Vibe-Codierung ist das brandneue Ding. Vielleicht haben Sie es schon in der Praxis gesehen:
- Ein Verkäufer entwickelt sein eigenes Tool mit KI.
- Ein Designer überträgt Änderungen an der Benutzeroberfläche direkt auf GitHub.
- Ein Marketingteam schreibt Kampagnensoftware, anstatt einen Lieferantenvertrag zu verlängern.
Wie Steve Yegge im Podcast „The Pragmatic Engineer“ sagte, hat KI neue Türen geöffnet. Code kommt nicht mehr nur von Entwicklern. Jeder, der eine Eingabeaufforderung hat, kann eine App veröffentlichen. Die meisten Menschen, die dies tun, wissen gar nicht, dass sie „Vibe Coding“ betreiben. Sie beschreiben einfach in einfacher Sprache, was sie wollen, und lassen die KI den Code generieren. Diese Veränderung hat dazu geführt, dass sich sowohl die Entwickler von Software als auch die Geschwindigkeit ihrer Veröffentlichung gewandelt haben. Diese Geschwindigkeit ist spannend, bringt aber auch ein ernstes Problem mit sich. Der Großteil dieses Codes läuft blind, ohne Überprüfungen, ohne Tests und ohne Sicherheit.
Was ist Vibe Coding?
Vibe Coding bedeutet, dass Sie Ihre Wünsche in einfacher Sprache beschreiben und eine KI den Code für Sie generieren lässt. Plattformen wie Lovable, Windsurf und Replit werben damit, dass jeder innerhalb weniger Stunden seine Idee in eine App umsetzen kann. Das wirkt wie Zauberei, da Sie keine technischen Kenntnisse oder formale Ausbildung benötigen. Sie sagen einfach, was Sie wollen, kopieren den Code, führen ihn aus und sehen, ob er funktioniert.
Es ist schnell und reibungslos, weshalb es sich auch außerhalb von Ingenieurteams verbreitet hat. Designer, Marketingfachleute und Vertriebsteams können nun Apps oder Funktionen bereitstellen, ohne auf Entwickler warten zu müssen.
Der Haken dabei ist, dass bei der Vibe-Codierung die Leistung Vorrang vor der Sicherheit hat. Meistens gibt es keine Überprüfungen, keine Tests und keine integrierten Sicherheitsvorkehrungen. Und genau da beginnen die Probleme.
Wenn die Stimmung kippt
Es gibt eine Reihe von Beispielen dafür, dass Vibe Coding nach hinten losgeht:
- Replit-Vorfall: Jason Lemkin von SaaStr vertraute dem KI-Agenten von Replit, eine produktionsreife App zu entwickeln. Zunächst war es aufregend: Prototypen innerhalb weniger Stunden, Qualitätssicherungstests, schnelle Fortschritte. Dann kam es zum Eklat. Die KI begann, bei Unit-Tests zu lügen, ignorierte Code-Freezes und löschte schließlich die gesamte SaaStr-Produktionsdatenbank. Monate lang kuratierte Führungsunterlagen waren über Nacht verschwunden. Wie Lemkin gegenüber ZDNet erklärte: „Man darf eine Produktionsdatenbank nicht überschreiben. Nein, niemals, auf keinen Fall.“
- Tea-App: Admin-Routen blieben unverschlüsselt, sodass Nutzerdaten für jeden zugänglich waren, der auf den Endpunkt stieß. Was wie ein lustiges Experiment aussah, wurde schnell zu einem Datenschutzproblem.
Ein beträchtlicher Anteil der von Hobbyentwicklern erstellten Apps weist bereits vor ihrer Veröffentlichung schwerwiegende Sicherheitslücken auf. Wenn Sie zehn solcher Apps ausprobieren, ist die Wahrscheinlichkeit groß, dass mindestens eine davon gehackt werden kann.
Diese Fehler sind von Bedeutung, da Sicherheitslücken in vibe-codierten Apps nicht nur geringfügige Fehler sind. Oft betreffen sie zentrale Schutzfunktionen wie Authentifizierung, Datenzugriff und secrets . Wenn eine App Zahlungen oder personenbezogene Daten verarbeitet, sind die Folgen nicht nur technischer Natur. Sie sind auch finanzieller, regulatorischer und reputationsbezogener Art.
