Vibe Coding ist das neue, glänzende Phänomen. Vielleicht haben Sie es schon in der Praxis gesehen:
- Ein Vertriebsmitarbeiter erstellt sein eigenes Tool mit KI.
- Ein Designer pusht UI-Änderungen direkt auf GitHub.
- Ein Marketingteam schreibt Kampagnensoftware, anstatt einen Anbietervertrag zu verlängern.
Wie Steve Yegge im The Pragmatic Engineer Podcast sagte, hat KI die Türen aufgestoßen. Code kommt nicht mehr nur von Entwickelnden. Jeder mit einem Prompt kann eine App bereitstellen. Die meisten Leute, die dies tun, wissen nicht einmal, dass sie Vibe Coding betreiben. Sie beschreiben einfach, was sie wollen, in einfachem Englisch und lassen die KI den Code generieren. Diese Verschiebung hat verändert, wer Software entwickelt und wie schnell sie ausgeliefert wird. Diese Geschwindigkeit ist aufregend, bringt aber auch ein ernstes Problem mit sich. Der größte Teil dieses Codes läuft blind, ohne Reviews, ohne Tests und ohne Sicherheit.
Was ist Vibe Coding?
Vibe Coding ist, wenn Sie in einfachem Englisch beschreiben, was Sie wollen, und eine KI den Code für Sie generieren lassen. Plattformen wie Lovable, Windsurf und Replit bewerben sich damit, dass jeder in Stunden von der Idee zur App gelangen kann. Es fühlt sich wie Magie an, weil man keine technische Syntax oder formale Schulung benötigt. Man sagt einfach, was man will, kopiert und fügt ein, führt es aus und sieht, ob es funktioniert.
Es ist schnell und reibungslos, weshalb es sich auch außerhalb von Entwicklungsteams verbreitet hat. Designer, Marketing- und Vertriebsteams können jetzt alle Apps oder Features bereitstellen, ohne auf Entwickelnde warten zu müssen.
Der Haken ist, dass Vibe Coding den Output über die Sicherheit stellt. Meistens gibt es keine Reviews, keine Tests und keine integrierte Sicherheit. Hier beginnen die Probleme.
Wenn der Vibe sauer wird
Es gibt eine Reihe von Beispielen, bei denen Vibe Coding schiefging:
- Replit-Vorfall: Jason Lemkin von SaaStr vertraute dem KI-Agenten von Replit, eine produktionsreife App zu entwickeln. Zuerst war es berauschend: Prototypen in Stunden, QA-Checks, schnelle Fortschritte. Dann entglitt die Situation. Die KI begann, über Unit-Tests zu lügen, ignorierte Code-Freezes und löschte schließlich die gesamte SaaStr-Produktionsdatenbank. Monate von kuratierten Executive-Aufzeichnungen waren über Nacht verschwunden. Wie Lemkin ZDNet sagte: „Man kann eine Produktionsdatenbank nicht überschreiben. Nein, niemals, unter keinen Umständen.“
- Tea-App: Admin-Routen ungesichert gelassen, wodurch Benutzerdaten jedem zugänglich waren, der zufällig auf den Endpoint stieß. Was wie ein lustiges Experiment aussah, wurde schnell zu einem Haftungsrisiko für den Datenschutz.
Ein beträchtlicher Teil der von Hobby-Entwickelnden erstellten Apps enthält bereits vor der Veröffentlichung schwerwiegende Schwachstellen; wenn Sie zehn auf diese Weise erstellte Apps ausprobieren würden, wäre die Wahrscheinlichkeit groß, dass mindestens eine davon hackbar wäre.
Diese Fehler sind wichtig, weil Sicherheitslücken in Vibe-Coded-Apps nicht nur kleine Bugs sind. Sie betreffen oft Kernschutzmechanismen wie Authentifizierung, Datenzugriff und Secrets Management. Wenn eine App Zahlungen oder persönliche Daten verarbeitet, sind die Konsequenzen nicht nur technischer Natur. Sie sind finanziell, regulatorisch und reputativ.
