Is vibe coding always bad?

No — it's bad for production systems. For prototyping, exploring ideas, and learning, describing what you want and seeing AI generate it is genuinely useful. The problem is when prototyping code ships to production without review, security testing, or human understanding of its logic. Vibe coding as exploration is fine. Vibe coding as engineering is dangerous.

Is Claude Code part of the vibe coding problem?

Claude Code, like any AI coding tool, can be used responsibly or irresponsibly. What distinguishes Claude Code from pure vibe coding tools is its agentic workflow — it runs tests, analyzes errors, and iterates on solutions rather than just generating code once. But even Claude Code output should be reviewed by a developer who understands the codebase. The tool assists engineering; it doesn't replace it.

Should I stop using AI coding tools?

Absolutely not — the productivity gains are real for experienced developers. The correct response is governance, not abstinence. Review AI-generated code before committing. Run security scans on AI output. Understand the logic of what the AI generates, especially for authentication, authorization, and data handling. Use AI for the 80% of code that follows standard patterns, and write the critical 20% yourself.

How do I make AI-generated code more secure?

Three practices: (1) Include security requirements in your prompts — "ensure input validation on all user-facing fields, use parameterized queries for database access, implement CSRF protection." Specific security instructions produce more secure code. (2) Run automated security scanners (Snyk, SonarQube, Semgrep) on all AI-generated code before committing. (3) Require human code review for any AI-generated code that touches authentication, authorization, payment processing, or personal data handling.

What's the difference between vibe coding and agentic engineering?

Vibe coding: describe what you want → accept whatever the AI generates → ship it. Agentic engineering: define the task → AI generates a solution → AI runs tests → AI identifies failures → AI iterates → human reviews the result → human approves or redirects. The difference is the feedback loop and human oversight. Agentic engineering uses AI as a collaborator; vibe coding uses AI as a replacement. Disclosure: Some links in this article are affiliate links. We only recommend tools we've personally tested and use regularly. See our full disclosure policy.

Le Codage Intuitif Est Mort — Et Votre Startup A Probablement Livré Un Désastre de Sécurité

Karpathy l'a inventé. Karpathy l'a tué. Les données montrent qu'il avait raison de le faire.

Andrej Karpathy — cofondateur d'OpenAI et ancien responsable IA chez Tesla — a inventé le terme « programmation à l'instinct » en février 2025, décrivant un style de développement où l'on « se laisse complètement porter par l'instinct », acceptant le code généré par l'IA sans nécessairement comprendre chaque ligne. Le dictionnaire Collins l'a nommé Mot de l'Année 2025. Les outils ont explosé : Cursor, Replit, Bolt, Lovable, et Claude Code ont attiré des milliards en financement de capital-risque. GitHub a rapporté que 46% de tout le nouveau code committé aujourd'hui est généré par l'IA. Dans la promotion Hiver 2025 de Y Combinator, 25% des startups avaient des bases de code générées à 95% ou plus par l'IA. L'ambiance était impeccable.

Quatorze mois plus tard, la gueule de bois est arrivée. Et Karpathy lui-même a déclaré la programmation à l'instinct obsolète — non pas parce que les outils ne fonctionnent pas, mais parce que l'industrie est passée à quelque chose de meilleur et plus difficile : l'ingénierie agentique, où les développeurs orchestrent des agents IA plutôt que d'accepter aveuglément leur production. Les données expliquent pourquoi ce changement était nécessaire.

Point Clé

La programmation à l'instinct — décrire ce que vous voulez et livrer ce que l'IA génère — produit des problèmes catastrophiques de sécurité et de fiabilité. Les chiffres : 40-62% du code généré par l'IA contient des failles de sécurité. La protection contre les scripts intersites échoue 86% du temps. 35 nouvelles CVE en mars 2026 seulement ont été directement causées par du code généré par l'IA. Amazon a eu 4 perturbations de service critiques en une semaine à cause de déploiements codés par l'IA. Les gains de vitesse sont réels. Le coût est la sécurité, la maintenabilité, et la dette technique qui s'accumule invisiblement jusqu'à ce que la production explose.

Les Chiffres de Sécurité Dont Personne ne Veut Parler

Les données sur la sécurité du code généré par l'IA sont sans équivoque et alarmantes. La société de sécurité Tenzai a construit 15 applications identiques en utilisant cinq outils populaires de programmation à l'instinct — Claude Code, OpenAI Codex, Cursor, Replit, et Devin. Le résultat : 69 vulnérabilités dans ces applications. Six étaient critiques — signifiant qu'elles pouvaient être exploitées pour obtenir un accès non autorisé, voler des données, ou prendre le contrôle de systèmes. Ce n'était pas un test de cas limites obscurs ; c'étaient des applications web standard construites avec des invites standard.

