Vulnérabilités du codage Vibe : Certora affirme que la surveillance humaine est essentielle pour les audits DeFi

Le PDG de Nvidia, Jensen Huang, affirme que "le miracle de l'intelligence artificielle" réside dans le fait que "personne n'a besoin de programmer". Grâce à la croissance prolifique de l'IA et à l'essor de Vibe Coding, la technologie nous rapproche de la vision de Huang : un avenir dans lequel "tout le monde est un programmeur".

L'idée que tout le monde peut théoriquement devenir un fondateur de DeFi sans aucune expérience ou connaissance en programmation est évidemment attrayante pour les entrepreneurs en herbe. Toutefois, cela n'est pas nécessairement de bon augure pour la sécurité des milliers d'utilisateurs de l'économie onchain.

Quelle menace Vibe Coding fait-elle peser sur Solana DeFi, et comment des auditeurs réputés comme Certora abordent-ils le développement et l'audit de l'IA ?

De plus en plus de développeurs se tournent vers l'IA

L'IA nous entoure de toutes parts et s'immisce chaque jour davantage dans nos vies. Selon l'enquête 2025 de Stack Overflow auprès des développeurs, plus de 50 % des développeurs professionnels utilisent des outils d'IA tous les jours, et 84 % des personnes interrogées intègrent l'IA dans leur processus de développement.

Au-delà de l'illustration de la popularité du codage basé sur l'IA, l'enquête de Stack Overflow a mis en lumière certaines disparités éclairantes. Alors que 84 % des personnes interrogées utilisent des outils d'IA dans leur processus de développement, seulement 3,1 % d'entre elles font preuve d'une "grande confiance" dans leur précision. Il est juste de conclure que les outils d'IA, bien que pratiques et efficaces, sont loin d'être étanches.

La création de code d'IA est plus courante que jamais, mais un nombre étonnamment faible de développeurs ont confiance dans le code qu'ils écrivent. Ce constat est renforcé par une récente étude du MIT Sloan, qui stipule que si l'IA rend les développeurs plus productifs, elle accélère également la propagation des erreurs.

Comme le résume si élégamment REKT, "ces outils promettaient de démocratiser le codage, de faire de chacun un développeur. Ce qu'ils ont fait en réalité, c'est rendre possible la livraison de systèmes complexes sans les comprendre.

Si l'on peut naturellement supposer que la plupart des humains continuent à superviser la production en cours et à corriger les erreurs, il y aura inévitablement des cas où des développeurs pressés par le temps feront preuve de moins de discernement.

Dans le pire des cas, l'économie onchain devient une masse d'applications codées par vibration et vérifiées par des outils d'IA, avec peu ou pas de surveillance humaine pour détecter les erreurs obscures et évasives. Au lieu de la promesse initiale d'une finance décentralisée, la cryptographie se transforme inévitablement en un terrain de jeu obscur conçu par Claude, pour Claude.

Heureusement, ce pronostic pessimiste est peu probable. Les ingénieurs utilisent certainement l'IA pour devenir plus efficaces, mais dire qu'ils externalisent complètement l'ensemble du processus de développement à l'IA est, du moins pour l'instant, inexact. Les équipes sérieuses adoptent une approche hybride du développement, l'IA étant utilisée en tandem avec la supervision, l'expérience et la créativité humaines pour obtenir le meilleur des deux mondes.

Les audits d'IA sont-ils sûrs ?

Il en va de même pour les auditeurs. Tout comme les ingénieurs qui se tournent vers les outils d'IA pour leur efficacité, les auditeurs profitent également des avantages d'une puissante paire d'yeux supplémentaires. Les auditeurs de cybersécurité, qu'ils soient dans le domaine de la cryptographie ou non, intègrent l'IA dans leurs processus, ce qui leur permet d'analyser et de tester une surface bien plus grande que celle qu'un humain peut atteindre.

Cependant, malgré la popularité croissante des outils d'audit de l'IA, les humains sont toujours nécessaires pour prévenir les piratages délicats. Mooly Sagiv, scientifique en chef de Certora, affirme que les audits d'IA existants sont incapables de reproduire les piratages les plus intéressants, tels qu'Euler V1 et Cork. Même pour les exploits simples, on ne sait pas encore si les audits d'IA sont plus utiles que les outils d'analyse statique.

Malgré tout son génie, l'IA reste, du moins selon ma compréhension limitée, incapable d'une pensée originale. Même les meilleurs outils d'IA ne peuvent pas générer un code ou une logique que les humains n'ont pas déjà mis en œuvre quelque part, ce qui signifie qu'ils seront toujours en train de rattraper leur retard. Compte tenu de la rapidité avec laquelle les cybercriminels conçoivent et exécutent de nouveaux vecteurs d'attaque, les développeurs et les auditeurs doivent être proactifs, plutôt que réactifs, face aux menaces potentielles.

Les entreprises de sécurité fiables et réputées comme Certora considèrent l'IA comme un outil à exploiter dans le cadre du processus d'audit, et non comme quelque chose qui remplace complètement les responsabilités des auditeurs humains.

L'IA peut aider à identifier les vulnérabilités et suggérer des alternatives, mais les auditeurs doivent toujours passer les bases de code au peigne fin pour déterminer l'exactitude des résultats d'un outil d'IA. L'IA ne peut pas reproduire l'esprit critique, hors des sentiers battus, qui est exigé des auditeurs. Les programmes complexes offrent inévitablement une large surface pour les attaques potentielles et les cas limites exploitables, de sorte que la supervision humaine reste essentielle pour un audit sûr et proactif.

Responsable de la sécurisation de plus de 10 milliards de dollars de la TVL onchain de Solana (et 100 milliards de dollars dans l'espace DeFi plus large), Certora suggère qu'une approche hybride et perspicace des audits de sécurité donne systématiquement les meilleurs résultats, apportant à la fois aux applications et aux utilisateurs une tranquillité d'esprit inégalée lorsqu'ils naviguent dans l'économie onchain.

En savoir plus sur SolanaFloor

Les émetteurs potentiels d'ETF mis à l'écart par la cotation du BSOL

Fidelity modifie son dépôt S-1 pour l'ETF $SOL - Cotation dans 20 jours ?

Quels sont les principaux problèmes auxquels Solana est confronté actuellement ?