Ces risques que fait peser le vibe coding sur l’open source

Comment le vibe coding affecte l’open source

Le terme « vibe coding » a été inventé par le chercheur en IA Andrej Karpathy début 2025. Son succès a été tel que le Collins English Dictionary l’a désigné mot de l’année 2025. Il décrit un flux de travail où le rôle principal du développeur passe de l’écriture de code au guidage d’un assistant IA en langage naturel. Un ou plusieurs LLM sélectionnent ou recommandent les paquets, écrivent l’implémentation et intègrent les dépendances, souvent sans que l’utilisateur sache quelles bibliothèques ont été utilisées.

Une adoption en forte accélération

En octobre 2024, plus d’un quart de tout le nouveau code chez Google était généré par IA et validé par les ingénieurs, selon la conférence sur les résultats du troisième trimestre 2024 d’Alphabet. À partir de données au niveau des commits provenant de 170 000 développeurs, Simone Daniotti, Johannes Wachs, Xiangnan Feng et Frank Neffke – cités dans l’article – estiment qu’à la fin 2024, l’IA générait environ 29 à 30 % des fonctions Python créées par les contributeurs américains sur GitHub.

L’enquête « Stack Overflow 2025 Developer Survey », basée sur les réponses de 49 000 développeurs dans 177 pays, révèle que plus de 80 % des développeurs professionnels utilisent ou prévoient d’utiliser des outils IA dans leurs flux de travail, dont 51 % quotidiennement.

Une rupture dans le modèle de contribution et de financement de l’open source

Le développement traditionnel de librairies ouvertes suit une boucle d’engagement documentée. Un développeur télécharge un paquet, lit la documentation, rencontre un problème, pose une question sur un forum public et contribue parfois à une correction. Cette activité génère la visibilité grâce à laquelle de nombreux mainteneurs obtiennent des retours privés : réputation, missions de consultance issues du trafic sur la documentation et modules complémentaires payants pour les entreprises.

Le vibe coding perturbe ce modèle par deux canaux. Le premier représente un gain réel. L’IA réduit le coût d’utilisation et d’intégration du code existant, et les expériences de terrain citées dans l’article montrent qu’elle augmente la productivité des développeurs de 26 à 56 %.

Le second canal érode ce que gagnent les mainteneurs. L’article appelle cette dynamique le « canal de détournement de la demande ». Les téléchargements augmentent tandis que l’engagement diminue.

« La consommation d’open source augmente effectivement, mais la couche d’interaction humaine autour de ces projets se réduit », explique Shanea Leven, cofondatrice et PDG d’Empromptu, éditeur d’une solution de programmation assisté par l’IA. « C’est pourquoi l’usage augmente tandis que les indicateurs d’engagement chutent. Les développeurs dépendent toujours fortement de ces projets, mais le chemin entre le développeur et le projet est désormais médiatisé par l’IA. »

Lorsqu’un agent IA sert d’intermédiaire pour accéder à un paquet ouvert, l’utilisateur ne consulte pas la documentation, ne signale pas de bugs et n’interagit pas avec les mainteneurs. Le trafic sur la documentation et les questions-réponses constituaient historiquement le moyen pour les projets de niveau intermédiaire d’atteindre les utilisateurs en entreprise, un canal qui se rétrécit à mesure que l’IA médiatise davantage cette interaction.

« Les outils IA utilisés pour le vibe coding peuvent ne pas connaître les nouveaux projets en cours de productisation, car ils n’ont pas été entraînés sur eux », observe Matt Farina, responsable de l’architecture de portefeuille et de la communauté chez SUSE. « Cela impacte leur accès au marché. »

Que se passe-t-il quand l’écosystème open source se contracte ?

Un modèle de prévision présenté dans l’article prédit qu’à mesure que le vibe coding se répand, la variété et la qualité moyenne des projets open source diminuent.

Tailwind CSS constitue l’illustration centrale de cette recherche. La figure 2 de l’article suit le volume de téléchargements npm de Tailwind. Il est en hausse constante jusqu’en 2025. Dans le même temps, les questions Stack Overflow taguées « tailwind-css », ont décliné.