Des études plus larges confirment ce schéma. Entre 40% et 62% du code généré par l'IA contient des failles de sécurité, selon l'étude et l'outil. L'IA échoue à protéger contre les scripts intersites (XSS) 86% du temps — l'une des vulnérabilités web les plus basiques et bien comprises. Les demandes de fusion rédigées par l'IA montrent des taux de vulnérabilité de sécurité 2,74 fois plus élevés que le code écrit par des humains. En mars 2026 seulement, 35 nouvelles CVE (Vulnérabilités et Expositions Communes) ont été directement attribuées au code généré par l'IA — contre 6 en janvier. La tendance s'accélère alors que plus de code généré par l'IA atteint la production.

L'incident Amazon a cristallisé le problème pour les audiences d'entreprise. Selon le Financial Times, une panne de service Amazon en décembre a été causée par un bot de codage IA. L'entreprise a ensuite subi quatre incidents critiques en une seule semaine. Un mémo interne d'Amazon a reconnu que les protections « ne sont pas encore complètement établies » — un aveu remarquable pour l'une des organisations d'ingénierie les plus sophistiquées au monde. Amazon exige maintenant que les ingénieurs seniors approuvent tout changement de code assisté par l'IA fait par les ingénieurs juniors et de niveau intermédiaire. L'entreprise qui a été pionnière du cloud computing à grande échelle a été forcée d'ajouter des gardiens humains spécifiquement parce que le code IA ne pouvait pas être fiable.

Les métriques de qualité du code racontent la même histoire sous un angle différent. Le remaniement de code — le taux auquel le code est écrit, committé, puis réécrit — a augmenté de 41%. La duplication de code a quadruplé. Le refactoring soigneux qui maintient les bases de code en bonne santé au fil du temps s'est effondré de 25% des lignes modifiées en 2021 à moins de 10% en 2024. Un article académique de janvier 2026 a soutenu que la programmation à l'instinct « tue silencieusement l'open source » en réduisant l'engagement des développeurs avec les mainteneurs qui font fonctionner l'infrastructure critique. Quand les développeurs arrêtent de lire le code parce que l'IA le génère, ils arrêtent aussi de contribuer aux projets communautaires dont leur code dépend.

Pourquoi la Vitesse Sans Compréhension Crée des Bombes à Retardement

Le problème fondamental avec la programmation à l'instinct n'est pas que l'IA génère du mauvais code — c'est que les développeurs livrent du code qu'ils ne comprennent pas. Quand un humain écrit une vulnérabilité, l'humain comprend le code environnant assez bien pour trouver et corriger le problème pendant le débogage. Quand l'IA génère une vulnérabilité, le développeur qui l'a sollicitée ne peut souvent pas identifier le problème parce qu'il n'a jamais compris la logique du code en premier lieu. Le bug devient une boîte noire dans une boîte noire.

Cela crée une dette technique composée. Chaque morceau de code généré par l'IA que le développeur ne comprend pas complètement ajoute une autre couche opaque au système. Quand ces couches interagissent — et elles le font toujours, finalement — les bugs résultants sont extraordinairement difficiles à diagnostiquer parce que personne dans l'équipe n'a un modèle mental de comment le système fonctionne réellement. Ils savent seulement ce qu'ils ont dit à l'IA qu'ils voulaient. L'écart entre l'intention et l'implémentation grandit silencieusement jusqu'à ce que la production échoue de façons que personne ne peut expliquer.

Le problème de consommation de crédits aggrave cela. Une analyse des communautés de constructeurs d'applications a trouvé que les utilisateurs de Lovable ont brûlé 400 crédits sur la correction de bugs seule — signifiant qu'ils ont dépensé des ressources significatives à corriger du code que l'IA a généré incorrectement, utilisant la même IA pour tenter des corrections, générant de nouveaux problèmes dans le processus. Ce cycle — générer, découvrir un bug, demander à l'IA de corriger, introduire un nouveau bug, répéter — est le côté sombre du développement assisté par l'IA. Chaque tour brûle des crédits ou du temps de calcul, et la base de code accumule des couches de correctifs sur des correctifs qu'aucun humain n'a révisés de manière holistique.

📬 Cela vous apporte de la valeur ?

Une insight IA actionnable par semaine. Plus un pack d'invites gratuit quand vous vous abonnez.

S'abonner gratuitement →

Ce Qui a Remplacé la Programmation à l'Instinct (Et Ce Qui Fonctionne Vraiment)

L'industrie s'est bifurquée début 2026 le long d'une ligne prévisible : les développeurs expérimentés utilisant les outils IA ont vu de vrais gains de productivité de 10-30%, tandis que les développeurs inexpérimentés utilisant les mêmes outils ont produit plus de résultats avec une qualité pire. La différence n'est pas l'outil — c'est si l'humain comprend ce que l'IA génère.

