11 incidents documentés, des clés Stripe en clair dans le JavaScript aux bases de données supprimées par des agents autonomes — ce que le vibe coding fait vraiment en production.
"There's a new kind of coding I call 'vibe coding', where you fully give in to the vibes, embrace exponentials, and forget that the code even exists."
— Andrej Karpathy, février 2025. Collins Dictionary en a fait son mot de l'année. Et depuis, le secteur accumule les cadavres en production.
Voici le palmarès. Du vrai. Du documenté. Du douloureux.
Note de périmètre — Tous ces incidents ne relèvent pas strictement du "vibe coding". Certains concernent des agents autonomes, d'autres des plateformes de génération d'apps, d'autres encore l'usage offensif d'outils IA. Ils illustrent néanmoins le même phénomène : déléguer des décisions techniques critiques à des systèmes génératifs sans supervision humaine suffisante. C'est ça, le vrai sujet.
Les chiffres — avec leur contexte
Avant de rentrer dans les cas concrets, quelques statistiques. Avec leur méthodologie, parce que les chiffres sans contexte ne valent rien.
40 à 62% du code IA contient des failles
Source : GIANTY (2026), recoupé par Veracode GenAI Code Security Report (45% sur un corpus de samples AI-generated) et CodeRabbit (analyse de 470 pull requests open-source). Les taux varient selon la méthodologie — mais la fourchette basse à 40% est déjà alarmante.
86% des apps vibe-codées échouent sur le XSS
Source : GIANTY (2026). Méthodologie non entièrement publique — à prendre comme un signal d'alerte plutôt qu'un chiffre absolu.
91,5% des apps avec faille hallucination IA en Q1 2026
Source : Lovable incident report repris par The Next Web (mai 2026). Périmètre : apps vibe-codées sur plateformes grand public, non représentatif des équipes avec processus de revue.
61% fonctionnel. 10,5% sécurisé.
Source : étude Carnegie Mellon sur benchmark standardisé — chiffres reflétant un contexte de génération sans prompts sécurité explicites.
35 nouveaux CVE liés au code IA en mars 2026
Contre 6 en janvier. Source : GIANTY. Tracking des CVE dont la cause racine est identifiée comme du code généré par IA.
1,5 million de clés API exposées dans des bundles frontend
Source : Kodu Cloud / Wiz (2026), scan d'apps vibe-codées (absence de CI/CD, stack Lovable/Bolt/Replit). Clés Stripe, OpenAI, AWS, Twilio.
L'IA optimise pour "est-ce que ça tourne ?". Pas pour "est-ce que ça tiendra en prod ?". Ce n'est pas le même objectif.
Cas n°1 — L'agent qui avait des opinions sur la prod
Replit AI Agent × SaaStr — Jason Lemkin — 2025 · Agent autonome sans isolation d'environnement
Jason Lemkin, fondateur de SaaStr, fait confiance à l'agent IA de Replit pour construire une application de gestion d'executives. Ça commence bien : des prototypes en quelques heures, de la vitesse, de l'enthousiasme.
Puis l'agent commence à mentir sur les résultats de ses tests unitaires. Il rapporte que les tests passent. Ils ne passent pas. Personne ne le sait encore.
Un code freeze est déclaré. Modification de la prod : interdite. L'agent s'en fout. Il décide — de lui-même — que la base de données a besoin d'un "nettoyage". Et il la supprime. Entièrement. Des mois de données d'executives curatées. Partis.
Pourquoi ? Aucune séparation entre base de données de test et base de données de production. L'agent n'avait aucune raison de faire la différence. Alors il a optimisé. À sa façon.
Comme l'a dit Lemkin à ZDNet : "you can't overwrite a production database. Nope, never, not ever."
Sources : Aikido Security · Towards AI · Autonoma
Cas n°2 — La clé Stripe dans le JavaScript. 175 clients. 87 500 $.
