Is vibe coding always bad?

No — it's bad for production systems. For prototyping, exploring ideas, and learning, describing what you want and seeing AI generate it is genuinely useful. The problem is when prototyping code ships to production without review, security testing, or human understanding of its logic. Vibe coding as exploration is fine. Vibe coding as engineering is dangerous.

Is Claude Code part of the vibe coding problem?

Claude Code, like any AI coding tool, can be used responsibly or irresponsibly. What distinguishes Claude Code from pure vibe coding tools is its agentic workflow — it runs tests, analyzes errors, and iterates on solutions rather than just generating code once. But even Claude Code output should be reviewed by a developer who understands the codebase. The tool assists engineering; it doesn't replace it.

Should I stop using AI coding tools?

Absolutely not — the productivity gains are real for experienced developers. The correct response is governance, not abstinence. Review AI-generated code before committing. Run security scans on AI output. Understand the logic of what the AI generates, especially for authentication, authorization, and data handling. Use AI for the 80% of code that follows standard patterns, and write the critical 20% yourself.

How do I make AI-generated code more secure?

Three practices: (1) Include security requirements in your prompts — "ensure input validation on all user-facing fields, use parameterized queries for database access, implement CSRF protection." Specific security instructions produce more secure code. (2) Run automated security scanners (Snyk, SonarQube, Semgrep) on all AI-generated code before committing. (3) Require human code review for any AI-generated code that touches authentication, authorization, payment processing, or personal data handling.

What's the difference between vibe coding and agentic engineering?

Vibe coding: describe what you want → accept whatever the AI generates → ship it. Agentic engineering: define the task → AI generates a solution → AI runs tests → AI identifies failures → AI iterates → human reviews the result → human approves or redirects. The difference is the feedback loop and human oversight. Agentic engineering uses AI as a collaborator; vibe coding uses AI as a replacement. Disclosure: Some links in this article are affiliate links. We only recommend tools we've personally tested and use regularly. See our full disclosure policy.

Vibe Coding ist tot — Und Ihr Startup hat wahrscheinlich eine Sicherheitskatastrophe ausgeliefert

Karpathy prägte den Begriff. Karpathy begrub ihn. Die Daten zeigen, dass er damit richtig lag.

Andrej Karpathy — OpenAI-Mitbegründer und ehemaliger Tesla-KI-Leiter — prägte im Februar 2025 den Begriff „Vibe Coding" und beschrieb damit einen Entwicklungsstil, bei dem man sich „vollständig der Stimmung hingibt" und KI-generierten Code akzeptiert, ohne notwendigerweise jede Zeile zu verstehen. Das Collins Dictionary kürte ihn zum Wort des Jahres 2025. Die Tools explodierten: Cursor, Replit, Bolt, Lovable und Claude Code zogen Milliarden an Venture-Capital-Finanzierung an. GitHub berichtete, dass 46% aller heute eingereichten neuen Codes KI-generiert sind. In Y Combinators Winter-2025-Batch hatten 25% der Startups Codebasen, die zu 95% oder mehr KI-generiert waren. Die Stimmung war makellos.

Vierzehn Monate später ist der Kater angekommen. Und Karpathy selbst erklärte Vibe Coding für obsolet — nicht weil die Tools nicht funktionieren, sondern weil die Branche zu etwas Besserem und Schwererem übergegangen ist: agentic engineering, bei dem Entwickler KI-Agenten orchestrieren, anstatt deren Ausgabe blind zu akzeptieren. Die Daten erklären, warum der Wandel notwendig war.

Wichtigste Erkenntnis

Vibe Coding — zu beschreiben was man will und zu versenden was auch immer die KI generiert — verursacht katastrophale Sicherheits- und Zuverlässigkeitsprobleme. Die Zahlen: 40-62% des KI-generierten Codes enthält Sicherheitslücken. Cross-Site-Scripting-Schutz versagt in 86% der Fälle. 35 neue CVEs allein im März 2026 wurden direkt durch KI-generierten Code verursacht. Amazon hatte 4 kritische Servicestörungen in einer Woche durch KI-codierte Bereitstellungen. Die Geschwindigkeitsgewinne sind real. Der Preis sind Sicherheit, Wartbarkeit und technische Schulden, die sich unsichtbar anhäufen, bis die Produktion explodiert.