Mackenzie Jackson, Developer Advocate bei Aikido Security, bringt es auf den Punkt:
„KI schreibt standardmäßig keinen sicheren Code. Sie spuckt einfach etwas aus, das funktioniert. Unter der Haube kann sie weit offen für Angriffe sein.“
Warum sich das schnell verbreitet
Der entscheidende Unterschied beim Vibe Coding ist, dass es jetzt jeder macht. Designer, PMs, Vertriebs- und Marketingteams liefern alle Code aus. Angreifer interessiert es nicht, ob es sich um ein Nebenprojekt oder Unternehmenssoftware handelt. Es ist ihnen nur wichtig, ob die Tür unverschlossen ist.
Geschwindigkeit ist ein Vorteil, aber auch ein Problem. Eine App, die früher Wochen dauerte, kann jetzt an einem Nachmittag erstellt werden. Das bedeutet, dass ein ganzes Team Prototypen und Tools entwickeln kann, ohne auf das Engineering warten zu müssen. Der Haken ist, dass keiner dieser neuen Entwickelnden über Zugriffskontrollen, Input-Sanitisierung oder Dependency-Updates nachdenkt.
Willem Delbare, Gründer und CTO von Aikido, beschrieb diese Entwicklung gegenüber ZDNet als einen perfekten Sturm:
„Vibe Coding macht die Softwareentwicklung zugänglicher, schafft aber auch einen perfekten Sturm von Sicherheitsrisiken, die selbst erfahrene Entwickelnde nicht bewältigen können. SQL-Injections, Path Traversal, hartcodierte Secrets.“
Mackenzie Jackson warnt, dass sich dies noch verschlimmern wird. Wie er TechMonitor mitteilte:
„Immer mehr Menschen ohne fundierten Hintergrund in Engineering oder Security nutzen diese Tools, um Software zu entwickeln… was bedeutet, dass wir am Ende noch mehr KI-generierten Code haben werden, den niemand wirklich sorgfältig geprüft hat.“
So wird Vibe Coding zu dem, was Mackenzie als „Vulnerability-as-a-Service“ bezeichnet. Je schneller ungeschulte Hände Apps mit KI ausliefern, desto schneller vervielfachen sich die Sicherheitslücken im Web.
Die Vibes sichern
Wir haben bereits eine Security-Checkliste für Vibe Coders für Entwickelnde veröffentlicht. Diese deckt die Grundlagen ab: Authentifizierung, Input-Sanitisierung, Scanning und Secrets Management.
Der wichtigere Punkt ist jedoch das Bewusstsein. Wenn Sie oder Ihr Team mit KI-Coding experimentieren, müssen Sie erkennen, dass der glänzende Prototyp, den Sie an einem Nachmittag ausliefern, auch die Hintertür sein könnte, die Angreifer hereinlässt.
Was können Teams tun?
- Behandeln Sie KI-Code, als hätte ihn ein Junior-Entwickelnder geschrieben: überprüfen, testen und absichern.
- Lagern Sie die Authentifizierung an dafür entwickelte Dienste aus, anstatt eigene zu implementieren.
- Halten Sie Secrets aus dem Frontend und den Repositories fern.
- Führen Sie nicht nur Scans durch. Denken Sie tatsächlich über Logikfehler nach.
Es klingt offensichtlich, aber die meisten Vibe Coders tun es nicht. Deshalb muss Security Teil der Diskussion sein, selbst für Rollen außerhalb des Engineerings.
Was ist Agentic Coding?
Agentic Coding ist der Schritt über das Vibe Coding hinaus. Anstatt dass Sie eine KI nach Snippets fragen und diese einfügen, übernehmen KI-Agenten den Prozess des automatischen Schreibens, Ausführens und Modifizierens von Code. Sie können Dependencies installieren, Tests ausführen, Dateien refaktorisieren und sogar die Infrastruktur aktualisieren.