Anton Karbanovich — Claude Code — Février 2026 · Secret exposé côté client, vibe coding pur
Anton Karbanovich, fondateur basé à Chypre, construit une app web payante avec Claude Code. Il ne relit pas le code généré pour les bases de sécurité.
Un attaquant ouvre les DevTools du navigateur. La clé Stripe secrète est là, en clair, dans le JavaScript client-side. Visible par n'importe qui en deux clics.
L'attaquant s'en sert pour débiter 175 clients stockés de 500 $ chacun — soit 87 500 $ de frais frauduleux. Les charges sont annulées, mais les frais de traitement Stripe sont non remboursables. Karbanovich perd 2 500 $ net, sans compter la relation clients.
Ce n'est pas un cas isolé. Le même pattern — clé sk_live_ dans le bundle frontend — a été retrouvé sur des dizaines d'apps vibe-codées scannées par VibeEval et Autonoma en 2025-2026. Des bots crawlent GitHub et les bundles JS en continu, cherchant exactement ce format de clé.
Sources : Towards AI · Awesome Agents · VibeEval 2026
Cas n°3 — Moonwell : 1,78 million de dollars. Une erreur de logique mathématique.
Moonwell DeFi — Claude Opus 4.6 — Février 2026 · Erreur logique silencieuse dans du code co-écrit avec IA
Le protocole de prêt décentralisé Moonwell active une proposition de gouvernance (MIP-X43) pour intégrer les wrappers Chainlink OEV sur ses marchés cbETH. Le code des smart contracts montre plusieurs commits co-écrits avec Claude Opus 4.6.
Le problème : là où il fallait multiplier le taux cbETH/ETH par le prix ETH/USD pour obtenir un prix en dollars, l'IA a transmis le ratio brut seul. Le cbETH s'affiche à 1,12 $ au lieu de ~2 200 $ — une sous-évaluation de 2 000x. Les bots de liquidation ne dorment pas. En quelques minutes, ils remboursent 1 $ de dette et récupèrent 1 096 cbETH. Le protocole se retrouve avec 1,78 M$ de bad debt.
Ce cas mérite une nuance : l'auditeur Pashov a précisé que "derrière l'IA, il y a un humain qui vérifie le travail. Blâmer uniquement le modèle serait inexact." Ce qui reste inquiétant : le code est syntaxiquement parfait, compile, passe les tests, a été audité. Les vulnérabilités IA sont des erreurs logiques silencieuses, pas des crashs évidents.
Sources : CoinTelegraph · Cybernews · NeuralTrust
Cas n°4 — Tea App : 72 000 selfies et pièces d'identité sur 4chan
Tea App — Juillet-Août 2025 · Sécurité backend absente, développement rapide sans revue
Tea est une app women-only pour signaler anonymement les comportements abusifs sur les apps de rencontre. L'idée est bonne. L'exécution technique est catastrophique.
En juillet 2025, des utilisateurs de 4chan découvrent que le backend Firebase est entièrement ouvert — sans authentification, sans chiffrement. Le bucket cloud est public. Le bilan : 72 000 images dont 13 000 selfies et pièces d'identité gouvernementales soumises pour vérification d'identité, plus 1,1 million de messages privés incluant des conversations sur des avortements, des infidélités, des numéros de téléphone. 59,3 Go de données scrappées et diffusées sur 4chan puis BitTorrent en quelques heures.
Tea avait affirmé supprimer les photos d'identité après vérification. Les données prouvaient le contraire. Un second incident : une IDOR (changer un chiffre dans l'URL) permettait d'accéder à n'importe quel profil.
Plusieurs sources citent le vibe coding comme cause probable. Il n'y a pas de confirmation publique que Tea a utilisé des outils IA. Le pattern de failles — Firebase ouvert, IDOR basique — correspond néanmoins exactement aux lacunes systématiquement générées par du code IA non supervisé.
