Aller au contenu principal
50 % de réduction toutes les offres, durée limitée. À partir de $2.48/mo
8 min left
IA et machine learning

Les vibe coders reconstruisent la couche de règles que l'ingénierie avait laissée derrière elle

S By Steve 8 min read
A CLAUDE.md file open in a dark-mode code editor showing AI coding quality rules alongside a passing test suite, illustrating how vibe coders encode engineering discipline as agent instructions

Plus de 178,000 utilisateurs de GitHub ont mis une étoile à un simple fichier markdown. Ce fichier ne fait qu'expliquer à une IA comment se comporter.

Quatre règles : Réfléchir avant de coder. La simplicité d'abord. Des modifications chirurgicales. Une exécution guidée par l'objectif. C'est tout. Pas de bibliothèque. Pas de framework. Pas d'installeur. Forrest Chang a condensé les observations d'Andrej Karpathy sur les modes d'échec des LLM en programmation dans un seul fichier CLAUDE.md, et la communauté des développeurs l'a propulsé au-delà de 178,000 étoiles GitHub dans les mois qui ont suivi.

Si vous regardez de près ce qui s'est passé là, cela ressemble beaucoup à ce que chaque organisation d'ingénierie a fini par comprendre qu'il lui fallait, après suffisamment de souffrance : un ensemble partagé de contraintes sur la façon dont le code s'écrit. Une couche de règles. Le genre de chose qui résidait autrefois dans une checklist de revue de code, ou un guide de style, ou la mémoire institutionnelle d'un ingénieur senior. La communauté du vibe coding a trouvé une version bien plus légère de cette même discipline : écrire les règles en markdown et laisser l'agent les lire avant qu'il n'écrive du code.

Ce n'est pas un cas isolé. C'est un schéma.

En bref

  • L'écosystème des instructions d'agent (CLAUDE.md, AGENTS.md, bibliothèques de skills partagées et agents d'accessibilité) est en train de devenir une couche distribuée d'application de la qualité pour la programmation assistée par l'IA.
  • L'écart de qualité auquel il répond est réel : Snyk a analysé 3,984 skills issus de ClawHub et skills.sh et a constaté que 1,467, soit 36.82%, présentaient au moins une faille de sécurité ; 534, soit 13.4%, présentaient au moins un problème de niveau critique.
  • La réponse de la communauté a été de construire davantage de règles, et non d'abandonner l'approche, et des institutions, de Vercel à OWASP en passant par la Linux Foundation, sont désormais impliquées.

L'écart de qualité est réel, et la communauté le sait

Bar chart contrasting the share of community AI agent skills with security flaws (36.82%) and critical-level flaws (13.4%) from Snyk's ToxicSkills scan of 3,984 skills

13.4% des fichiers de skills communautaires contiennent des failles de sécurité critiques. C'est ce que révèle le rapport ToxicSkills de Snyk, publié en février 2026 après l'analyse de 3,984 skills issus de ClawHub et skills.sh. 36.82% présentaient au moins une vulnérabilité de sécurité. 76 étaient carrément malveillants, 91% d'entre eux utilisant l'injection de prompt comme mécanisme de diffusion.

Le constat plus large sur la qualité du code IA est similaire. Selon l'analyse des données de revue de code de CodeRabbit, le code assisté par l'IA présente en moyenne 10.83 problèmes par pull request contre 6.45 pour le code écrit par des humains, soit environ 1.7x plus de problèmes. L'étude annuelle de GitClear sur le code a rapporté ce qu'elle appelle une « croissance de 4x » du clonage de code : une hausse de 8.3% à 12.3% des lignes modifiées entre 2021 et 2024.

Ce sont des chiffres de fournisseurs, alors accueillez leur précision avec le scepticisme qui convient. Ils restent néanmoins utiles sur le plan directionnel : la programmation assistée par l'IA crée assez de pression sur la qualité pour que les développeurs construisent de nouveaux garde-fous autour d'elle.

Ce qui compte, c'est ce que la communauté a fait de cette information. La réponse n'a pas été « les fichiers de skills sont dangereux, arrêtez de les utiliser ». Elle a été : OWASP a lancé l'Agentic Skills Top 10 (AST10), l'équivalent pour l'écosystème des skills du Web Application Security Top 10. Davantage de règles. Davantage de structure. Un cadre de sécurité formel pour un écosystème informel.

C'est une réponse d'ingénierie classique, même de la part d'une communauté qui essaie souvent d'éviter les processus lourds.

L'écosystème qui est apparu

Layered diagram of the AI coding rules ecosystem: a behavioral layer (CLAUDE.md), a community aggregation layer (Awesome Skills), a framework layer (Vercel agent-skills), and a standards layer (AGENTS.md)

Au cours du premier semestre 2026, cela a commencé à ressembler moins à une poignée de fichiers markdown isolés et davantage à un écosystème en couches.

