Ahmad Shadid d'O.XYZ sur les promesses et les pièges des outils de codage basés sur l'IA : équilibre entre innovation, sécurité et complexité

Récemment, Sebastian Siemiatkowski, PDG de Klarna, une société mondiale de solutions de paiement proposant des services « achetez maintenant, payez plus tard », a partagé la publication de Comment des outils d'IA comme Cursor ont révolutionné le développement de prototypes. Il a souligné la tendance croissante du « vibe coding », où l'IA aide à générer du code grâce à des invites en langage naturel, simplifiant ainsi les flux de travail et réduisant la dépendance aux équipes techniques. Cette approche devient une compétence clé pour les développeurs, les grandes entreprises recherchant de plus en plus la maîtrise des outils de codage basés sur l'IA.

Dans une conversation avec Mpost, Ahmad Shadid , Chef de la direction O.XYZ — un écosystème de développement d’IA agentique et full-stack — a partagé ses idées et son expertise sur l’évolution de cette tendance.

L'essor du codage piloté par l'IA : responsabiliser les leaders non techniques, atténuer les risques et façonner l'avenir de l'ingénierie logicielle

Ahmad Shadid a souligné que les dirigeants non techniques ont désormais la possibilité de transformer leurs idées en démonstrations cliquables en quelques heures, grâce aux outils d'IA. Cela accélère la découverte de produits et réduit le décalage entre l'intention commerciale et l'ingénierie. Cependant, les risques incluent une fausse impression de faisabilité, car les prototypes peuvent masquer des problèmes sous-jacents tels que la faisabilité, la sécurité et la dette technique. De plus, les dirigeants peuvent se focaliser excessivement sur les capacités de l'outil, négligeant ainsi ce qui est viable d'un point de vue stratégique ou technique.

Il a également partagé les pièges les plus courants auxquels les équipes sont confrontées lorsqu'elles utilisent du code généré par l'IA et a proposé des idées sur la manière d'atténuer ces risques.

« La gestion non sécurisée des entrées et la faiblesse des schémas d'authentification figurent parmi les principaux problèmes. Ces problèmes de sécurité peuvent être atténués par l'application de SAST/DAST dans l'intégration continue, des linters de sécurité, l'analyse des dépendances et la modélisation des menaces sur les fonctionnalités issues de l'IA. Les fuites de données dans les invites peuvent être réduites en acheminant les données par l'intermédiaire de fournisseurs agréés qui rédigent et protègent les secrets, et en utilisant des passerelles d'invite préservant la confidentialité », a déclaré Ahmad Shadid. Mpost.

« Il ne s'agit pas seulement du code généré par l'IA. Lorsqu'une personne n'est ni ingénieur ni codeur, elle manque souvent d'une compréhension approfondie de la conception des logiciels et de l'architecture système. L'IA ne vaut que par l'invite, n'est-ce pas ? Ils ne sont donc pas en mesure d'inviter correctement l'IA, ce qui peut entraîner des menaces et des problèmes de sécurité, notamment au niveau des API en front-end et des bases de données publiques », a-t-il poursuivi.

De plus, l'expert a ajouté que de nombreux ingénieurs se plaignent que lorsque le contexte devient trop vaste ou que quelque chose devient trop complexe, l'IA commence à avoir des hallucinations. Elle se met alors à apporter des modifications au code qui ne sont pas nécessaires ou explicitement demandées. L'IA génère également des milliers de lignes de code. Imaginez devoir gérer des modifications aléatoires de la base de code sur des milliers de lignes.

« En fin de compte, des révisions régulières et limitées dans le temps, sans IA, sont essentielles pour garder les fondamentaux à jour et lutter contre l'atrophie des compétences », a-t-il déclaré.

S'interrogeant sur la possibilité que le recours au codage piloté par l'IA puisse à terme remodeler la valorisation et le recrutement des ingénieurs logiciels dans tous les secteurs, le « codage d'ambiance » devenant une compétence recherchée, même dans les offres d'emploi, Ahmad Shadid a déclaré : « Moins de typage brut, plus la conception système, la revue de code, le débogage, la sécurité et l'orchestration des données/de l'IA compensent la pertinence du produit. Nous avons également constaté une évolution de la stratégie « implémenter X de A à Z » vers la stratégie « critiquer, renforcer et étendre le code produit par l'IA », ainsi que des exercices d'architecture et de gestion des incidents. L'essor des « responsables de la programmation en binôme IA », des « gardiens de code » et des ingénieurs plateforme qui créent des garde-fous pour les logiciels générés par l'IA témoigne d'une adoption croissante du codage piloté par l'IA. »

« Les novices négligent souvent les fondamentaux et se lancent directement dans l'ingénierie rapide sans avoir la moindre idée de ce qu'ils souhaitent accomplir. À l'inverse, les ingénieurs expérimentés gagnent en influence et consacrent plus de temps à l'architecture, à la fiabilité et à l'obtention de résultats produits satisfaisants. Des parcours d'apprentissage explicites, une culture de la lecture avant écriture et des exercices réguliers en mode manuel peuvent contribuer à garantir une utilisation efficace et éthique de l'IA pour l'écriture de code », a-t-il noté.

