Table des matières

En février 2025, le cofondateur d'OpenAI et ancien responsable de l'IA chez Tesla, Andrej Karpathy, a publié sur X une seule phrase qui a fait le tour du monde avec un nouveau terme : vibe coding.

"There's a new kind of coding I call 'vibe coding', where you fully give in to the vibes, embrace exponentials, and forget that the code even exists."

Un an plus tard, en 2026, le terme se trouve au centre d'un débat polarisé. Karpathy lui-même a proposé de le renommer, les entreprises constatent une hausse des incidents de sécurité, et pourtant, pour les développeurs indépendants, les startups et les outils internes, il s'est imposé comme un style de codage standard. Cet article parcourt la définition et les derniers débats à partir de sources officielles et de données du secteur.

SPECTRE DES STYLES DE CODAGE · 2026

Vibe coding = « laisser l'IA s'en occuper sans lire le code »

— entre le codage traditionnel et l'ingénierie agentique

TRADITIONNEL
Écrit à la main
Les humains conçoivent, écrivent et relisent. L'IA est un assistant.
VIBE CODING
Suivre le courant
Prompt → l'IA génère → si ça tourne, on passe à autre chose. Le code reste non lu.
ING. AGENTIQUE
Conception + exécution IA
Les humains conçoivent les contraintes, l'IA accélère la mise en œuvre.

Le vibe coding est imbattable pour les prototypes jetables.
Si vous déployez en production, vous devez glisser vers l'extrémité ingénierie agentique du spectre.

1. Qu'est-ce que le vibe coding ?

Le vibe coding est un style de programmation construit autour du fait de parler de ce que le code doit faire, plutôt que d'écrire ou de lire le code lui-même. Vous décrivez ce que vous voulez à une IA (Claude, GPT, Cursor Composer, etc.) en langage naturel, et vous continuez à exécuter et à demander des corrections sans lire le code généré.

Trois idées sont au cœur de la démarche :

  • Lâcher l'attachement au code : abandonner le sentiment de propriété sur « le code que j'ai écrit ».
  • Si ça tourne, c'est bon : une fois que ça fonctionne, comprendre l'intérieur viendra plus tard — ou jamais.
  • Le piloter par la conversation : quand des bugs ou des erreurs apparaissent, dites simplement à l'IA « corrige ça ». Coller la stack trace suffit.

Un exemple typique : un développeur indépendant écrit « construis un jeu Tetris en Pygame » → Claude renvoie 500 lignes de code → il l'exécute → la balle ne tombe pas, alors il dit « les blocs ne tournent pas » → il reçoit une version corrigée. Tout cela sans écrire une seule ligne lui-même.

2. Karpathy l'a inventé — et a proposé un nouveau nom un an plus tard

L'expression « vibe coding » a été inventée par Andrej Karpathy sur X (anciennement Twitter) en février 2025. Il l'a utilisée pour décrire l'expérience d'associer Cursor Composer (qui faisait alors tourner Sonnet) à SuperWhisper (entrée vocale) pour construire des applications presque entièrement en parlant.

Ce qui s'est passé l'année suivante :

  • Août 2025 : les principaux LLM ont franchi les 60 % sur SWE-bench, et le vibe coding a commencé à devenir réel.
  • Décembre 2025 : Karpathy a rapporté un basculement spectaculaire dans son propre flux de travail — 80 % écrit à la main en novembre, 80 % généré par l'IA en décembre.
  • Février 2026 : Karpathy a proposé d'abandonner le nom « vibe coding » et de le remplacer par « ingénierie agentique ». La distinction : vibe = dire ce que vous voulez et accepter ce qui revient ; ingénierie agentique = concevoir le système, spécifier les contraintes et utiliser l'IA pour accélérer une mise en œuvre déjà réfléchie.

Le vibe coding se trouve donc dans une situation étrange — le terme qui a popularisé le concept, mais la personne qui l'a créé ne le recommande plus. Le marché continue malgré tout à l'utiliser, parce qu'aucun autre mot ne capture la même saveur de « décontracté » et « libéré de la lecture du code ».

3. Le flux de travail typique

Assez d'abstraction — voici la boucle réelle que les gens utilisent.