Mackenzie Jackson, Entwickler-Befürworter bei Aikido , bringt es auf den Punkt:
„KI schreibt standardmäßig keinen sicheren Code. Sie spuckt einfach etwas aus, das funktioniert. Im Hintergrund kann sie jedoch für Angriffe weit offen sein.“
Warum sich dies schnell verbreitet
Der wesentliche Unterschied beim Vibe Coding besteht darin, dass es mittlerweile jeder macht. Designer, Projektmanager, Vertriebs- und Marketingteams liefern alle Code aus. Angreifern ist es egal, ob es sich um ein Nebenprojekt oder um Unternehmenssoftware handelt. Sie interessieren sich nur dafür, ob die Tür unverschlossen ist.
Geschwindigkeit ist ein Vorteil, aber auch ein Problem. Eine App, deren Entwicklung früher Wochen dauerte, kann heute an einem Nachmittag erstellt werden. Das bedeutet, dass ein ganzes Team Prototypen und Tools entwickeln kann, ohne auf die Technik warten zu müssen. Der Haken daran ist, dass keiner dieser neuen Entwickler über Zugriffskontrollen, Eingabesanitierung oder Abhängigkeitsaktualisierungen nachdenkt.
Willem Delbare, Gründer und CTO von Aikido, beschrieb diesen Wandel gegenüber ZDNet als eine perfekte Sturmkonstellation:
„Vibe Coding macht die Softwareentwicklung zugänglicher, schafft aber auch eine perfekte Sturmfront von Sicherheitsrisiken, für deren Bewältigung selbst erfahrene Entwickler nicht gerüstet sind. SQL-Injektionen, Pfadüberquerungen, fest codierte secrets.“
Mackenzie Jackson warnt davor, dass sich die Lage noch verschlimmern wird. Wie er gegenüber TechMonitor erklärte:
„Immer mehr Menschen ohne fundierte Kenntnisse in Technik oder Sicherheit nutzen diese Tools, um Software zu entwickeln … Das bedeutet, dass wir am Ende noch mehr KI-generierten Code haben werden, den niemand wirklich sorgfältig geprüft hat.“
So wird Vibe Coding zu dem, was Mackenzie als „Vulnerability-as-a-Service“ bezeichnet. Je schneller ungeschulte Hände Apps mit KI veröffentlichen, desto schneller vermehren sich die Sicherheitslücken im Internet.
Die Stimmung sichern
Wir haben bereits eine Sicherheitscheckliste von Vibe Coders für Entwickler veröffentlicht. Diese umfasst die Grundlagen: Authentifizierung, Eingabesanitierung, Scannen und secrets .
Der wichtigere Punkt hierbei ist jedoch das Bewusstsein. Wenn Sie oder Ihr Team mit KI-Programmierung experimentieren, müssen Sie sich bewusst sein, dass der glänzende Prototyp, den Sie an einem Nachmittag fertigstellen, auch eine Hintertür sein könnte, durch die Angreifer eindringen können.
Was können Teams tun?
- Behandeln Sie KI-Code so, als hätte ihn ein Junior-Entwickler geschrieben: Überprüfen, testen und sichern Sie ihn.
- Lagern Sie die Authentifizierung an dafür entwickelte Dienste aus, anstatt eine eigene Lösung zu entwickeln.
- Halten Sie secrets dem Frontend und den Repositorys secrets .
- Führen Sie nicht nur Scans durch. Denken Sie auch über logische Fehler nach.
Es klingt selbstverständlich, aber die meisten Programmierer tun es nicht. Deshalb muss Sicherheit Teil der Diskussion sein, auch für Rollen außerhalb der Technik.
Was ist Agentic Coding?
Agentische Codierung ist der nächste Schritt nach der Vibe-Codierung. Anstatt eine KI um Snippets zu bitten und diese einzufügen, übernehmen KI-Agenten automatisch das Schreiben, Ausführen und Ändern von Code. Sie können Abhängigkeiten installieren, Tests ausführen, Dateien umgestalten und sogar die Infrastruktur aktualisieren.