Die Sicherheitszahlen, über die niemand sprechen will

Die Daten zur Sicherheit von KI-generiertem Code sind eindeutig und alarmierend. Die Sicherheitsfirma Tenzai baute 15 identische Anwendungen mit fünf beliebten Vibe-Coding-Tools — Claude Code, OpenAI Codex, Cursor, Replit und Devin. Das Ergebnis: 69 Schwachstellen in diesen Anwendungen. Sechs waren kritisch — das bedeutet, sie könnten ausgenutzt werden, um unbefugten Zugang zu erlangen, Daten zu stehlen oder die Kontrolle über Systeme zu übernehmen. Dies war kein Test obskurer Grenzfälle; es waren Standard-Webanwendungen, die mit Standard-Prompts erstellt wurden.

Breitere Studien bestätigen das Muster. Zwischen 40% und 62% des KI-generierten Codes enthalten Sicherheitslücken, je nach Studie und Tool. KI versagt beim Schutz vor Cross-Site-Scripting (XSS) in 86% der Fälle — einer der grundlegendsten und bestverstandenen Web-Schwachstellen. Von KI verfasste Pull Requests zeigen 2,74-mal höhere Sicherheitsschwachstellenraten als von Menschen geschriebener Code. Allein im März 2026 wurden 35 neue CVEs (Common Vulnerabilities and Exposures) direkt KI-generiertem Code zugeschrieben — ein Anstieg von 6 im Januar. Die Trendlinie beschleunigt sich, da mehr KI-generierter Code die Produktion erreicht.

Der Amazon-Vorfall kristallisierte das Problem für Unternehmenszielgruppen heraus. Laut Financial Times wurde ein Amazon-Serviceausfall im Dezember durch einen KI-Coding-Bot verursacht. Das Unternehmen erlebte anschließend vier kritische Vorfälle in einer einzigen Woche. Ein internes Amazon-Memo räumte ein, dass Schutzmaßnahmen „noch nicht vollständig etabliert" seien — ein bemerkenswertes Eingeständnis für eine der weltweit anspruchsvollsten Ingenieurorganisationen. Amazon verlangt nun von leitenden Ingenieuren, dass sie alle KI-unterstützten Codeänderungen von Junior- und Mittelstufenentwicklern abzeichnen. Das Unternehmen, das Cloud Computing im großen Maßstab vorantrieb, war gezwungen, menschliche Torwächter hinzuzufügen, speziell weil KI-Code nicht vertrauenswürdig war.

Code-Qualitätsmetriken erzählen dieselbe Geschichte aus einem anderen Blickwinkel. Code Churn — die Rate, mit der Code geschrieben, eingereicht und dann umgeschrieben wird — ist um 41% gestiegen. Code-Duplikation hat sich vervierfacht. Das sorgfältige Refactoring, das Codebasen langfristig gesund hält, ist von 25% der geänderten Zeilen im Jahr 2021 auf unter 10% bis 2024 zusammengebrochen. Eine akademische Arbeit vom Januar 2026 argumentierte, dass Vibe Coding „stillschweigend Open Source tötet", indem es das Engagement der Entwickler mit den Wartungsverantwortlichen reduziert, die kritische Infrastruktur am Laufen halten. Wenn Entwickler aufhören, Code zu lesen, weil die KI ihn generiert, hören sie auch auf, zu den Community-Projekten beizutragen, von denen ihr Code abhängt.

Warum Geschwindigkeit ohne Verständnis Zeitbomben schafft

Das grundlegende Problem mit Vibe Coding ist nicht, dass KI schlechten Code generiert — es ist, dass Entwickler Code versenden, den sie nicht verstehen. Wenn ein Mensch eine Schwachstelle schreibt, versteht der Mensch den umgebenden Code gut genug, um das Problem während des Debuggings zu finden und zu beheben. Wenn KI eine Schwachstelle generiert, kann der Entwickler, der sie aufgefordert hat, das Problem oft nicht identifizieren, weil er die Logik des Codes nie verstanden hat. Der Bug wird zu einer Black Box innerhalb einer Black Box.