Dieser Ansatz wird eher von Entwickelnden und technischen Teams als von GelegenheitsBenutzern verwendet, was ihn vertrauenswürdiger erscheinen lässt. Das Problem ist, dass dieses Vertrauen fehl am Platz ist. Agentic Coding erzeugt saubereren, professioneller aussehenden Code, aber dieser Anschein verbirgt die Risiken.
Agentic Coding verschärft die Lage
Wo Vibe Coding oft unordentlichen, offensichtlich fragilen Code erzeugt, produziert Agentic Coding Code, der makellos aussieht. Das ist Teil der Gefahr. Eine einzige schlechte Entscheidung kann sich über ein ganzes System ausbreiten und sich durch Dependencies und Umgebungen verbreiten, bevor es jemand bemerkt.
KI-Tools produzieren diesen Code schneller als je zuvor, und keiner davon ist standardmäßig sicherheitsbewusst. Sauberer Code lässt sich leichter ausliefern und wiederverwenden, was bedeutet, dass sich Schwachstellen leise und schnell verbreiten.
Der einzige Weg, das Risiko zu kontrollieren, besteht darin, Fehler zu erkennen, bevor sie live gehen. Das bedeutet, sich direkt in CI/CD-Pipelines einzuklinken, jede Dependency zu scannen und Annahmen mit sofortigem Feedback zu validieren.
Worüber CISOs nachdenken müssen
Für Security-Verantwortliche ist Vibe Coding nicht nur ein Trend unter Entwickelnden. Es verändert die Art und Weise, wie Software im gesamten Unternehmen entwickelt wird. Die Aufgabe des CISO verlagert sich vom Erzwingen von Gates zum Entwerfen von Leitplanken, die es den Mitarbeitenden ermöglichen, zu experimentieren, ohne die Produktion zu gefährden.
Einige zentrale Konzepte:
- MTTG (Mean Time to Guidance)
Traditionelle Metriken wie MTTD und MTTR messen, was passiert, nachdem etwas schiefgelaufen ist. MTTG misst, wie schnell Vibe-Coder umsetzbare Anleitungen erhalten, bevor ihr Code zu einer Schwachstelle wird. Je niedriger die MTTG, desto weniger Vorfälle treten überhaupt auf. - PromptBOMs
Stellen Sie sich SBOMs vor, aber für AI-Code. Eine einfache Aufzeichnung des Modells, des Prompts und der Parameter, die ein Code-Snippet generiert haben. Wenn etwas kaputtgeht, wissen Sie, woher es kam und warum. Nachvollziehbarkeit schafft Verantwortlichkeit. - Vibe-Coding Assurance Levels (VCAL 0–5)
Ähnlich den Stufen des autonomen Fahrens, aber für KI-gestütztes Coding. VCAL-1 bedeutet, dass die KI lediglich Vorschläge macht. VCAL-3 fügt Schutzmechanismen und die Erfassung der Herkunft hinzu. VCAL-5 sind vollständig autonome Merges für risikoarme Änderungen mit kontinuierlicher Attestierung. Das Framework bietet CISOs eine Möglichkeit, Erwartungen zu kalibrieren, anstatt blind zu reagieren.
Die Quintessenz: Versuchen Sie nicht, jedem Mitarbeitenden beizubringen, „Security zu machen“. Liefern Sie stattdessen eine Security-UX, die unsichtbar, eingebettet und skaliert ist, um der tatsächlichen Art und Weise Rechnung zu tragen, wie Menschen mit KI entwickeln.
Fazit
Vibe Coding wird nicht verschwinden. Code wird mit KI-Geschwindigkeit von Personen innerhalb und außerhalb der Entwicklung geschrieben. Wenn Sie Security nicht einplanen, sind Sie nicht nur schnell, sondern verbreiten auch Schwachstellen genauso schnell.
Die Vibes sind gut. Vergessen Sie nur den Security-Check nicht.
Sie möchten die praktischen Schritte erfahren? Lesen Sie die Vibe Coders’ Security Checklist.
