécialiste — routage bot-à-bot (INT-275)

    Les bots peuvent transférer de manière transparente une conversation à un bot spécialiste au sein de la même équipe de connaissances. Routage piloté par LLM via specialty_description (couche B). Le visiteur voit une bannière de confirmation avec "Continuer"/"Annuler". Nombre maximal d'escalades configurable (défaut 2). Sécurisation contre les conditions de course avec limite de cycle. Disponible sur Launch, Scale et Sovereign. En ligne depuis le 2026-04-25.

32. 2026-04-25 ✓
    Contrôle de niveau + grandfathering — Discover/Grow actifs (INT-274)

    Les tenants Discover n'obtiennent que search_knowledge ; les tenants Grow obtiennent KB + documents + navigation + démo. Les tenants existants sur Discover/Grow bénéficient automatiquement du grandfathering jusqu'au 2026-10-01 afin d'éviter toute suppression soudaine de fonctionnalités. Après cette date, les limites de package s'appliquent pleinement. La tuile du tableau de bord admin indique combien de tenants sont encore sous grandfathering.

33. 2026-04-23 ✓
    Équipes de connaissances — connaissances partagées et privées par bot (INT-247)

    Chaque bot dispose de sa propre base de connaissances privée et peut être membre de plusieurs équipes de connaissances avec des Q&R, documents et crawls partagés. Appartenance multi-équipe pour les départements transverses (Ventes et Support). Disponible à partir de Launch ; Scale 3 équipes, Sovereign 5 équipes. Phase A (schéma) + B (backend) + C (interface + backfill) complètes.

34. 2026-04-23 ✓
    Tarification dynamique — tout depuis une source unique (INT-250)

    Les limites de package, les indicateurs de fonctionnalités et les prix sont désormais lus entièrement de manière dynamique depuis la base de données de configuration. Page de tarification publique et interface d'administration repensées ; catalogue de secours en cas d'échec de la base de données ; prix annuel calculé avec annual_discount_pct. Plus aucune divergence entre ce qui est affiché et ce qui est appliqué.

35. 2026-04-21 ✓
    Salutation bot multilingue (INT-214)

    Les tenants peuvent désormais configurer le message d'accueil et les suggestions par langue depuis le portail.

36. 2026-04-21 FEATURE Votes most-wanted — les visiteurs peuvent voter pour les intégrations prévues et disponibles
37. 2026-04-21 FEATURE Salutation bot par langue gérable dans le portail
38. 2026-04-20 ✓
    Modèle d'e-mail Bento + intégration du logo CID

    Tous les e-mails sortants en style Bento avec logo intégré et variante texte brut ASCII-safe.

39. 2026-04-19 ✓
    Voice gateway 3.1 — privacy_mode bout en bout

    Routage Whisper local pour les visiteurs qui choisissent « pas de cloud ».

40. 2026-04-19 FEATURE Mode privacy voice : routage Whisper local pour opt-out cloud
41. 2026 · Q1 ✓
    BYOK — Bring Your Own Key

    Les tenants peuvent enregistrer leurs propres clés API Anthropic, OpenAI ou Google dans le portail. La consommation est facturée sur leur compte, pas sur les crédits de la plateforme.

42. 2026 · Q1 ✓
    BYOLLM — Bring Your Own LLM

    Endpoint compatible OpenAI configurable par bot — LLM auto-hébergé (Llama, Mistral, fine-tune personnalisé) ou un autre fournisseur cloud via API standard.

43. 2026 · Q1 ✓
    BYOSpeech — Bring Your Own Speech

    Endpoint Whisper/STT personnalisé par tenant. Pour l'audio qui ne doit jamais quitter votre infrastructure, ou pour les tenants disposant de leur propre cluster GPU.

44. 2026 · Q1 ✓
    LLM privacy local + routage par bot

    Mode strict-privacy : les prompts ne partent jamais vers un cloud externe. Par bot, on configure un modèle, une chaîne de fallback et un plafond mensuel.