Adam Wathan, créateur de Tailwind CSS, rapporte dans un commentaire GitHub de janvier 2026 que le trafic sur la documentation a chuté d’environ 40 % depuis début 2023, malgré une popularité de Tailwind plus forte que jamais. Les revenus, précise-t-il, ont baissé de près de 80 %. « Actuellement, il n’y a tout simplement aucune corrélation entre rendre Tailwind plus facile à utiliser et rendre le développement du framework plus durable », écrit Adam Wathan.

Le déclin plus large de Stack Overflow reflète la même dynamique à grande échelle. Une recherche publiée dans « PNAS Nexus » en 2024 par Maria del Rio-Chanona, Nadzeya Laurentsyeva et Johannes Wachs a établi que l’accès à ChatGPT a causalement réduit l’activité de Stack Overflow d’environ 25 % en six mois.

Cette baisse n’est pas entièrement néfaste. « Les diminutions de rapports de bugs et de questions-réponses communautaires ne sont pas toujours mauvaises pour un projet », note Matt Farina de SUSE. « Quand l’IA aide les utilisateurs à gérer ces situations, cela peut réduire la charge pesant sur les mainteneurs open source. »

Jason Brooks, responsable senior de l’architecture communautaire et de l’infrastructure chez Red Hat, perçoit la même nuance dans sa propre pratique. « Je me retrouve souvent à consulter la documentation pour mieux comprendre les fonctionnalités ou les limites d’une dépendance qu’un outil m’a suggérée », déclare-t-il. L’ingénieur note toutefois que l’engagement qui stimule la découverte et la monétisation diminue parallèlement au bruit.

La maintenance de l’open source déjà mise à mal

La crise du maintien des projets open source précède le vibe coding. Certaines entreprises n’ont pas hésité à menacer de procès les contributeurs de Log4j 2 après la découverte d’une faille critique exploitée dans la librairie. Les quelques développeurs qui participaient au maintien du projet ne bénéficiaient pas d’un soutien massif, ni des fournisseurs, ni des clients. Certains éditeurs, dont Red Hat, Redis, Elastic, MongoDB ou encore HashiCorp n’ont pas hésité à adopter des licences propriétaires permissives pour protéger leurs revenus.

Malgré tout, ce sont les projets de niveau intermédiaire et émergents, ceux qui dépendent de revenus basés sur l’engagement (sans distribution commerciale ou support de niveau entreprise) qui sont les plus exposés.

Le rapport OSSRA 2026 de Black Duck révèle que 93 % des applications examinées contenaient des composants open source sans nouvelle activité de développement au cours des deux années précédentes. Le rapport « 2023 State of the Software Supply Chain » de Sonatype indique que près de 20 % des projets open source en Java et JavaScript maintenus en 2022 ne le sont plus aujourd’hui.

Cette dette de maintenance croissante crée de réelles vulnérabilités de sécurité. La faille Log4Shell, signalé en 2021, permettait l’exécution de code à distance sur les serveurs d’entreprise et l’infrastructure cloud. Deux ans après sa divulgation, plus de 40 % des logiciels concernés restaient vulnérables.

Début 2024, une porte dérobée dans XZ Utils a été attribuée à un attaquant qui avait passé deux ans à gagner la confiance d’un mainteneur solo avant d’intégrer du code malveillant. L’enquête de Black Duck révèle que 65 % des organisations ont subi une attaque de la chaîne d’approvisionnement logicielle au cours de l’année écoulée.

Le vibe coding, vecteur d’aggravation ?

En revanche, le vibe coding pourrait aggraver ce phénomène. L’article modélise ce qui se produit avec une adoption à 70 % du vibe coding sous les modèles économiques traditionnels. Dans ce scénario, la monétisation par utilisateur pour un projet open source typique chute de 70 %. Les gains de productivité de l’IA ne compenseraient qu’environ 12 % des coûts de développement.

Le modèle de l’article conclut que maintenir l’offre open source actuelle nécessite soit que les utilisateurs des outils de vibe coding contribuent au moins 84 % de ce que les utilisateurs directs apportent à la monétisation, soit que 84 % des revenus de l’open source proviennent de sources indépendantes de l’usage. Aucune de ces conditions n’est proche d’être remplie.

Que faut-il changer pour soutenir l’écosystème open source ?

Les auteurs de l’article sont explicites : ralentir l’adoption de l’IA n’est pas la solution. Quatre réponses structurelles permettent de combler l’écart.

