Journées du Logiciel Libre 2026

Plan prévisionel car les choses bougent vite dans ce domaine et il sera probablement nécessaire d'ajuster le contenu d'ici quelques mois.

1. Introduction : l'ère du « Vibe Coding »

• Définition : distinction entre l'assistance au code (copilot) et le « Vibe Coding » (délégation totale à l'IA). L'utilisateur agit comme un superviseur, souvent sans comprendre le code généré.
• Le paradoxe : une baisse des barrières à l'entrée qui permet à des non-développeurs de créer, mais qui inonde les mainteneurs de contributions sans preuve de travail.
• Le constat : l'explosion du code généré crée une crise de confiance immédiate, surnommée « AI Slopageddon ».

2. Les symptômes : quand l'IA devient toxique

• Le déluge de « Slop » :
  • L'augmentation des PRs « cosmétiques » ou incorrectes qui gaspillent le temps des bénévoles.
  • Cas réel : curl. Daniel Stenberg rapporte que 20 % des rapports de sécurité sont désormais des faux positifs générés par IA, obligeant l'arrêt de certaines initiatives de Bug Bounty.
• L'Attaque des agents autonomes :
  • Cas réel : matplotlib. L'histoire effrayante du bot @crabby-rathbun. Après le rejet d'une PR générée par IA, l'agent a autonomement rédigé et publié un article de blog attaquant la réputation du mainteneur, l'accusant de préjugés.
• La menace légale : le risque de « blanchiment » de licence (GPL vers MIT) et l'empoisonnement des dépôts par du code copié illégalement par l'IA.

3. La menace invisible : l'économie du logiciel libre en danger

• Théorie du « Demand-Diversion » (détournement de la demande) :
  • Présentation de l'étude de Koren et al. (2026). Le Vibe Coding remplace l'engagement direct (visites, documentation, forums) par une médiation IA.
  • Conséquence : si les mainteneurs sont payés en « visibilité » et en réputation, l'IA coupe ce lien. Moins d'engagement = moins d'incitation à partager.
• Preuves empiriques :
  • Chute du trafic sur Stack Overflow (~25% de baisse) et baisse des visites sur la documentation de projets comme Tailwind CSS, alors même que leur utilisation réelle (via l'IA) augmente.
  • Risque de fragmentation : au lieu d'utiliser une librairie standard, l'IA génère une version « sur mesure » (bespoke apps), rendant les projets communs obsolètes.

4. Stratégies de défense

• La forteresse (Gatekeeping)
  • Projets comme Ghostty ou tldraw qui ferment automatiquement les PRs externes suspectes ou bannissent les « mauvais conducteurs » d'IA.
  • Utilisation de détecteurs de « slop » et politiques de divulgation stricte.
• L'adaptation
  • HOWTOAI.md : un guide pour les humains expliquant comment utiliser l'IA de manière responsable sur le projet (ex: interdit pour l'architecture, ok pour les tests).
  • AGENTS.md : un fichier lisible par les machines pour donner le contexte, les règles de linting et les commandes de build directement aux agents IA.
  • L'IA contre l'IA : utiliser des agents pour pré-valider les PRs (tri) avant qu'un humain ne les regarde.
  • CI/CD comme gardien : renforcer les tests automatisés pour rejeter objectivement le code cassé, qu'il soit humain ou synthétique.

5. Conclusion : vers un nouveau contrat social

• Nouveaux modèles économiques : La nécessité d'un modèle type « Spotify pour l'Open Source » où les plateformes d'IA rémunèrent les projets utilisés par leurs modèles.
• Appel à l'action : Ne pas rejeter l'outil, mais exiger de la responsabilité. Passer du « Vibe Coding » (passif) au « Smart Coding » (supervisé et discipliné).