Les agents de vibe coding sont d'ores et déjà un cauchemar technique et sécuritaire
Le 10 mars, Amazon a convoqué une réunion d'urgence pour évoquer une série de pannes et d’incidents techniques, liés notamment à l’usage de son assistant de programmation maison Kiro. Plus tôt ce mois-ci, le site d’Amazon et son application sont restés hors-ligne durant six heures, à cause d’un déploiement de code erroné, empêchant les clients d’effectuer leurs achats.
La plateforme cloud Amazon Web Services a également subi deux incidents techniques liés à l’usage d’assistants de programmation. Un calculateur de coûts utilisé par de nombreux clients est ainsi resté inaccessible durant treize heures d’affilée, après que des ingénieurs ont autorisé Kiro à effectuer certaines modifications sur celui-ci, l'outil ayant alors choisi de supprimer et recréer l'environnement de A à Z, ce qui a généré la panne temporaire.
Les géants de la tech ignorent les risques
Amazon pousse de manière agressive ses développeurs à adopter l’usage d’agents d’IA pour coder plus rapidement et efficacement. A l’automne 2025 et en janvier 2026, elle a réalisé deux vagues de licenciements massifs (30 000 postes au total), qu’elle a en partie attribuées à l’adoption rapide de l’IA, permettant aux équipes de développeurs de gagner en productivité.
Amazon n’est pas la seule à agir de la sorte. Soucieux de rentabiliser leurs investissements massifs dans l’IA, les géants technologiques poussent à l’adoption rapide de cette technologie, espérant ainsi obtenir des gains de productivité susceptibles de justifier les sommes énormes dépensées dans la construction de centres de données, l’acquisition de puces Nvidia ou encore le financement de jeunes pousses de l’IA générative. L’an passé, Satya Nadella a par exemple affirmé que 30% du code généré par l’entreprise était désormais écrit par l’IA, qui codait même certains projets de A à Z. Le directeur de l’IA de Microsoft, Mustafa Suleyman, émet quant à lui des promesses grandiloquentes sur le remplacement imminent de tous les cols blancs par l’IA.
Mais Windows 11 a récemment été affecté par une succession de bugs que Microsoft s’efforce de résoudre. Si l’entreprise n’a pas confirmé que ces problèmes étaient dus à l’usage du vibe coding, certains n’ont pas hésité à relever une coïncidence troublante entre l’adoption de tels outils et l’apparition de nombreux problèmes techniques.
Selon une récente étude, 80% des entreprises américaines utilisent déjà des outils low-code ou no code pour le développement d’applications, et 41% d’entre elles ont mis en place un programme permettant aux non-développeurs de créer des applications en interne.
L’adoption massive d’outils qui sont encore prompts à halluciner et qui, laissés sans supervision, peuvent commettre des erreurs grossières, comprend pourtant des risques importants pour ces sociétés. Dans le cas d’Amazon et de Microsoft, on parle de soucis techniques, mais les conséquences peuvent être bien pires, avec l’ouverture de failles en matière de cybersécurité exploitables par les pirates informatiques.
Le vibe coding, une catastrophe pour la cybersécurité
"Les agents, par nature, peuvent se tromper. Ils peuvent donc aussi générer du code avec plus de vulnérabilités. Et si vous n'êtes pas développeur, vous n'aurez aucune capacité à analyser ce code pour vous en rendre compte, encore moins à le corriger", rappelle Bernard Montel, directeur de la technologie de Tenable, une entreprise de cybersécurité.
Pour illustrer la facilité avec laquelle on peut manipuler un agent d’IA, les équipes de recherche de la société ont créé dans Microsoft Copilot Studio un agent de voyage entièrement automatisé, chargé de gérer des réservations clients à partir de données sensibles fictives. Malgré des règles de sécurité strictes, les chercheurs ont réussi, via une injection de prompt, à détourner l’agent conçu en no-code pour réserver un voyage gratuit et à extraire des informations de cartes bancaires.
De nombreux experts tirent depuis des mois la sonnette d’alarme quant aux risques que représente l’usage de l’IA agentique dans la programmation. "Les agents les plus sophistiqués ont des niveaux d'autonomie plus élevés, ce qui signifie qu'ils peuvent faire davantage par eux-mêmes sans intervention humaine : téléchargement de fichiers, exécution de code et lancement de commandes", précisent Gary Marcus et Nathan Hamiel, deux experts américains de l’IA, dans une tribune parue l’été dernier.