BOUCLE VIBE

Décrire → Générer → Exécuter → Répondre

1
DÉCRIRE — le dire
« Construis-moi un Tetris. » « Ajoute un écran de connexion. » « Corrige ce bug. » Des souhaits en langage naturel — aucun document de spécification requis.
2
GÉNÉRER — l'IA écrit
Cursor, Claude Code, Lovable, etc. produisent ou modifient plusieurs fichiers. Vous faites simplement défiler le code.
3
EXÉCUTER — essayer
Lancez-le. Ouvrez-le dans le navigateur. Exécutez les tests. Si ça marche, parfait. Sinon, passez à l'étape suivante.
4
RÉPONDRE — répliquer
Collez l'erreur telle quelle. Dites « mets-le en rouge » ou « rends-le plus rapide » — le langage naturel suffit. Retour à l'étape 1.

Vous exécutez cette boucle de 4 étapes des dizaines à des centaines de fois pour assembler une fonctionnalité.
C'est une bête différente du flux linéaire traditionnel « concevoir → implémenter → tester ».

4. Les principaux outils

En mai 2026, voici les outils où le style vibe coding fonctionne particulièrement bien.

OutilÉditeurPoints fortsUsage typique
Claude CodeAnthropicTâches autonomes de longue durée, intégration MCP, narrer-puis-coder aide à comprendre réellement le codeModifications importantes sur des dépôts existants, projets greenfield
Cursor ComposerCursorIntégré à l'IDE, édition multi-fichiers, popularité explosive parce que Karpathy l'utiliseDéveloppeurs indépendants, MVP de startups
Codex CLIOpenAIGPT-5.5 intégré, fort en automatisation du terminalOutils CLI, scripts, automatisation ops
LovableStartup indépendanteUne UI dédiée pour « faire naître une appli en parlant », déploie aussi pour vousPrototypes SaaS pour non-ingénieurs
v0VercelSpécialisé dans les composants UI, parcours fluide de la génération au déploiementLanding pages, travail purement frontend
Bolt.newStackBlitzS'exécute entièrement dans le navigateur, génère des applis web full-stack à partir d'un templateApprentissage, démos, outils internes
DevinCognitionAgent autonome. Donnez-lui un ticket, il produit une PRLe poste « ingénieur supplémentaire » dans une équipe

Si vous êtes un non-ingénieur qui l'utilise pour apprendre ou prototyper, regardez du côté de Lovable, v0 et Bolt.new. Si vous êtes un ingénieur professionnel travaillant sur du code existant, les références actuelles sont Claude Code, Cursor et Codex CLI.

5. La face sombre — la réalité de la sécurité et de la qualité

« Le vibe coding, c'est génial. Le déployer en production, c'est une autre histoire. » Cet écart est devenu impossible à ignorer en 2026, et les chiffres tiers sont sans appel.

DONNÉES SÉCURITÉ & QUALITÉ · 2026

La face sombre du vibe coding, en chiffres

— « amusant » ne veut pas dire « sûr »

Explosion des CVE
Mars 2026 : 35 CVE (issues du vibe coding)
vs janvier 2026 : environ x6
Georgia Tech Vibe Security Radar
Taux de vulnérabilité
40 à 62 % du code généré par IA contient une vulnérabilité
Médiane des enquêtes du secteur
Détection SSRF
Sur les 5 principaux agents de codage IA,
100 % ont introduit le même type de faille SSRF
Tenzai, étude de décembre
Taux d'incidents majeurs
Code co-écrit par IA : x1,7 par rapport à la base humaine
Vulnérabilités de sécurité : x2,74
CodeRabbit, analyse de 470 PR
Fuites de secrets
3,2 % des commits IA exposent des clés API, etc.
Commits humains : 1,5 % — environ x2
CSA 2026
Détection XSS
Sur des échantillons de code de 5 grands LLM,
86 % contenaient une vulnérabilité XSS
Georgetown CSET

Escape.tech a scanné 5 600 applis vibe-codées déployées publiquement et a trouvé 2 000 vulnérabilités critiques, 400 clés API exposées et 175 fuites de PII (données médicales et de paiement). « Ça tourne » et « c'est sûr » ne sont pas la même chose.

Ce n'est pas une histoire « l'IA est mauvaise » — c'est un problème structurel d'un style de développement qui pousse du code non lu en production. La même IA, utilisée par des humains qui ajoutent revue et vérification, affiche des taux d'incidents nettement plus faibles.

