Is vibe coding always bad?

No — it's bad for production systems. For prototyping, exploring ideas, and learning, describing what you want and seeing AI generate it is genuinely useful. The problem is when prototyping code ships to production without review, security testing, or human understanding of its logic. Vibe coding as exploration is fine. Vibe coding as engineering is dangerous.

Is Claude Code part of the vibe coding problem?

Claude Code, like any AI coding tool, can be used responsibly or irresponsibly. What distinguishes Claude Code from pure vibe coding tools is its agentic workflow — it runs tests, analyzes errors, and iterates on solutions rather than just generating code once. But even Claude Code output should be reviewed by a developer who understands the codebase. The tool assists engineering; it doesn't replace it.

Should I stop using AI coding tools?

Absolutely not — the productivity gains are real for experienced developers. The correct response is governance, not abstinence. Review AI-generated code before committing. Run security scans on AI output. Understand the logic of what the AI generates, especially for authentication, authorization, and data handling. Use AI for the 80% of code that follows standard patterns, and write the critical 20% yourself.

How do I make AI-generated code more secure?

Three practices: (1) Include security requirements in your prompts — "ensure input validation on all user-facing fields, use parameterized queries for database access, implement CSRF protection." Specific security instructions produce more secure code. (2) Run automated security scanners (Snyk, SonarQube, Semgrep) on all AI-generated code before committing. (3) Require human code review for any AI-generated code that touches authentication, authorization, payment processing, or personal data handling.

What's the difference between vibe coding and agentic engineering?

Vibe coding: describe what you want → accept whatever the AI generates → ship it. Agentic engineering: define the task → AI generates a solution → AI runs tests → AI identifies failures → AI iterates → human reviews the result → human approves or redirects. The difference is the feedback loop and human oversight. Agentic engineering uses AI as a collaborator; vibe coding uses AI as a replacement. Disclosure: Some links in this article are affiliate links. We only recommend tools we've personally tested and use regularly. See our full disclosure policy.

Il Vibe Coding È Morto — E La Tua Startup Ha Probabilmente Rilasciato Un Disastro Di Sicurezza

Karpathy lo ha coniato. Karpathy lo ha ucciso. I dati dicono che aveva ragione a farlo.

Andrej Karpathy — co-fondatore di OpenAI ed ex responsabile AI di Tesla — ha coniato il termine "vibe coding" nel febbraio 2025, descrivendo uno stile di sviluppo in cui "ti abbandoni completamente alle sensazioni," accettando il codice generato dall'AI senza necessariamente comprendere ogni riga. Il Collins Dictionary lo ha nominato Parola dell'Anno per il 2025. Gli strumenti sono esplosi: Cursor, Replit, Bolt, Lovable e Claude Code hanno attirato miliardi in finanziamenti di venture capital. GitHub ha riportato che il 46% di tutto il nuovo codice committato oggi è generato dall'AI. Nel batch Winter 2025 di Y Combinator, il 25% delle startup aveva codebase che erano al 95% o più generate dall'AI. L'atmosfera era immacolata.

Quattordici mesi dopo, è arrivata la sbornia. E Karpathy stesso ha dichiarato obsoleto il vibe coding — non perché gli strumenti non funzionano, ma perché l'industria si è spostata verso qualcosa di meglio e più difficile: l'ingegneria agentica, dove gli sviluppatori orchestrano agenti AI piuttosto che accettare ciecamente il loro output. I dati spiegano perché il cambiamento era necessario.

Punto Chiave

Il vibe coding — descrivere quello che vuoi e spedire qualsiasi cosa generi l'AI — sta producendo problemi catastrofici di sicurezza e affidabilità. I numeri: il 40-62% del codice generato dall'AI contiene falle di sicurezza. La protezione cross-site scripting fallisce l'86% delle volte. 35 nuovi CVE solo nel marzo 2026 sono stati causati direttamente da codice generato dall'AI. Amazon ha avuto 4 interruzioni critiche del servizio in una settimana a causa di deployment con codice AI. I guadagni di velocità sono reali. Il costo è sicurezza, manutenibilità e debito tecnico che si accumula invisibilmente finché la produzione non esplode.

I Numeri sulla Sicurezza di cui Nessuno Vuole Parlare

I dati sulla sicurezza del codice generato dall'AI sono inequivocabili e allarmanti. L'azienda di sicurezza Tenzai ha costruito 15 applicazioni identiche usando cinque popolari strumenti di vibe coding — Claude Code, OpenAI Codex, Cursor, Replit e Devin. Il risultato: 69 vulnerabilità attraverso quelle applicazioni. Sei erano critiche — il che significa che potevano essere sfruttate per ottenere accesso non autorizzato, rubare dati o prendere controllo dei sistemi. Non si trattava di testare casi limite oscuri; erano applicazioni web standard costruite con prompt standard.

Studi più ampi confermano il pattern. Tra il 40% e il 62% del codice generato dall'AI contiene falle di sicurezza, a seconda dello studio e dello strumento. L'AI fallisce nel proteggere contro il cross-site scripting (XSS) l'86% delle volte — una delle vulnerabilità web più basilari e ben comprese. Le pull request scritte dall'AI mostrano tassi di vulnerabilità di sicurezza 2,74 volte più alti rispetto al codice scritto da umani. Solo nel marzo 2026, 35 nuovi CVE (Common Vulnerabilities and Exposures) sono stati direttamente attribuiti al codice generato dall'AI — rispetto ai 6 di gennaio. La linea di tendenza sta accelerando mentre più codice generato dall'AI raggiunge la produzione.

