Les outils de génération de code par intelligence artificielle n’ont jamais été aussi populaires. Portée par la promesse d’une productivité accélérée, la pratique du vibe coding, qui consiste à générer du code en se fiant à l’intuition et aux suggestions des modèles d’IA, s’impose dans les entreprises technos du monde entier. Pourtant, une ombre grandit au tableau : selon le GenAI Code Security Report 2025 publié par Veracode, près de 45 % du code généré par des LLM contient des vulnérabilités, parfois critiques.

L’étude, fondée sur plus de 80 tâches de programmation soumises à une centaine de modèles d’IA, révèle que les failles les plus fréquentes touchent des catégories bien connues des experts en cybersécurité, comme les injections XSS (CWE-80) ou les manipulations de journaux vulnérables (CWE-117). Dans les cas les plus problématiques, plus de 70 % du code Java produit par IA est jugé non sécurisé. Python, C# et JavaScript suivent de près, avec des taux d’échec allant de 38 à 45 %.

Pour Jens Wessling, CTO de Veracode, ce phénomène est la conséquence directe d’un changement culturel dans le développement logiciel. « Les développeurs n’expriment plus explicitement leurs exigences de sécurité, laissant les modèles décider eux-mêmes de ce qui est sûr et ils se trompent près d’une fois sur deux », alerte-t-il. Pire encore, les grands modèles ne sont pas significativement meilleurs que les petits, ce qui suggère un problème systémique.

Face à ce constat, Veracode recommande aux entreprises d’intégrer des garde-fous dans leurs processus de développement : analyse statique du code, détection automatisée de vulnérabilités, vérification des composants open source, et pare-feux applicatifs pour bloquer les paquets malveillants. L’objectif est clair : sécuriser la chaîne logicielle avant que les failles n’atteignent la production.

Cela n’empêche pas l’engouement pour le vibe coding de croître. En juin, Redis a temporairement suspendu tout développement pour former ses équipes à l’usage des outils IA. Airtable s’est relancé en plateforme 100 % AI-native avec l’assistant Omni. Des startups comme Anysphere, Lovable ou Replit lèvent des centaines de millions pour construire l’avenir de cette nouvelle approche. Même Meta permet désormais aux candidats d’utiliser une IA pendant leurs entrevues techniques.

Mais cette “programmation d’ambiance”, pour reprendre l’expression lancée par Andrej Karpathy, cofondateur d’OpenAI, n’est pas encore prête pour le cœur des systèmes critiques. Comme le rappelle Howie Liu, PDG d’Airtable, « le code généré semble fonctionner, mais il est souvent truffé d’erreurs en profondeur ». L’IA peut construire vite, mais mal.

Le défi des prochains mois sera donc de trouver un équilibre : exploiter la vitesse de l’IA, sans sacrifier la sécurité. Car dans un monde où même les cybercriminels utilisent l’IA pour générer des attaques à grande échelle, la rigueur doit redevenir une priorité, aussi “vibes” que soit le code.

Source : Dark Reading, Helpnet security, Business Insider

+++

Tous les jours de la semaine, du lundi au vendredi, Bruno Guglielminetti vous propose un regard sur l’essentiel de l’actualité numérique avec 120 secondes de tech.