Du vibe coding à l'agentic engineering — Karpathy enterre son propre concept, Georgia Tech compte 56 CVE en 3 mois et Claude Code mène le classement
Andrej Karpathy remplace 'vibe coding' par 'agentic engineering'. Georgia Tech identifie 56 CVE causées par du code IA en Q1 2026 — Claude Code en tête avec 27. 92% des développeurs US ont adopté le vibe coding. Le problème : 45% du code généré contient des vulnérabilités OWASP Top 10.
En janvier 2025, Andrej Karpathy invente le terme vibe coding pour décrire un nouveau rapport au développement : tu décris ce que tu veux, l'IA écrit le code, tu acceptes sans lire. Quatorze mois plus tard, en février 2026, Karpathy lui-même enterre son concept. Le nouveau terme : agentic engineering. La nuance est fondamentale. Ce n'est plus "accepter le code sans regarder" — c'est orchestrer des agents IA autonomes qui planifient, écrivent, testent et déploient du code sous supervision humaine structurée. Et la raison de ce pivot vient des données : Georgia Tech a identifié 56 CVE directement causées par du code généré par IA au premier trimestre 2026, avec Claude Code en tête du classement à 27 vulnérabilités.
Karpathy enterre le vibe coding
La citation de février 2026 est sans ambiguïté : "You are not writing the code directly 99% of the time… you are orchestrating agents who do and acting as oversight."
Karpathy a expliqué la progression. En décembre 2025, il décrivait un ratio de 80/20 entre écriture manuelle et délégation aux agents. En février 2026, le ratio s'était inversé — puis avait continué à pencher : il délègue désormais la quasi-totalité du code à des agents.
Le point de rupture n'est pas la quantité de code délégué. C'est la structure de la délégation. Le vibe coding, tel que Karpathy l'avait défini initialement, convenait aux projets jetables — des prototypes qu'on ne maintiendrait jamais. Mais les LLM ont suffisamment progressé pour que cette frontière s'efface. Les développeurs vibecodent du code de production. Et c'est là que le problème commence.
L'agentic engineering ajoute ce qui manquait : architecture en amont, review systématique, quality assurance humaine. Le développeur n'écrit plus — il supervise. Mais il supervise activement, pas passivement. C'est la différence entre un manager qui signe tout sans lire et un directeur technique qui review chaque PR.
| Concept | Inventeur | Date | Rôle du développeur | Adapté pour |
|---|---|---|---|---|
| Vibe coding | Karpathy | Janvier 2025 | Accepter le code sans vérifier | Prototypes, projets jetables |
| Agentic engineering | Karpathy | Février 2026 | Orchestrer + superviser les agents | Production, projets maintenus |
92% d'adoption, 45% de vulnérabilités
Les chiffres d'adoption sont vertigineux. Selon les enquêtes début 2026, 92% des développeurs basés aux États-Unis utilisent une forme de vibe coding dans leurs workflows. Ce n'est plus une tendance — c'est le standard.
Le marché global des outils de vibe coding est projeté à 8,5 milliards de dollars. Cursor, Bolt.new, Claude Code, Lovable — les outils sont devenus assez bons pour que des non-développeurs expédient de vrais produits. Et les développeurs expédient 10 fois plus vite.
Mais la contrepartie est documentée. Veracode a testé plus de 100 LLM sur des tâches de codage sensibles à la sécurité : 45% des échantillons de code généré par IA introduisent des vulnérabilités OWASP Top 10. Le code co-rédigé par IA contient 1,7 fois plus de problèmes majeurs que le code écrit par des humains. Les vulnérabilités de sécurité apparaissent à 2,74 fois le taux du code humain.
| Métrique | Donnée |
|---|---|
| Développeurs US utilisant le vibe coding | 92% |
| Code IA avec vulnérabilités OWASP Top 10 | 45% |
| Ratio problèmes majeurs IA vs humain | 1,7x |
| Ratio vulnérabilités sécurité IA vs humain | 2,74x |
| Marché global vibe coding | 8,5 milliards $ |
Georgia Tech : 56 CVE en Q1 2026, Claude Code en tête
Le Vibe Security Radar de Georgia Tech — un projet de la School of Cybersecurity and Privacy — a scanné plus de 43 000 advisories de sécurité pour traquer les vulnérabilités spécifiquement causées par du code généré par IA.
Les résultats publiés le 13 avril sont sans appel.
Q1 2026 : 56 CVE confirmées directement attribuables à du code IA. L'accélération est exponentielle : 6 en janvier, 15 en février, 35 en mars. Mars 2026 seul dépasse la totalité de 2025.
