35 failles de sécurité en mars, 15 en février, 6 en janvier. La courbe ne ment pas : le code généré par intelligence artificielle introduit des vulnérabilités dans les logiciels à un rythme qui accélère chaque mois. Et personne ne sait vraiment à quel point le problème est grave, parce que les outils effacent leurs propres traces.
Georgia Tech compte les dégâts
Des chercheurs du Systems Software & Security Lab (SSLab) de Georgia Tech ont lancé en mai 2025 un projet baptisé « Vibe Security Radar ». Le principe : traquer les vulnérabilités publiques (CVE, les identifiants utilisés pour cataloguer les failles de sécurité) directement causées par du code écrit avec des assistants IA. Leur méthode consiste à remonter depuis le correctif d’une faille jusqu’au commit qui l’a introduite, puis à vérifier si une signature d’outil IA apparaît dans l’historique Git.
Au 20 mars 2026, le compteur affiche 74 vulnérabilités confirmées, dont 11 classées critiques, rapporte Infosecurity Magazine. Claude Code, l’outil de programmation d’Anthropic, concentre 49 d’entre elles. GitHub Copilot suit avec 15 failles. Le reste se répartit entre Devin, Google Jules, Cursor, Aether, Atlassian Rovo et Roo Code.
Hanqing Zhao, fondateur du Vibe Security Radar, a expliqué au Register que la domination de Claude Code dans ces statistiques tient en partie à un détail technique : l’outil laisse systématiquement une signature dans les commits (un tag « co-auteur » ou une adresse email de bot). Les suggestions de Copilot, elles, ne laissent aucune trace, ce qui les rend quasi impossibles à repérer après coup.
74 failles sur 50 000, un chiffre trompeur
Le ratio pourrait sembler rassurant : 74 vulnérabilités sur 43 849 avis de sécurité analysés, c’est 0,17 %. Zhao met en garde contre cette lecture. Claude Code représente désormais plus de 4 % de l’ensemble des commits publics sur GitHub, avec 15 millions de commits au total et 30,7 milliards de lignes ajoutées aux dépôts publics sur les 90 derniers jours, selon les données compilées par Claude’s Code, un site d’analyse créé par l’ingénieur Jodan Alberts.
Si le code IA ne produisait réellement que 74 failles sur 50 000, cela signifierait qu’il est « des ordres de grandeur plus sûr que le code humain », souligne Zhao. Les chercheurs n’y croient pas. Le chiffre bas « reflète des angles morts dans la détection, pas une qualité supérieure du code IA », précise-t-il.
Pour illustrer le problème, Zhao cite un cas concret : un projet open source qui cumule plus de 300 avis de sécurité et qui a été massivement développé avec des outils de vibe coding. La plupart des traces d’IA ont été supprimées par les auteurs. L’équipe de Georgia Tech ne peut confirmer qu’une vingtaine de cas avec des signaux clairs. Leur estimation réelle : le vrai nombre de failles liées au code IA serait 5 à 10 fois supérieur à ce que le tableau de bord affiche, soit entre 400 et 700 cas dans l’écosystème open source.
Le vibe coding change la donne
Le terme « vibe coding » désigne la pratique de laisser une IA générer des projets entiers, parfois jusqu’à la mise en production, avec un minimum de supervision humaine. Il y a un an, la majorité des développeurs utilisaient l’IA pour de l’autocomplétion. Les agents de programmation autonomes, capables d’écrire, tester et commiter du code de bout en bout, ont changé la dynamique.
« Les gens font du vibe coding sur des projets entiers et publient du code qu’ils ont à peine lu », constate Zhao. C’est un profil de risque radicalement différent de l’autocomplétion ponctuelle.
Des résultats convergents émergent d’autres institutions. Le Center for Security and Emerging Technology de Georgetown University avait publié en novembre 2024 une étude testant cinq modèles (GPT-3.5-turbo, GPT-4, Code Llama, WizardCoder et Mistral). Résultat : environ 48 % des extraits de code générés compilaient correctement mais contenaient au moins un bug signalé par un outil de vérification formelle. Seuls 30 % passaient l’ensemble des contrôles de sécurité.
Le paradoxe des traces effacées
Le plus préoccupant n’est pas ce que les chercheurs trouvent, mais ce qu’ils ne peuvent pas trouver. Chaque outil de programmation IA laisse des empreintes différentes dans l’historique des modifications. Claude Code est le plus transparent, avec ses tags de co-auteur systématiques. Copilot, en revanche, injecte des suggestions directement dans l’éditeur de l’utilisateur : le commit final porte la signature du développeur, pas celle de l’IA.
Zhao et son équipe travaillent sur des modèles capables de reconnaître le « style » du code généré par IA sans avoir besoin de métadonnées explicites. « Le code écrit par IA a un aspect reconnaissable », affirme-t-il. Les patterns de nommage, la structure des fonctions, certaines tournures récurrentes pourraient servir de marqueurs. La prochaine version du Vibe Security Radar intégrera ces signaux comportementaux.
Un problème qui va empirer
Pendant que Georgia Tech comptabilise les dégâts, l’adoption des outils de code IA continue d’accélérer. VentureBeat rapportait cette semaine le cas d’entreprises où les product managers, et non plus les développeurs, livrent directement du code en production grâce aux agents IA. Chez certaines startups, des designers corrigent eux-mêmes des bugs d’interface en ouvrant un agent de programmation, sans passer par l’équipe technique.
Greg Kroah-Hartman, mainteneur historique du noyau Linux, a confié au Register cette semaine que les rapports de bugs générés par IA avaient connu un tournant récent : après des mois de soumissions médiocres, la qualité s’est soudainement améliorée au point de devenir exploitable. L’IA produit désormais des rapports de vulnérabilité crédibles. Mais si elle sait trouver des failles, elle sait aussi en créer.
Le UK National Cyber Security Centre (NCSC) a réagi lors de la conférence RSA 2026 en appelant l’industrie à développer des garde-fous spécifiques au vibe coding. Palo Alto Networks a présenté un « cadre de gouvernance » dédié. Ces initiatives en sont au stade des recommandations. Aucun régulateur n’impose encore de contrôle obligatoire sur le code produit par IA avant sa mise en production.
Avec 4 % des commits publics déjà signés par Claude Code et une croissance qui ne ralentit pas, le volume de code IA en circulation va mécaniquement augmenter. Et avec lui, le nombre de failles invisibles. Le Vibe Security Radar de Georgia Tech est un premier thermomètre. Reste à savoir si l’industrie prendra sa température avant la prochaine fièvre.