1) Redistribution au niveau des plateformes

Les outils de programmation IA suivent déjà quels paquets ils importent et à quelle fréquence. Un modèle de partage des revenus, où les plateformes distribuent les revenus d’abonnement aux mainteneurs en fonction de l’utilisation attribuable des paquets, réduirait l’écart de monétisation identifié par l’article. L’article appelle cela un modèle « Spotify pour l’open source ». L’infrastructure existe dans la télémétrie des fournisseurs d’IA, et la mise en œuvre nécessite une coordination entre plateformes plutôt qu’une nouvelle technologie.

« Pour les individus et organisations cherchant à monétiser les projets open source, ils devront certainement prendre en compte ce nouveau monde du vibe coding », souligne Scott Kingsley, vice-président de l’ingénierie chez SmartBear. « Les stratégies de monétisation devront évoluer ».

À noter qu’Arthur Mensch, cofondateur et CEO de Mistral AI, propose de faire de même pour les contenus disponibles publiquement en ligne protégés par le régime de droits intellectuels européen. La tribune publiée dans Financial Times ne mentionne pas le cas des projets open source, qui peuvent être partiellement soumis aux droits d’auteur.

2) Financement indépendant de l’usage

Le rapport « 2024 Open Source Software Funding Report » de GitHub, la Linux Foundation et Harvard estime que les organisations contribuent 7,7 milliards de dollars par an aux projets open source. Le fait de laisser leurs employés participer à ces projets représentant 86 % de ce chiffre. Les mécanismes pour déplacer cet équilibre vers des contributions financières directes incluent GitHub Sponsors, les subventions de fondations et l’Open Source Pledge. Face aux inconnus posés par le vibe coding, ce problème devient plus urgent.

« Nous n’avons jamais vraiment résolu la question de la rémunération des développeurs open source pour leurs contributions », rappelle Shanea Leven d’Empromptu. « Mais maintenant, leur compensation et leur engagement doivent évoluer à nouveau ».

3) Gouvernance interne du code généré par IA

Les outils de programmation IA ne signalent pas quand le code généré provient d’un projet open source existant, selon les directives FossID sur la conformité des licences. GitHub s’était engagé à le faire à travers GitHub Copilot. Ils peuvent également suggérer l’usage de dépendances obsolètes ou comportant des vulnérabilités non corrigées.

L’IA peut faire partie de la solution de gouvernance autant que du problème. « Les outils IA peuvent aider à trier les contributions et faciliter la revue », note Jason Brooks de Red Hat. « Du côté des contributeurs, les outils IA peuvent aider à respecter les standards de contribution d’un projet. »

4) Investissement direct dans les dépendances à risque

Comme cela a déjà été dit, les projets les plus exposés ne sont pas React ou Kubernetes, mais les composants de niveau intermédiaire dans les chaînes de dépendances sous-jacentes. Ils sont largement utilisés et minimalement dotés en personnel. Le rapport « State of Global Open Source 2025 » de la Linux Foundation révèle que 83 % des entreprises considèrent l’adoption de l’open source comme précieuse pour leurs opérations, mais seulement 29 % ont embauché ou désigné des mainteneurs internes à temps plein.

Un appel à l’action

Les auteurs de « Vibe Coding Kills Open Source » décrivent leur article comme « un appel à l’action » plutôt qu’une prédiction d’effondrement. L’écosystème open source, affirment-ils, a survécu aux perturbations précédentes en adaptant ses fondations techniques et institutionnelles. Le vibe coding nécessite le même type de réalignement délibéré.

« Ce qu’il faut, c’est de la coordination et de la volonté », écrivent-ils. Pour les responsables IT qui gèrent déjà l’open source comme un risque de chaîne d’approvisionnement, ce réalignement commence par reconnaître que le risque ne se limite plus à un paquet vulnérable. Il s’étend désormais à la question de savoir si les projets dont dépendent ces librairies seront encore maintenus.

Sean Michael Kerner est consultant en informatique, passionné de technologie et bricoleur. Il a déjà installé des réseaux Token Ring, configuré NetWare et est connu pour avoir compilé son propre noyau Linux. Il conseille des entreprises du secteur et des médias sur des questions technologiques.

Cet article est une adaptation d’un article initialement publié sur SearchAppArchitecture.