Dies schafft zusammengesetzte technische Schulden. Jedes Stück KI-generierten Codes, das der Entwickler nicht vollständig versteht, fügt eine weitere undurchsichtige Schicht zum System hinzu. Wenn diese Schichten interagieren — und das tun sie immer, schließlich — sind die resultierenden Bugs außerordentlich schwer zu diagnostizieren, weil niemand im Team ein mentales Modell davon hat, wie das System tatsächlich funktioniert. Sie wissen nur, was sie der KI gesagt haben, was sie wollten. Die Kluft zwischen Absicht und Implementierung wächst stillschweigend, bis die Produktion auf Weise versagt, die niemand erklären kann.

Das Credit-Burn-Problem verschlimmert dies. Eine Analyse aus App-Builder-Communities fand heraus, dass Lovable-Nutzer 400 Credits allein für Bug-Fixes verbrannten — das bedeutet, sie gaben erhebliche Ressourcen aus, um Code zu reparieren, den die KI falsch generiert hatte, wobei sie dieselbe KI für Reparaturversuche verwendeten und neue Probleme im Prozess schufen. Dieser Zyklus — generieren, Bug entdecken, KI zum Reparieren auffordern, neuen Bug einführen, wiederholen — ist die dunkle Seite der KI-unterstützten Entwicklung. Jede Runde verbrennt Credits oder Rechenzeit, und die Codebasis sammelt Schichten von Patches auf Patches an, die kein Mensch ganzheitlich überprüft hat.

📬 Ziehen Sie Nutzen daraus?

Eine umsetzbare KI-Einsicht pro Woche. Plus ein kostenloses Prompt-Paket bei der Anmeldung.

Kostenlos abonnieren →

Was Vibe Coding ersetzte (und was tatsächlich funktioniert)

Die Branche spaltete sich Anfang 2026 entlang einer vorhersehbaren Linie: Erfahrene Entwickler, die KI-Tools verwendeten, sahen echte Produktivitätssteigerungen von 10-30%, während unerfahrene Entwickler, die dieselben Tools verwendeten, mehr Output mit schlechterer Qualität produzierten. Der Unterschied liegt nicht im Tool — es ist, ob der Mensch versteht, was die KI generiert.

Erfahrene Ingenieure verwenden KI-Coding-Tools als Beschleuniger für gut verstandene Muster: CRUD-Operationen, API-Integrationen, Datenformatierung, Hilfsfunktionen, Boilerplate. Sie überprüfen die Ausgabe, verstehen ihre Auswirkungen und fangen Sicherheitsprobleme vor dem Commit ab. Die KI spart Zeit bei der Implementierung; der Mensch bietet Urteilsvermögen, Architektur und Qualitätssicherung. Das ist es, was Karpathy jetzt „agentic engineering" nennt — KI-Agenten orchestrieren, anstatt ihre Ausgabe unkritisch zu akzeptieren. Die 10-30%ige Produktivitätssteigerung für ordnungsgemäß verwaltetes KI-Coding ist real und nachhaltig.

Nicht-Entwickler, die versucht haben, Produktionssoftware durch reines Prompting zu erstellen — das ursprüngliche Vibe-Coding-Versprechen — stießen innerhalb von Wochen auf Wartungsmauern. Reddit-Daten aus Builder-Communities zeigen ein „Rückmigrations"-Muster: Nutzer, die No-Code-Plattformen für KI-Coding-Tools verließen, kehrten zu visuellen Buildern zurück, nachdem sie die Wartungslast von KI-generiertem Code erfahren hatten. Die Plattformen, die KI-Unterstützung mit strukturiertem visuellem Building kombinieren, entstehen als pragmatischer Mittelweg für Nicht-Entwickler.