"Un haut niveau d'autonomie, combiné à la facilité avec laquelle les logiciels basés sur des LLM peuvent être manipulés, est une recette pour le chaos. Autonomie et LLM ont déjà conduit plusieurs vibe coders à perdre des bases de données, avec de nouveaux cas signalés tous les deux jours, découlant simplement de l'instabilité inhérente aux LLM. Du point de vue de la sécurité, c'est une catastrophe en attente."
70% du code généré par l’IA contient des failles
Les chiffres leur donnent déjà raison. Des analyses d'outils de développement d’IA populaires ont révélé que 68 à 73% des extraits de code générés automatiquement contenaient des failles de sécurité. Une étude de Wiz souligne quant à elle que 20% des applications codées par vibe coding présentent de graves vulnérabilités ou des erreurs de configuration.
L’exemple de la jeune pousse Enrichlead est à cet égard frappant. Son fondateur s’est vanté sur les réseaux sociaux que 100% du code de sa plateforme avait été écrit par l’outil d’IA Cursor, sans "aucun code écrit à la main". Quelques jours seulement après son lancement, il s’est avéré que la plateforme présentait de nombreuses failles de sécurité de niveau débutant, permettant à n’importe qui d’accéder à des fonctionnalités payantes ou de modifier des données. Le projet a été abandonné après que le fondateur n’a pas réussi à amener le code à un niveau de sécurité acceptable à l’aide de Cursor.
L’outil Nx Build, largement adopté par les "vibe coders", a pour sa part distribué un logiciel malveillant qui envoyait des instructions en langage naturel aux agents d’IA (Copilot, ChatGPT, etc.), leur demandant de parcourir les systèmes à la recherche de fichiers de configuration, de portefeuilles et de secrets potentiels à exploiter. Les développeurs exécutant souvent sans vérification les commandes suggérées par leurs assistants, plus de 1 400 développeurs ont été touchés, et les clés volées ont ensuite été réutilisées pour accéder à des dépôts privés.
Citons encore l’application de rencontre Tea App, qui a annoncé avoir été victime d'un vol massif de données : 72 000 images, dont 13 000 photos de pièces d'identité officielles issues de la vérification des utilisateurs ont été dérobées. La cause principale a été identifiée comme une dépendance excessive au code généré par l’IA sans revue de sécurité, conséquence directe de la culture du vibe coding.
Comment limiter les risques
Pour Bernard Montel, de Tenable, l’idée n’est pas de faire une croix sur le vibe coding, mais plutôt d’adopter des principes élémentaires de gestion des risques plutôt qu’une adoption massive et indiscriminée, en triant les projets en fonction du danger potentiel, afin de limiter au maximum l’exposition et les portes ouvertes laissées aux attaquants.
"Si mon projet no code vise par exemple à automatiser des processus qui ne sont pas risqués en interne, le danger n’est évidemment pas le même que s’il s’agit d’un projet au cœur de mon métier, qui est exposé à l'externe et auquel tous mes clients auront accès. Il faut être pragmatique."
"Des outils comme la conception sécurisée par défaut et les nomenclatures logicielles (software bills of materials) peuvent aider à comprendre et à gérer les risques liés à la chaîne d'approvisionnement, notamment lorsque l'IA tente d'importer des bibliothèques aléatoires pour effectuer des tâches courantes. Par ailleurs, à mesure que les attaques spécifiques à l'IA se multiplient, des outils comme MITRE ATLAS deviendront de précieux guides pour interpréter les scénarios de risque cyber, les indicateurs de menace et la réponse aux incidents", estime pour sa part Jason Christopher, expert en cybersécurité, dans une tribune publiée sur LinkedIn.
Simon Willison, spécialiste des LLM, est plus radical : selon lui, le vibe coding devrait être réservé aux petits projets sans enjeux majeurs. "Les projets devraient présenter de faibles enjeux. Réfléchissez à l'ampleur des dommages que pourrait causer votre code s'il contient des bugs ou des failles de sécurité", conseille-t-il aux professionnels dépourvus de compétences en programmation.