1. 2026-06-01 SECURITY Les textes d'administration et de traduction sont toujours assainis avant affichage sur les pages publiques
2. 2026-06-01 FIX Le chat d'aide flottant dans l'administration répond à nouveau
3. 2026-05-29 FIX Le changement de langue dans le portail prend effet immédiatement (sans rechargement de page)
4. 2026-05-27 FIX Les notifications de widget en temps réel arrivent à nouveau correctement
5. 2026-05-26 FIX Plus de messages en double de l'agent dans la boîte de réception lors de la prise en charge d'une conversation
6. 2026-05-24 SECURITY Réinitialisation du mot de passe renforcée pour les adresses e-mail partagées — le bon compte est sélectionné sans ambiguïté
7. 2026-05-24 FIX Les couleurs du widget fonctionnent maintenant toujours correctement, même avec une combinaison de template et de couleurs personnalisées
8. 2026-05-22 SECURITY Isolation entre les environnements clients renforcée — des contrôles supplémentaires garantissent que les données d'un compte n'atteignent jamais un autre
9. 2026-05-22 FIX La vérification des e-mails s'exécute à nouveau au bon intervalle (sans charge inutile)
10. 2026-05-21 SECURITY Protection contre les contenus malveillants dans les messages de chat renforcée — les données clients sont assainies avant utilisation
11. 2026-05-21 FIX La boîte de réception affiche à nouveau la réponse complète du bot (elle était tronquée dans le panneau de détail)
12. 2026-05-20 SECURITY Téléchargements de fichiers : les types de fichiers non sécurisés (comme les SVG avec contenu de script) sont refusés
13. 2026-05-20 SECURITY Pièces jointes de la boîte de réception strictement limitées par compte — les agents ne voient que les pièces jointes de leur propre compte
14. 2026-05-20 FIX La formation du bot par e-mail fonctionne à nouveau correctement
15. 2026-05-20 FIX La création de dossiers dans la boîte de réception fonctionne à nouveau
16. 2026-05-19 SECURITY Les contenus externes (pages crawlées, documents) sont protégés avant que l'IA les traite — protection contre les instructions cachées
17. 2026-05-18 SECURITY Protection contre le path-traversal lors de la suppression de médias — seuls les fichiers du répertoire de stockage valide peuvent être supprimés
18. 2026-05-18 FIX Les bots ne tombent plus silencieux lors de l'utilisation de plusieurs fournisseurs IA
19. 2026-05-18 FIX Affichage des modales d'administration restauré — plus hors écran ni non-scrollable
20. 2026-05-08 SECURITY Flux d'événements du widget renforcé — vérification de liaison widget_key ↔ session_id contre l'écoute des conversations d'autres utilisateurs
21. 2026-05-07 SECURITY Limitation brute-force sur la connexion admin + limite de débit par IP sur mot de passe oublié / réinitialisation / vérification 2FA / magic-login / recherche de tenant
22. 2026-05-06 SECURITY Limitation d'abus de coûts sur l'endpoint JWT public du bot de vente — limite de débit par IP pour prévenir les abus automatisés et les dépenses LLM imprévues
23. 2026-05-06 FIX Le poller e-mail a été déplacé vers le cron — les vérifications IMAP sont désormais sans token/LLM. Les messages entrants passent d'abord par le wizard de règles de la boîte de réception ; l'IA n'est utilisée que pour le marquage et les suggestions de réponse sur les messages restants. Les coûts en tokens restent minimaux
24. 2026-05-05 SECURITY Accès aux pièces jointes sécurisé contre l'exposition inter-tenant — IDOR via le paramètre session_id manquant corrigé (audit : aucun abus historique constaté)
25. 2026-05-04 ✓
    Sprint sécurité — audit inviolable, suite SSRF, handshake HMAC plugin (INT-428)

    En un sprint de 20 issues, les chemins les plus sensibles ont été renforcés : les audits de prise en charge de conversation et d'appel d'outil disposent désormais d'une chaîne de hachage inviolable, l'outil fetch_url a reçu une suite de tests SSRF complète.

26. 2026-05-03 FIX Performance : le portail et le widget répondent nettement plus vite (Apache MPM Prefork → MPM Event + PHP-FPM)
27. 2026-04-27 ✓
    Sécurité : élévation de privilèges dans la gestion des agents corrigée (SEC-A1, INT-279)

    Lors d'un audit de sécurité (architecte + conseiller conflit de permissions), une vulnérabilité préexistante a été découverte permettant à un Manager de se promouvoir au rôle owner en 1 à 2 appels API. Correction : les endpoints POST/PUT des agents bloquent l'attribution du rôle owner sauf si l'appelant est déjà owner. AgentManager::invite() n'accepte plus le rôle owner (défense en profondeur). Audit propre : aucune escalade historique. Prérequis essentiel pour le mode confidentialité tenant INT-278.

28. 2026-04-27 ✓
    Correction : boutiques en ligne accessibles uniquement en IPv6

    Certaines boutiques modernes (dont les boutiques Shopify) ne sont accessibles depuis leur domaine principal qu'en IPv6. Notre crawler détecte désormais cela automatiquement et bascule — aucune intervention manuelle du client. Simultanément, le crawler accepte désormais les cookies, utilise des en-têtes réalistes et respecte un rythme de requêtes raisonnable. Découvert le 2026-04-27 et corrigé en moins d'une heure pour tous les clients ZelixAI.