Für Entwickler ist die praktische Schlussfolgerung klar: KI-Coding-Tools sind transformativ, wenn sie mit Ingenieururteil gepaart werden. Sie sind katastrophal, wenn sie als Ersatz für Ingenieururteil verwendet werden. Die einzige KI-Fähigkeit, die zählt gilt hier genauso wie überall anders: die Fähigkeit, KI-Output zu bewerten und Urteilsvermögen darüber auszuüben, ob er korrekt, sicher und für die Produktion geeignet ist. Der kostenlose Prompt Optimizer hilft dabei, spezifischere Coding-Prompts zu schreiben, die besseren Erstversuch-Output produzieren und die Iterationszyklen reduzieren, die Qualitätsprobleme verstärken. Für Ein-Klick-Optimierung innerhalb von ChatGPT, Claude und Gemini bringt TresPrompt es direkt in Ihren Workflow.

📬 Wollen Sie mehr davon?

Eine umsetzbare KI-Einsicht pro Woche. Plus ein kostenloses Prompt-Paket bei der Anmeldung.

Kostenlos abonnieren →

Häufig gestellte Fragen

Ist Vibe Coding immer schlecht?

Nein — es ist schlecht für Produktionssysteme. Für Prototyping, Ideenerkundung und Lernen ist es wirklich nützlich zu beschreiben, was man will, und zu sehen, wie KI es generiert. Das Problem entsteht, wenn Prototyping-Code ohne Review, Sicherheitstests oder menschliches Verständnis seiner Logik in die Produktion geht. Vibe Coding als Erkundung ist in Ordnung. Vibe Coding als Engineering ist gefährlich.

Ist Claude Code Teil des Vibe-Coding-Problems?

Claude Code kann, wie jedes KI-Coding-Tool, verantwortlich oder unverantwortlich verwendet werden. Was Claude Code von reinen Vibe-Coding-Tools unterscheidet, ist sein agentischer Workflow — es führt Tests durch, analysiert Fehler und iteriert Lösungen, anstatt nur einmal Code zu generieren. Aber auch Claude Code Output sollte von einem Entwickler überprüft werden, der die Codebasis versteht. Das Tool unterstützt Engineering; es ersetzt es nicht.

Sollte ich aufhören, KI-Coding-Tools zu verwenden?

Absolut nicht — die Produktivitätssteigerungen sind real für erfahrene Entwickler. Die richtige Antwort ist Governance, nicht Abstinenz. Überprüfen Sie KI-generierten Code vor dem Commit. Führen Sie Sicherheitsscans auf KI-Output durch. Verstehen Sie die Logik dessen, was die KI generiert, besonders für Authentifizierung, Autorisierung und Datenhandhabung. Verwenden Sie KI für die 80% des Codes, die Standardmustern folgen, und schreiben Sie die kritischen 20% selbst.

Wie mache ich KI-generierten Code sicherer?

Drei Praktiken: (1) Schließen Sie Sicherheitsanforderungen in Ihre Prompts ein — „Eingabevalidierung auf allen benutzerseitigen Feldern sicherstellen, parametrisierte Abfragen für Datenbankzugriff verwenden, CSRF-Schutz implementieren." Spezifische Sicherheitsanweisungen produzieren sichereren Code. (2) Führen Sie automatisierte Sicherheitsscanner (Snyk, SonarQube, Semgrep) auf allen KI-generierten Code vor dem Commit aus. (3) Verlangen Sie menschliche Code-Reviews für jeden KI-generierten Code, der Authentifizierung, Autorisierung, Zahlungsverarbeitung oder Verarbeitung persönlicher Daten berührt.

Was ist der Unterschied zwischen Vibe Coding und agentic engineering?

Vibe Coding: beschreiben was man will → akzeptieren was auch immer die KI generiert → versenden. Agentic engineering: Aufgabe definieren → KI generiert eine Lösung → KI führt Tests durch → KI identifiziert Fehler → KI iteriert → Mensch überprüft das Ergebnis → Mensch genehmigt oder leitet um. Der Unterschied ist die Feedback-Schleife und menschliche Aufsicht. Agentic engineering verwendet KI als Kollaborator; Vibe Coding verwendet KI als Ersatz.

Offenlegung: Einige Links in diesem Artikel sind Affiliate-Links. Wir empfehlen nur Tools, die wir persönlich getestet haben und regelmäßig verwenden. Siehe unsere vollständige Offenlegungsrichtlinie.