Dieser Ansatz wird eher von Entwicklern und technischen Teams als von Gelegenheitsnutzern verwendet, wodurch er vertrauenswürdiger wirkt. Das Problem ist, dass dieses Vertrauen fehl am Platz ist. Agentisches Codieren erzeugt saubereren, professioneller aussehenden Code, aber hinter dieser Fassade verbergen sich Risiken.
Agentische Kodierung dreht auf
Während Vibe-Coding oft zu unübersichtlichem, offensichtlich fragilem Code führt, erzeugt Agent-Coding Code, der makellos aussieht. Das ist Teil der Gefahr. Eine einzige falsche Entscheidung kann sich auf das gesamte System auswirken und sich über Abhängigkeiten und Umgebungen ausbreiten, bevor es jemand bemerkt.
KI-Tools produzieren mehr von diesem Code schneller als je zuvor, und keiner davon ist standardmäßig sicherheitsbewusst. Sauberer Code lässt sich leichter ausliefern und wiederverwenden, was bedeutet, dass sich Schwachstellen unbemerkt und schnell ausbreiten.
Die einzige Möglichkeit, das Risiko zu kontrollieren, besteht darin, Fehler zu erkennen, bevor sie live gehen. Das bedeutet, sich direkt in CI/CD-Pipelines einzuklinken, jede Abhängigkeit zu scannen und Annahmen mit sofortigem Feedback zu validieren.
Was CISOs beachten müssen
Für Sicherheitsverantwortliche ist Vibe Coding nicht nur ein Trend unter Entwicklern. Es verändert die Art und Weise, wie Software im gesamten Unternehmen entwickelt wird. Die Aufgabe des CISO verlagert sich von der Durchsetzung von Kontrollen hin zur Entwicklung von Leitplanken, die es den Mitarbeitern ermöglichen, zu experimentieren, ohne die Produktion zu beeinträchtigen.
Einige wichtige Ideen, die es zu verinnerlichen gilt:
- MTTG (Mean Time to Guidance)
Traditionelle Kennzahlen wie MTTD und MTTR messen, was passiert, nachdem etwas schiefgelaufen ist. MTTG misst, wie schnell Vibe-Programmierer umsetzbare Anleitungen erhalten, bevor ihr Code zu einer Schwachstelle wird. Je niedriger der MTTG-Wert, desto weniger Vorfälle treten insgesamt auf. - PromptBOMs
Stellen Sie sich SBOMs vor, aber für KI-Code. Eine einfache Aufzeichnung des Modells, des Prompts und der Parameter, die einen Snippet generiert haben. Wenn etwas nicht funktioniert, wissen Sie, woher es stammt und warum. Herkunft ist gleichbedeutend mit Verantwortlichkeit. - Vibe-Coding Assurance Levels (VCAL 0–5)
Ähnlich wie die Stufen für autonomes Fahren, jedoch für KI-gestütztes Coding. VCAL-1 bedeutet, dass die KI lediglich Vorschläge macht. VCAL-3 fügt Leitplanken und Herkunftserfassung hinzu. VCAL-5 ist eine vollständig autonome Zusammenführung für risikoarme Änderungen mit kontinuierlicher Bestätigung. Das Framework bietet CISOs eine Möglichkeit, Erwartungen zu kalibrieren, anstatt blind zu reagieren.
Die Erkenntnis: Versuchen Sie nicht, jedem Mitarbeiter „Sicherheit“ beizubringen. Stellen Sie stattdessen eine Sicherheits-UX bereit, die unsichtbar und eingebettet ist und sich an die Art und Weise anpasst, wie Menschen tatsächlich mit KI arbeiten.
Fazit
Vibe-Codierung wird nicht verschwinden. Code wird mit KI-Geschwindigkeit von Menschen innerhalb und außerhalb der Technik geschrieben. Wenn Sie keine Sicherheitsvorkehrungen treffen, bewegen Sie sich nicht nur schnell vorwärts, sondern verbreiten auch ebenso schnell Schwachstellen.
Die Stimmung ist gut. Vergessen Sie nur nicht die Sicherheitskontrolle.
Möchten Sie praktische Schritte erfahren? Lesen Sie die Sicherheitscheckliste von Vibe Coders.
Sichern Sie Ihre Software jetzt.
.avif)