Les outils de codage Vibe sont utiles, mais trop simples pour remplacer les workflows de développement traditionnels.

L'une des préoccupations est que les outils de codage Vibe pourraient à terme remplacer les workflows de codage traditionnels. Cependant, l'expert a souligné que ces outils sont tout simplement trop simples pour remplacer des workflows de codage complets.

« Fera-t-il désormais partie intégrante des workflows de codage ? Bien sûr, les équipes produit en bénéficient grandement pour mettre en place rapidement une interface et tester différentes conceptions UX. Certes, les développeurs freelance et les amateurs peuvent rapidement créer quelque chose, mais cela ne peut pas remplacer l'ensemble du workflow. En réalité, le développement est actuellement confronté à des défis, notamment avec la puissance croissante de l'IA », a-t-il déclaré. Mpost.

« Nous n'arrivons tout simplement pas à rattraper notre retard, les outils non plus, et nous sommes confrontés à une crise de fragmentation des outils : les développeurs ont désormais besoin de quatre ou cinq outils pour leurs workflows. À chaque changement, on perd le contexte, on n'arrive pas à suivre, et l'IA non plus ; on ne peut pas suivre tous les changements d'un outil à l'autre, etc. », a poursuivi Ahmad Shadid.

En résumé, les outils et plateformes de codage actuels ont encore un long chemin à parcourir avant de remplacer les workflows de codage traditionnels. Ces outils sont encore incomplets.

Ahmad Shadid discute de l'avenir de l'IA dans le développement logiciel : avantages, risques et nécessité de solutions sécurisées et évolutives.

Ahmad Shadid a souligné que les outils et environnements de développement actuels sont préparés pour intégrer en toute sécurité le codage basé sur l'IA : « Les intégrations IDE, la complétion de code puissante, les refactorisations décentes et les assistants sensibles aux référentiels jouent tous un rôle majeur dans la production de code généré par l'IA », a-t-il déclaré. Mpost« Cependant, des lacunes existent à l'échelle de l'entreprise. Une auditabilité unifiée des suggestions d'IA, une application rigoureuse des politiques avec contrôle des coûts et des options transparentes de modèles sur site/privés pourraient potentiellement créer des lacunes majeures à l'échelle de l'entreprise », a ajouté l'expert. 

L'adoption croissante des outils d'IA par les dirigeants pour un prototypage rapide pourrait contribuer à démocratiser l'innovation au sein des entreprises. Cependant, elle comporte également le risque de simplifier à outrance la complexité de l'ingénierie logicielle.

Ahmad Shadid estime qu'avec davantage de personnes impliquées dans le processus d'idéation, les entreprises peuvent valider leurs idées plus rapidement et améliorer la collaboration interfonctionnelle. Cela permet de développer davantage d'idées et de les affiner pour en faire des solutions stables, offrant aux créateurs la liberté de concrétiser leurs concepts grâce aux logiciels.

« L'utilisation d'outils d'IA pour le prototypage sous-estime la complexité de la fiabilité, de l'opérabilité et de l'évolutivité, ce qui conduit à des décisions basées sur des démonstrations qui pourraient conduire à l'échec si elles ne sont pas contrôlées. Ces outils facilitent le prototypage, mais compliquent la livraison sans contrôle qualité technique », a souligné l'expert.

De plus, les entreprises devraient permettre aux non-ingénieurs d'opérer dans des environnements isolés exécutant les applications de manière discrète et confidentielle. L'utilisation de données factices/synthétiques ainsi que l'absence d'identifiants de production peuvent contribuer à minimiser les risques de fuite de données.

« Des stratégies claires d'identification du système, telles que des dépôts jetables et des espaces de noms distincts, permettent d'exploiter les programmes d'IA de manière isolée. Des piles approuvées, des échafaudages sécurisés, des tests intégrés et le linting fournissent une plateforme sécurisée pour l'évolutivité et la résilience de l'application », a déclaré Ahmad Shadid. Mpost.