6. Vibe vs ingénierie agentique

La proposition de renommage de Karpathy en 2026 mérite d'être comprise — elle clarifie le choix opérationnel à faire.

DimensionVibe CodingIngénierie agentique
Point de départ« Je veux construire ça »« Voici comment je veux que ce soit conçu »
ContraintesImplicites, laissées à l'interprétation de l'IAExplicites, communiquées à l'IA
Compréhension du codeNon requise — il suffit de confirmer le résultatRequise — l'IA est un accélérateur
RevueJuste « est-ce que ça tourne ? »Diffs, décisions de conception, sécurité
Domaine d'applicationExpériences personnelles, apprentissage, code jetableSystèmes de production, opérations à long terme, actifs partagés
Mode d'échecIncidents de sécurité, code non maintenableRythme plus lent, enfermement par l'IA
Qui dirigeL'IAL'humain (l'IA est un amplificateur)

Vous pouvez utiliser les mêmes outils (Claude Code, Cursor) et les transformer en vibe coding ou en ingénierie agentique selon la posture que vous adoptez. L'important est de savoir consciemment « dans quel mode suis-je en ce moment ? » et de basculer délibérément.

7. « Vibe & Verify » — les règles pour le mettre en pratique

La meilleure pratique qui se standardise en 2026 est « Vibe & Verify » : conserver la légèreté de laisser l'IA écrire, mais toujours insérer une vérification en aval.

(1) Changez de mode selon les enjeux

  • Faibles enjeux (outils personnels, apprentissage, scripts) : le vibe complet convient.
  • Enjeux moyens (outils internes, MVP, prototypes jetables) : vibe + un test de fumée + un scan de sécurité rapide.
  • Forts enjeux (production, données client, tout ce qui est public) : le mode ingénierie agentique est obligatoire. Même si vous l'avez écrit en mode vibe, ne poussez pas sans revue humaine + scans de sécurité automatisés + tests ajoutés.

(2) Trois choses à toujours faire avec du code généré par IA

  1. Regardez le diff : sauter chaque ligne convient pour du code jetable. Pour du code partagé, jetez au moins un coup d'œil au diff.
  2. Lancez un linter de sécurité : semgrep, bandit, truffleHog, etc. Les vérifications mécaniques pour les secrets, le SSRF et le XSS ne sont pas négociables.
  3. Faites écrire les tests par l'IA : ajoutez toujours « maintenant écris des tests pour ça » à la même IA. Du code sans tests ne compte même pas comme du vibe coding.

(3) Ne perdez pas la compétence de lecture du code

Habituez-vous trop au vibe coding et au moment où l'IA se trompe — ou au moment où vous devez reprendre le code de quelqu'un d'autre — vous découvrirez que vous ne savez plus le lire. Karpathy lui-même a souligné à plusieurs reprises que la capacité à comprendre le code généré par IA au niveau du détail compte. Même en vibant, prenez l'habitude de vous arrêter de temps en temps pour lire réellement le code ; sur le long terme, c'est là que se forme le véritable écart de compétence.

(4) Ne vibez pas vos secrets

Clés API, mots de passe de base de données, tokens d'accès en production — ne les confiez jamais à l'IA et ne la laissez pas les écrire dans le code. La discipline .env + .gitignore + variables d'environnement n'est pas négociable, vibe ou pas. Les 400 expositions trouvées par Escape.tech correspondaient exactement aux cas où cette hygiène de base s'effondrait.

8. Qui devrait faire du vibe coding, sur quoi et jusqu'où

ProfilOù le vibe coding convientÀ quoi faire attention
Non-ingénieurs (PM, designers, fondateurs)Prototypes, outils internes, scripts d'automatisationTout ce qui touche à de vraies données client — faites venir un ingénieur
Ingénieurs juniors (0 à 2 ans)Apprentissage, projets personnels, assistants au travailTrop de vibe et vos fondamentaux ne se développent pas. Réservez délibérément du temps « lire le code »
Ingénieurs intermédiairesAccélération des tâches routinières, génération de docs, ajout de testsPour les refactorings en production, penchez vers l'ingénierie agentique
Ingénieurs seniorsPartenaire de réflexion pour la conception de specs, prototypes multi-options rapides, lecture de code legacyLa vraie valeur est d'utiliser le vibe comme accélérateur de pensée
Sécurité / SREOutils ops, scripts de monitoring, dashboardsTout ce qui touche à la production exige un Vibe & Verify strict