Et le classement par outil est révélateur :
| Outil | CVE confirmées (Q1 2026) |
|---|---|
| Claude Code | 27 |
| GitHub Copilot | 4 |
| Devin | 2 |
| Aether | 1 |
| Cursor | 1 |
| Autres/non identifiés | 21 |
Claude Code domine — mais pas nécessairement pour la raison qu'on croit. Les chercheurs de Georgia Tech expliquent que Claude Code est le plus utilisé pour du développement de production autonome, ce qui augmente mécaniquement la surface d'exposition. Plus un outil est utilisé pour du vrai code déployé, plus ses failles sont détectées. Copilot, Cursor et les autres sont davantage utilisés comme assistants en mode pair-programming — le développeur review plus systématiquement.
L'estimation réelle est bien supérieure. Les chercheurs estiment entre 400 et 700 CVE dans l'écosystème open-source au Q1 2026 — 5 à 10 fois ce qu'ils détectent — parce que beaucoup de vulnérabilités IA ne laissent pas de signatures de métadonnées détectables.
La Cloud Security Alliance confirme la tendance dans un rapport parallèle.
Harvard et Bloomberg : deux angles sur le même phénomène
Karen Brennan, professeure à la Harvard Graduate School of Education, a enseigné un cours de six semaines sur le vibe coding fin 2025. Son angle : le vibe coding change "l'économie de l'expérimentation" — on peut construire quelque chose pour comprendre quelque chose, et on peut le faire vite. C'est l'angle pédagogique. L'IA comme outil d'apprentissage par la construction.
Bloomberg couvre l'angle FOMO (Fear Of Missing Out) : le vibe coding crée une nouvelle forme d'anxiété professionnelle. Si tout le monde peut coder avec l'IA, quelle est la valeur d'un développeur ? Et si les non-développeurs expédient des produits avec Cursor ou Lovable, que deviennent les développeurs juniors ?
Fortune identifie le vrai goulot d'étranglement : la confiance. Le vibe coding récompense le momentum, pas la rigueur. Le résultat : du code de production qui fonctionne, passe les tests de base, mais n'a pas été review en profondeur, threat-modeled ou validé pour la sécurité.
Le problème systémique
L'insight central est celui-ci : le vibe coding fonctionne trop bien. Les outils sont assez bons pour produire du code qui compile, qui passe les tests, qui a l'air correct. Le problème n'est pas que le code ne marche pas — c'est qu'il marche presque parfaitement, avec des failles invisibles à l'oeil nu.
C'est exactement la raison pour laquelle Karpathy a pivoté vers l'agentic engineering. Pas parce que le vibe coding est mauvais — parce qu'il est dangereux quand il est appliqué sans structure.
Et les 56 CVE de Georgia Tech ne sont que la partie visible. Les 400 à 700 estimées sont dans des codebases de production, déployées, utilisées par de vrais utilisateurs. La dette de sécurité s'accumule à une vitesse que l'industrie n'a jamais connue.
En résumé :
- Andrej Karpathy enterre son propre concept de vibe coding (janvier 2025) au profit de l'agentic engineering (février 2026) — le développeur passe de "accepter sans lire" à "orchestrer et superviser"
- 92% des développeurs US ont adopté le vibe coding — marché projeté à 8,5 milliards $
- 45% du code IA contient des vulnérabilités OWASP Top 10 — 2,74x plus de failles de sécurité que le code humain
- Georgia Tech Vibe Security Radar : 56 CVE en Q1 2026, dont 27 pour Claude Code seul — estimation réelle : 400 à 700 CVE dans l'écosystème open-source
- L'accélération est exponentielle : 6 CVE en janvier, 15 en février, 35 en mars — plus que toute l'année 2025
Karpathy a inventé le vibe coding parce que les LLM devenaient assez bons pour écrire du code. Il l'a enterré parce qu'ils sont devenus assez bons pour écrire du code dangereux. Le passage du vibe coding à l'agentic engineering n'est pas un rebranding marketing — c'est la reconnaissance que 45% de vulnérabilités et 56 CVE en un trimestre exigent une supervision humaine structurée, pas une acceptation aveugle. L'IA code plus vite que les humains. Elle introduit aussi des failles plus vite que les humains ne peuvent les détecter. La question n'est plus "faut-il utiliser l'IA pour coder ?" — c'est "comment superviser ce qui est déjà partout ?"
Sources : Georgia Tech — Bad Vibes, The New Stack — Karpathy, Fortune — trust bottleneck, Bloomberg — FOMO.