Commençons par la couche comportementale. Le CLAUDE.md inspiré de Karpathy condense la version de Forrest Chang des observations d'Andrej Karpathy sur les échecs des LLM en programmation dans un seul fichier d'instructions, et il dépasse aujourd'hui les 178,000 étoiles GitHub, l'un des dépôts les plus étoilés de l'histoire de GitHub, pour un fichier bâti autour de quatre règles simples. Ce que sont ces règles importe moins que ce qu'elles représentent : une tentative d'encoder le jugement qu'un ingénieur senior appliquerait lors d'une revue de code.

Au-dessus se trouve une couche d'agrégation communautaire. Antigravity Awesome Skills a dépassé 1,595+ skills agentiques, rassemblant des playbooks réutilisables pour Claude Code, Cursor, Codex CLI, Gemini CLI, Antigravity et d'autres assistants de programmation IA. Cela fonctionne comme une bibliothèque partagée à évolution rapide pour le domaine : le genre de chose qu'un comité de normalisation produirait s'il passait par GitHub plutôt que par des PDF.

Puis les frameworks sont arrivés. Vercel a fait de vercel-labs/agent-skills un dépôt d'organisation officiel, qui compte désormais 28,000 étoiles. Le skill React Best Practices contient à lui seul 40+ règles réparties sur huit catégories axées sur la performance, dont les cascades, la taille des bundles, la performance côté serveur, la récupération de données côté client, l'optimisation des re-renders, la performance de rendu et les micro-optimisations JavaScript. Quand l'entreprise qui possède votre plateforme de déploiement livre des règles de qualité officielles pour les agents IA, l'écosystème est passé de l'expérience communautaire à l'infrastructure de production.

Et au sommet, une couche de normalisation. OpenAI a fait don de la spécification AGENTS.md à l'Agentic AI Foundation (AAIF) de la Linux Foundation, aux côtés de MCP (Anthropic) et de Goose (Block) : inter-outils, inter-agents, sur la voie de la normalisation. La direction tend vers la portabilité : AGENTS.md offre aux équipes un emplacement partagé pour les consignes d'agent propres au projet, même si les outils individuels peuvent encore différer dans la façon dont ils chargent et appliquent ces instructions.

Ces éléments ne sont pas apparus comme une pile planifiée de façon centralisée. Ils ont convergé parce que la demande était réelle.

La dimension dont personne ne parle

An accessibility agent flagging a modal that traps screen readers and missing ARIA roles in AI-generated UI code, with WCAG 2.2 AA checks listed alongside

Les données sur la sécurité et la qualité du code sont relayées. La dimension de l'accessibilité ne l'est presque jamais.

Community-Access/accessibility-agents a démarré le 21 février 2026 avec six agents. En juin 2026 : 79 agents spécialisés répartis sur huit équipes, 18 skills d'accessibilité réutilisables, un ciblage WCAG 2.2 AA et une prise en charge sur cinq plateformes : Claude Code, GitHub Copilot, Gemini CLI, Codex CLI, et un serveur MCP capable de servir les clients compatibles MCP.

Ce qu'est ce projet, en termes simples : une communauté de développeurs a décidé que les outils de programmation IA génèrent par défaut du code inaccessible (ils ignorent les règles ARIA, négligent la navigation au clavier, produisent des modales qui piègent les lecteurs d'écran) et a construit 79 agents spécialisés pour appliquer les règles que l'IA ne cesse d'oublier.

C'est une chose remarquable. Les ingénieurs frontend ont historiquement sous-livré en matière d'accessibilité. C'est la première chose qu'on coupe sous la pression des délais. Le projet accessibility-agents, ce sont des vibe coders qui écrivent les règles dont ils auraient autrement besoin d'un ingénieur senior pour les faire appliquer, et qui le font en public, gratuitement, sur cinq intégrations prises en charge.

À ma lecture, le projet est exceptionnellement complet pour un effort d'accessibilité bénévole, surtout parce qu'il transforme l'accessibilité, d'une préoccupation tardive de QA, en instructions d'agent réutilisables qui s'exécutent pendant la génération du code.

Pourquoi c'était inévitable

L'argument selon lequel « les fichiers de skills ne sont que des README pour l'IA » est valable si vous regardez un seul fichier. Il ne tient plus quand vous voyez OWASP lancer un cadre de sécurité pour l'écosystème, Vercel livrer une bibliothèque de qualité officielle, ou un projet d'accessibilité bénévole se transformer en 79 agents spécialisés.

Voici ce qui se passe vraiment : l'application de la qualité ne disparaît pas quand on supprime le processus. Elle réapparaît sous une autre forme, parce que l'absence de qualité produit rapidement de la souffrance, et la personne la plus proche de cette souffrance la corrige à la source.