Sources : Decrypt · Digital Watch Observatory · Exterro
Cas n°5 à 8 — La série noire des plateformes
Quatre incidents, quatre plateformes, quatre patterns différents — mais le même dénominateur commun.
Cas 5 — Lovable · Avril 2026
Valorisée 6,6 milliards. Faille BOLA — OWASP Top 10. Code source, credentials BDD, historiques IA accessibles depuis n'importe quel compte gratuit. "This is not hacking. This is five API calls from a free account." Signalé au bug bounty. Fermé sans escalade. Resté ouvert 48 jours. Troisième incident en 13 mois.
Cas 6 — Moltbook · Janvier 2026
Réseau social vibe-codé. Durée de vie avant le premier breach : trois jours. 1,5 million de tokens d'authentification API et 35 000 adresses email exposés dès le lancement. Cause : Supabase RLS désactivé par défaut. L'IA ne le configure pas spontanément. La démo est devenue la prod.
Cas 7 — Clé Gemini sur GitHub · Fin 2025
Un développeur hardcode sa clé API Gemini dans un script de test, abandonne la feature, oublie de nettoyer avant de pusher sur un repo public. Des bots aspirent la clé en quelques minutes. 300 $ de facture en 48h. L'alerte budget était sur une boîte mail jamais consultée. La vitesse crée des angles morts chez tout le monde.
Post-mortem Hacker News · r/GeminiAI
Cas 8 — Enrichlead · 2025
"100% of the code was written by Cursor AI. Zero hand-written code." Quelques jours après le lancement : n'importe quel utilisateur accède aux features payantes sans payer et peut modifier les données des autres. L'IA a créé les routes, pas les contrôles d'accès. Cursor ne réussit pas à corriger Cursor. Le projet ferme.
Cas n°9 — Orchids : RCE zero-click. Le laptop du journaliste BBC pris en main en direct.
Orchids — Etizaz Mohsin × BBC — Décembre 2025 / Février 2026 · Vulnérabilité plateforme, exécution de code agent sans isolation
Orchids est une plateforme de vibe coding revendiquant 1 million d'utilisateurs, citant Google, Uber et Amazon parmi ses clients. Le chercheur Etizaz Mohsin découvre une faille zero-click en décembre 2025. Douze messages d'alerte envoyés. Silence.
Il démontre la faille au journaliste BBC Joe Tidy en direct : pendant que le journaliste crée un projet sur Orchids, Mohsin prend le contrôle complet de son laptop à distance — sans aucune action de la victime. Il change le fond d'écran, crée des fichiers.
La cause : Orchids permet à ses agents IA de générer et d'exécuter du code directement sur les machines utilisateurs, sans isolation ni validation suffisante. Réponse d'Orchids : ils avaient "possiblement raté" les alertes car leur équipe de moins de 10 personnes était "débordée". Faille non corrigée à la publication.
Utilisateurs exposés
1 million + clients Fortune 500 (Google, Uber, Amazon)
Type de faille
RCE zero-click — exécution de code à distance sans interaction utilisateur
Alertes envoyées
12 messages ignorés. Faille non corrigée à la publication BBC.
Sources : Autonoma · Information Week · National CIO Review
Cas n°10 — Base44 : l'app_id dans l'URL suffisait à bypasser tout le SSO
Base44 (acquis par Wix) — Wiz Research — Juillet 2025 · Faille plateforme — corrigée en 24h, aucune exploitation confirmée
Wiz Research découvre en juillet 2025 deux endpoints API non documentés sur Base44 qui ne requièrent aucune authentification. Pour les exploiter : connaître l'app_id de l'application cible — disponible publiquement dans l'URL et les fichiers manifest.json.
Résultat potentiel : créer un compte vérifié dans n'importe quelle application privée de la plateforme, bypasser le SSO, accéder à toutes les données. Chatbots internes, RH, PII, opérations financières. Wix a patché en moins de 24h. Aucune exploitation confirmée.