Les ingénieurs expérimentés utilisent les outils de codage IA comme accélérateurs pour des motifs bien compris : opérations CRUD, intégrations API, formatage de données, fonctions utilitaires, code passe-partout. Ils révisent la sortie, comprennent ses implications, et attrapent les problèmes de sécurité avant de committer. L'IA économise du temps sur l'implémentation ; l'humain fournit le jugement, l'architecture, et l'assurance qualité. C'est ce que Karpathy appelle maintenant « l'ingénierie agentique » — orchestrer des agents IA plutôt que d'accepter leur production sans critique. L'amélioration de productivité de 10-30% pour le codage IA correctement gouverné est réelle et durable.

Les non-développeurs qui ont essayé de construire des logiciels de production par pure sollicitation — la promesse originale de la programmation à l'instinct — ont heurté des murs de maintenance en quelques semaines. Les données Reddit des communautés de constructeurs montrent un motif de « migration inverse » : les utilisateurs qui ont quitté les plateformes no-code pour les outils de codage IA sont retournés aux constructeurs visuels après avoir expérimenté le fardeau de maintenance du code généré par l'IA. Les plateformes qui combinent l'assistance IA avec la construction visuelle structurée émergent comme le terrain d'entente pragmatique pour les non-développeurs.

Pour les développeurs, la conclusion pratique est claire : les outils de codage IA sont transformateurs quand ils sont jumelés avec le jugement d'ingénierie. Ils sont désastreux quand ils sont utilisés comme substitut au jugement d'ingénierie. La seule compétence IA qui compte s'applique ici autant que partout ailleurs : la capacité d'évaluer la sortie IA et d'exercer un jugement sur si elle est correcte, sécurisée, et appropriée pour la production. L'Optimiseur d'Invites gratuit aide à écrire des invites de codage plus spécifiques qui produisent une meilleure sortie au premier essai, réduisant les cycles d'itération qui aggravent les problèmes de qualité. Pour une optimisation en un clic dans ChatGPT, Claude, et Gemini, TresPrompt l'apporte directement à votre flux de travail.

📬 Vous en voulez plus comme ça ?

Une insight IA actionnable par semaine. Plus un pack d'invites gratuit quand vous vous abonnez.

S'abonner gratuitement →

Foire Aux Questions

La programmation à l'instinct est-elle toujours mauvaise ?

Non — elle est mauvaise pour les systèmes de production. Pour le prototypage, l'exploration d'idées, et l'apprentissage, décrire ce que vous voulez et voir l'IA le générer est genuinement utile. Le problème est quand le code de prototypage est livré en production sans révision, test de sécurité, ou compréhension humaine de sa logique. La programmation à l'instinct comme exploration va bien. La programmation à l'instinct comme ingénierie est dangereuse.

Claude Code fait-il partie du problème de programmation à l'instinct ?

Claude Code, comme tout outil de codage IA, peut être utilisé de manière responsable ou irresponsable. Ce qui distingue Claude Code des outils de programmation à l'instinct pure est son flux de travail agentique — il exécute des tests, analyse les erreurs, et itère sur les solutions plutôt que de juste générer du code une fois. Mais même la sortie de Claude Code devrait être révisée par un développeur qui comprend la base de code. L'outil assiste l'ingénierie ; il ne la remplace pas.

Dois-je arrêter d'utiliser les outils de codage IA ?

Absolument pas — les gains de productivité sont réels pour les développeurs expérimentés. La réponse correcte est la gouvernance, pas l'abstinence. Révisez le code généré par l'IA avant de committer. Exécutez des scans de sécurité sur la sortie IA. Comprenez la logique de ce que l'IA génère, spécialement pour l'authentification, l'autorisation, et la gestion des données. Utilisez l'IA pour les 80% de code qui suivent des motifs standard, et écrivez les 20% critiques vous-même.

Comment rendre le code généré par l'IA plus sécurisé ?

Trois pratiques : (1) Incluez les exigences de sécurité dans vos invites — « assurez la validation d'entrée sur tous les champs face à l'utilisateur, utilisez des requêtes paramétrées pour l'accès base de données, implémentez la protection CSRF. » Des instructions de sécurité spécifiques produisent du code plus sécurisé. (2) Exécutez des scanners de sécurité automatisés (Snyk, SonarQube, Semgrep) sur tout code généré par l'IA avant de committer. (3) Exigez une révision de code humaine pour tout code généré par l'IA qui touche l'authentification, l'autorisation, le traitement des paiements, ou la gestion des données personnelles.

Quelle est la différence entre la programmation à l'instinct et l'ingénierie agentique ?

Programmation à l'instinct : décrivez ce que vous voulez → acceptez ce que l'IA génère → livrez-le. Ingénierie agentique : définissez la tâche → l'IA génère une solution → l'IA exécute des tests → l'IA identifie les échecs → l'IA itère → l'humain révise le résultat → l'humain approuve ou redirige. La différence est la boucle de rétroaction et la supervision humaine. L'ingénierie agentique utilise l'IA comme collaborateur ; la programmation à l'instinct utilise l'IA comme remplacement.

Divulgation : Certains liens dans cet article sont des liens d'affiliation. Nous ne recommandons que des outils que nous avons personnellement testés et utilisons régulièrement. Voir notre politique de divulgation complète.