Résumé

  • Le vibe coding est le style « laisser l'IA s'en occuper sans lire le code » proposé par Karpathy en février 2025.
  • Karpathy lui-même a depuis proposé de le renommer en « ingénierie agentique » en 2026 — le travail de production exige conception, contraintes et jugement humain.
  • Outils principaux : Claude Code, Cursor Composer, Codex CLI, Lovable, v0, Bolt.new, Devin.
  • Réalité de la sécurité : 40 à 62 % du code IA contient des vulnérabilités, le SSRF a été trouvé chez les 5 principaux agents et les CVE ont été multipliées par 6 en trois mois.
  • Vibe & Verify : changez de mode selon les enjeux, regardez les diffs, lancez les scans de sécurité, faites écrire les tests par l'IA, ne vibez jamais vos secrets.
  • Ne perdez pas « la capacité à lire le code » — plus vous vibez, plus le fait de s'arrêter occasionnellement pour comprendre ce qui se passe devient le différenciateur de compétence à long terme.

FAQ

Q1. Si Karpathy l'a renommé, le « vibe coding » est-il déjà un terme mort ?

Il reste largement utilisé sur le marché, parce qu'aucune autre expression ne capture la saveur « laisser tranquillement l'IA s'en charger ». La démarche pragmatique est de les traiter comme complémentaires : « mode exploration décontractée = vibe coding », « mode production = ingénierie agentique ».

Q2. Est-ce qu'un débutant peut commencer par le vibe coding ?

Oui — mais lisez aussi le code. Si vous ne faites que viber, vous n'aurez aucun jugement de secours quand l'IA se trompera. Une trajectoire réaliste est d'utiliser au début la joie de « j'ai du code qui marche » comme motivation, puis d'augmenter progressivement la part du temps consacré à comprendre réellement le code.

Q3. Comment vendre le vibe coding à mon patron au travail ?

Apportez trois choses : (1) des règles opérationnelles Vibe & Verify, (2) un scan de sécurité intégré à la CI et (3) des revues de code aussi strictes qu'avant. Une fois que vous pouvez dire clairement « nous augmentons la vitesse sans baisser les garde-fous », la plupart des organisations donneront leur feu vert.

Q4. En quoi le vibe coding diffère-t-il de l'ancien « codage assisté par IA » (Copilot, etc.) ?

La différence, c'est qui est aux commandes. Copilot suit un modèle de « pair programming » — l'humain écrit le code pendant que l'IA le complète. Le vibe coding rend l'IA principale, l'humain se contentant de converser et de confirmer. La frontière est floue, et en pratique de nombreux développeurs vont et viennent entre les deux.

Q5. Avec quel outil devrais-je commencer ?

Pour le développement indépendant ou l'apprentissage, essayez Lovable, Bolt.new ou v0 (uniquement dans le navigateur, rien à installer). Pour le développement logiciel sérieux, essayez Claude Code ou Cursor — Claude Code est en CLI, Cursor est intégré à l'IDE, choisissez selon vos goûts. Le choix de Karpathy est Cursor Composer.

Q6. Qu'en est-il du droit d'auteur sur le code écrit par IA ?

En mai 2026, la base aux États-Unis comme au Japon est que le code généré uniquement par IA n'est pas protégé par le droit d'auteur. Le code qu'un humain a substantiellement modifié ou organisé peut devenir protégeable. Le risque commercial le plus important est la contamination de licence — l'IA réémettant du code GPL ou autrement licencié dans votre base de code — ajoutez donc un vérificateur de licences à votre CI.

Q7. Le vibe coding va-t-il « prendre le travail des ingénieurs » ?

Le tarif du marché pour les « ingénieurs qui ne font qu'écrire du code » est en baisse. En revanche, la valeur de la conception de specs, des décisions d'architecture, de la sécurité et des opérations en production a, si tant est, augmenté à cause de la diffusion du vibe coding. Les personnes capables de « lire, juger et corriger » la grande quantité de code que produit l'IA sont en pénurie en 2026.