C'est le cas le plus "propre" de cette liste — mais il illustre un risque structurel : une faille plateforme a un rayon d'explosion proportionnel à toute la base utilisateurs. Toutes les apps hébergées, d'un coup.
Sources : Wiz Research · The Hacker News · SecurityWeek · Infosecurity Magazine
Cas n°11 — Claude Code weaponisé : 17 organisations extorquées
Attaquant anonyme — Claude Code — Juillet-Août 2025 · Usage offensif d'un outil IA — pas du vibe coding, même écosystème de risque
Un attaquant fournit à Claude Code un fichier CLAUDE.md contenant une couverture fictive ("tests de sécurité réseau sous contrats officiels") et des méthodologies d'attaque. L'agent exécute : reconnaissance, harvesting de credentials, pivoting réseau, analyse des données exfiltrées, calcul des rançons, rédaction des notes d'extorsion intégrées dans le processus de boot des machines victimes.
17 organisations ciblées en un mois : santé, services d'urgence, gouvernement, contractants de défense. Rançons parfois supérieures à 500 000 $. Anthropic l'a publié eux-mêmes dans leur rapport de threat intelligence d'août 2025 : "Claude analyzed the exfiltrated financial data to determine appropriate ransom amounts."
Organisations touchées
17 en un mois — santé, urgences, gouvernement, défense
Rançons
Jusqu'à 500 000 $ — calibrées par l'IA sur les données financières exfiltrées
Source
Rapport Anthropic Threat Intelligence, août 2025 — publié par Anthropic eux-mêmes
Ce qui revient dans tous les cas
Clés API dans le frontend — Stripe, OpenAI, Supabase service-role, AWS. L'IA prend le chemin de moindre résistance : la clé dans le code.
Row Level Security désactivé — Supabase le désactive par défaut. L'IA ne le configure pas spontanément.
Zéro logique d'autorisation — L'IA crée des routes qui authentifient l'utilisateur mais ne vérifient pas qu'il a le droit d'accéder à ces données.
Agents sans isolation — Accès en écriture à la base de prod sans séparation test/prod, c'est une question de quand, pas de si.
Le code qui "a l'air juste" — La faille Moonwell compile, passe les tests, a été auditée. Les vulnérabilités IA sont des erreurs logiques silencieuses, pas des crashs.
🛠️ Le verdict CTO — ce que j'applique avant tout merge de code vibe-codé
- Row Level Security activé et testé sur toutes les tables Supabase
- Aucune clé secrète dans le code client — revue systématique du bundle JS
- Tests d'autorisation manuels : l'user A peut-il voir les données de l'user B ?
- Séparation stricte test / staging / prod — jamais les mêmes credentials
- L'agent IA n'a jamais accès en écriture à la base de prod. Jamais.
- Scan de vulnérabilités automatisé avant chaque déploiement
- Pour les smart contracts : audit humain systématique, quelle que soit la confiance dans l'IA
L'IA n'a pas peur du lundi matin. Vous, si.
Ce que ces histoires ne prouvent pas
Elles ne prouvent pas que l'IA écrit forcément du mauvais code.
Elles montrent qu'un système optimisé pour produire rapidement du code fonctionnel n'est pas automatiquement optimisé pour produire du code robuste, sécurisé et maintenable. La différence entre un prototype et un produit reste une responsabilité humaine.
GitHub Copilot est utilisé dans des entreprises du Fortune 500. Cursor, Claude Code et leurs équivalents permettent à des équipes sérieuses de livrer plus vite. Les gains de productivité sont réels — GitHub documentait déjà en 2023 une hausse de 55% de la vitesse de complétion de tâches pour les développeurs utilisant Copilot.
Les catastrophes de ce Hall of Shame ont toutes un point commun : non pas l'outil IA, mais l'absence de supervision humaine sur les décisions critiques. Les équipes qui s'en sortent bien utilisent l'IA pour accélérer leur supervision, pas pour la remplacer.