29. 2026-04-27 ✓
    Renforcement de la sécurité : protection contre les instructions cachées malveillantes (INT-277 Phase C)

    Notre bot lit du contenu web (pages produit, articles KB) pour générer des Q&R. Un attaquant pourrait théoriquement insérer des instructions cachées dans une page crawlée. Notre dernière couche de sécurité (basée sur la classe CVE-2025-32711 EchoLeak) supprime structurellement tous les commentaires HTML suspects et blocs de scripts avant que le bot ne les voie, et achemine le contenu crawlé uniquement via une couche de résumé dédiée et sans outils. Ce type d'injection de prompt est ainsi structurellement impossible. Examiné par 3 agents conseillers indépendants.

30. 2026-04-27 ✓
    Mode confidentialité tenant en ligne — fail-CLOSED en cas de panne fournisseur (INT-278)

    Les propriétaires de compte peuvent imposer à l'échelle de la plateforme que toutes les communications IA transitent exclusivement par des fournisseurs respectueux de la confidentialité (LLMs locaux ou clé API personnelle). Les employés sans rôle owner ne peuvent plus désactiver cela. Important : le mode confidentialité s'applique à l'organisation tenant elle-même, pas uniquement aux visiteurs du widget. Le bot d'aide, le crawler, le bot planificateur et toutes les actions IA suivent les mêmes règles de confidentialité. Renforcement : si le serveur de confidentialité tombe ET qu'aucun fournisseur alternatif n'est configuré, TOUTE activité IA s'arrête pour ce tenant. Les crawls planifiés et les jobs Q&R passent en état de pause, aucun appel LLM n'est effectué. Le propriétaire du tenant reçoit automatiquement un e-mail (max 1× par 24 h) avec la liste des tâches en pause. Dès que le serveur de confidentialité est de nouveau en ligne, les jobs reprennent automatiquement. Architecture fail-CLOSED by design.

31. 2026-04-20 ✓
    Sécurité : correctif d'injection d'hyperliens (IAIP-2026-001)

    Formulaires publics renforcés, double opt-in pour les inscriptions, protection CRLF dans le mailer. Voir l'avis.

32. 2026-04-20 SECURITY Injection d'hyperliens dans les e-mails de formulaires publics — signalé par un chercheur en sécurité externe
33. 2026-04-20 SECURITY Injection d'en-tête CRLF dans SmtpMailer — trouvée en interne lors d'un examen par advisor
34. 2026-04-20 FIX Modèle d'e-mail ne se dégrade plus dans Outlook (gradient → repli solide)
35. 2026-04-20 FIX Le bouton « Confirmer l'inscription » du widget était blanc sur blanc dans certains clients — bouton bulletproof déployé
36. 2026-04-20 FIX Le widget générait l'erreur JS « shouldSet is not defined » — signalée par un client ; helper restauré
37. 2026-04-20 FIX Le message d'accueil du widget restait en NL après changement de langue sans actualisation — re-render direct déployé
38. 2026-04-18 FIX Le scroll du widget était « capturé » par la page hôte ; chaînage du scroll corrigé
39. 2026-04-17 FIX Impossible de scroller vers le haut dans le chat du widget — piège flex-justify-end supprimé

1. 2026-04-27 ●
   INT-278 plan d'architecture

   Architecture du mode confidentialité validée en 3 rounds de conseils : architecte, full-stack, sécurité. 5 garde-fous imposés dans le code (B/C/D/E + SEC-A1). Plan complet et 17 questions examinées pour les extensions futures.

2. 2026 · Q2 ●
   Pré-bêta — groupe de test fermé

   Des clients sélectionnés peuvent tester la plateforme en direct. Accès sur invitation. Objectif : stabilité + cas limites avant un déploiement plus large. NOUS SOMMES ICI.

3. 2026 · Q2 ●
   Extensions de package — croître sans mise à niveau (INT-249)

   Slot de bot supplémentaire ou slot d'équipe de connaissances pour 9,95 € par mois, cumulables sur tout package. La phase A (schéma d'extension + PackageLimitResolver) est en ligne depuis le 2026-04-23. La phase B (catalogue admin + mandat Pay.nl + portail tenant) est en cours de finalisation.

4. 2026 · Q3 ○
   Bêta ouverte — test opérationnel complet

   Inscriptions publiques ouvertes. Toutes les fonctionnalités fonctionnent sous charge réelle. Onboarding self-service pour PME.

5. 2026 · Q4 ○
   Lancement 1.0 + cluster GPU opérationnel

   Fin de la phase bêta. Forfaits et prix définitifs. L'extension GPU porte le LLM privacy local au niveau de vitesse du cloud.

6. 2026 · Q4 ○
   Serveurs LLM & speech locaux — managés ou on-premise

   Offre pour les organisations à souveraineté des données stricte : hébergé par ZelixAI ou installé sur l'infrastructure du client. Même stack, votre emplacement.

Tous les problèmes de sécurité signalés et vérifiés sont publics via nos Security Advisories.

Un problème détecté ? Envoyez un e-mail à security@zelixai.ai.