La discipline d'ingénierie traditionnelle (revue de code, guides de style, barrières de QA, gouvernance architecturale) existe pour rattraper ce que les développeurs individuels laissent passer sous la pression du temps. Elle fonctionne quand on a une équipe et un processus. Les vibe coders, par nature, n'ont souvent ni l'une ni l'autre. Alors ils ont pré-encodé la revue dans les instructions de l'agent.

CLAUDE.md est une revue de code pré-encodée. Awesome Skills est un guide de style distribué. AGENTS.md est une norme de gouvernance. Les mots ont changé. La fonction, non.

Ce qui est intéressant, ce n'est pas que les contraintes soient réapparues, cela était inévitable. Ce qui est intéressant, c'est qu'elles soient réapparues plus vite que la première fois, et plus publiquement, et à un niveau de qualité qui fait honte à certaines organisations d'ingénierie dotées de processus matures.

La communauté du vibe coding n'a pas réinventé la discipline d'ingénierie à contrecœur, sous la pression du management. Elle l'a construite parce qu'elle a heurté un mur et que les outils pour le corriger étaient à un fichier markdown de distance.

Foire aux questions

Que met-on dans un fichier CLAUDE.md ?

Des contraintes comportementales pour l'IA : ce qu'il faut éviter, ce qu'il faut privilégier, les règles architecturales, les signaux d'alerte de sécurité et les conventions propres au projet. L'usage axé sur la qualité va au-delà des raccourcis de workflow : des règles comme « ne jamais retirer la gestion d'erreur pour faire passer les tests » côtoient « toujours utiliser TypeScript ». Pour des exemples réels et éprouvés, commencez par l'agrégation communautaire Awesome Skills. Le agent-skills de Vercel est une autre référence solide.

Qu'est-ce qu'AGENTS.md et en quoi diffère-t-il de CLAUDE.md ?

AGENTS.md est une norme universelle pour les consignes d'agent propres au projet, publiée par OpenAI et contribuée à l'Agentic AI Foundation de la Linux Foundation en décembre 2025. CLAUDE.md est le fichier de consignes de projet de Claude Code. Ils se recoupent dans leur objectif, mais ne sont pas des formats identiques dans tous les outils. L'enseignement pratique, c'est que les équipes peuvent de plus en plus écrire les instructions d'agent une seule fois et les adapter à divers outils comme Codex, Cursor, Copilot, Gemini CLI et Claude Code.

Les fichiers de skills sont-ils sûrs à utiliser ?

Les skills d'origine communautaire devraient être lus avant d'être importés. le rapport ToxicSkills de Snyk a constaté que 36% des skills communautaires analysés présentaient au moins une faille de sécurité, et 13.4% des failles de niveau critique, l'injection de prompt étant le principal mécanisme d'attaque. L'OWASP Agentic Skills Top 10 est le cadre de référence pour comprendre la surface d'attaque. Les fichiers de skills provenant de dépôts officiels ou de projets open source établis présentent généralement un risque de chaîne d'approvisionnement plus faible que les contributions communautaires anonymes, mais ils devraient tout de même être examinés avant d'être importés.

Qu'est-ce que l'OWASP Agentic Skills Top 10 (AST10) ?

Le cadre de sécurité 2026 d'OWASP pour l'écosystème des skills, analogue à l'OWASP Web Application Security Top 10 mais traitant spécifiquement la surface d'attaque créée par les fichiers d'instructions des agents IA. Il couvre les dix risques de sécurité les plus critiques sur des plateformes comme Claude Code, Cursor/Codex et VS Code. Le cadre est en développement actif en 2026, avec une version v1.0 prévue pour le Q4 2026.

Ai-je besoin de fichiers de skills si je construis un projet personnel ?

Seulement si vous voulez un comportement cohérent de l'IA. Sans contraintes, les outils de programmation IA optimisent pour l'achèvement de la tâche, pas pour la qualité du code, ce qui fonctionne très bien jusqu'à ce que cela produise de la logique dupliquée, une gestion d'erreur manquante ou des composants d'UI inaccessibles. La charge est faible : un fichier par projet, maintenu au fur et à mesure que vous découvrez ce que l'IA se trompe constamment à faire. Les règles inspirées de Karpathy sont un point de départ raisonnable ; les bibliothèques de skills communautaires vous permettent d'intégrer des règles spécifiques à un domaine (sécurité, accessibilité, idiomes de langage) sans les écrire de zéro.

Share

Plus d'articles du blog

Continuez la lecture.

Prêt à déployer ? À partir de 2,48 $/mois.

Cloud indépendant, depuis 2008. AMD EPYC, NVMe, 40 Gbps. Remboursement sous 14 jours.

Déployer un VPS Voir tous les forfaits