L'incidente Amazon ha cristallizzato il problema per il pubblico enterprise. Secondo il Financial Times, un'interruzione del servizio Amazon a dicembre è stata causata da un bot di codifica AI. L'azienda ha successivamente sperimentato quattro incidenti critici in una singola settimana. Un memo interno di Amazon ha riconosciuto che le salvaguardie "non sono ancora completamente stabilite" — un'ammissione notevole per una delle organizzazioni di ingegneria più sofisticate al mondo. Amazon ora richiede che ingegneri senior approvino qualsiasi cambiamento di codice assistito dall'AI fatto da ingegneri junior e di livello medio. L'azienda che ha pionierizzato il cloud computing su scala è stata costretta ad aggiungere guardiani umani specificamente perché il codice AI non poteva essere fidato.

Le metriche di qualità del codice raccontano la stessa storia da un angolo diverso. Il code churn — il tasso al quale il codice viene scritto, committato e poi riscritto — è aumentato del 41%. La duplicazione del codice è aumentata di quattro volte. Il refactoring accurato che mantiene sane le codebase nel tempo è crollato dal 25% delle righe cambiate nel 2021 a meno del 10% entro il 2024. Un paper accademico del gennaio 2026 ha argomentato che il vibe coding sta "uccidendo silenziosamente l'open source" riducendo il coinvolgimento degli sviluppatori con i manutentori che tengono in funzione l'infrastruttura critica. Quando gli sviluppatori smettono di leggere il codice perché lo genera l'AI, smettono anche di contribuire ai progetti della comunità da cui il loro codice dipende.

Perché la Velocità Senza Comprensione Crea Bombe a Orologeria

Il problema fondamentale con il vibe coding non è che l'AI genera codice cattivo — è che gli sviluppatori spediscono codice che non comprendono. Quando un umano scrive una vulnerabilità, l'umano comprende il codice circostante abbastanza bene da trovare e correggere il problema durante il debugging. Quando l'AI genera una vulnerabilità, lo sviluppatore che l'ha richiesta spesso non può identificare il problema perché non ha mai compreso la logica del codice in primo luogo. Il bug diventa una scatola nera dentro una scatola nera.

Questo crea debito tecnico composto. Ogni pezzo di codice generato dall'AI che lo sviluppatore non comprende completamente aggiunge un altro strato opaco al sistema. Quando questi strati interagiscono — e lo fanno sempre, alla fine — i bug risultanti sono straordinariamente difficili da diagnosticare perché nessuno nel team ha un modello mentale di come il sistema funzioni realmente. Sanno solo quello che hanno detto all'AI che volevano. Il divario tra intenzione e implementazione cresce silenziosamente finché la produzione non fallisce in modi che nessuno può spiegare.

Il problema del consumo di crediti peggiora la situazione. Un'analisi dalle comunità di app builder ha trovato che gli utenti Lovable hanno bruciato 400 crediti solo per correggere bug — il che significa che hanno speso risorse significative per correggere codice che l'AI ha generato incorrettamente, usando la stessa AI per tentare correzioni, generando nuovi problemi nel processo. Questo ciclo — genera, scopri bug, chiedi all'AI di correggere, introduci nuovo bug, ripeti — è il lato oscuro dello sviluppo assistito dall'AI. Ogni round brucia crediti o tempo di calcolo, e la codebase accumula strati di patch sopra patch che nessun umano ha revisionato olisticamente.

📬 Stai trovando valore in questo?

Un insight azionabile sull'AI a settimana. Più un pacchetto gratuito di prompt quando ti iscrivi.

Iscriviti gratis →

Cosa Ha Sostituito il Vibe Coding (E Cosa Funziona Davvero)

L'industria si è biforcata all'inizio del 2026 lungo una linea prevedibile: sviluppatori esperti che usano strumenti AI hanno visto guadagni genuini di produttività del 10-30%, mentre sviluppatori inesperti che usano gli stessi strumenti hanno prodotto più output con qualità peggiore. La differenza non è lo strumento — è se l'umano comprende quello che l'AI genera.

Gli ingegneri esperti usano gli strumenti di codifica AI come acceleratori per pattern ben compresi: operazioni CRUD, integrazioni API, formattazione dati, funzioni di utilità, boilerplate. Revisionano l'output, comprendono le sue implicazioni e catturano problemi di sicurezza prima di committare. L'AI fa risparmiare tempo sull'implementazione; l'umano fornisce giudizio, architettura e assicurazione qualità. Questo è quello che Karpathy ora chiama "ingegneria agentica" — orchestrare agenti AI piuttosto che accettare il loro output acriticamente. Il miglioramento di produttività del 10-30% per la codifica AI governata correttamente è reale e sostenibile.

I non-sviluppatori che hanno provato a costruire software di produzione attraverso prompt puri — la promessa originale del vibe coding — hanno colpito muri di manutenzione nel giro di settimane. I dati Reddit dalle comunità di builder mostrano un pattern di "migrazione inversa": utenti che hanno lasciato piattaforme no-code per strumenti di codifica AI sono tornati ai builder visuali dopo aver sperimentato il carico di manutenzione del codice generato dall'AI. Le piattaforme che combinano assistenza AI con building visuale strutturato stanno emergendo come il terreno di mezzo pragmatico per i non-sviluppatori.

Per gli sviluppatori, il takeaway pratico è chiaro: gli strumenti di codifica AI sono trasformativi quando abbinati al giudizio ingegneristico. Sono disastrosi quando usati come sostituto del giudizio ingegneristico. La sola abilità AI che conta si applica qui tanto quanto altrove: la capacità di valutare l'output dell'AI ed esercitare giudizio su se sia corretto, sicuro e appropriato per la produzione. L'Ottimizzatore di Prompt gratuito aiuta a scrivere prompt di codifica più specifici che producono output migliore al primo tentativo, riducendo i cicli di iterazione che aggravano i problemi di qualità. Per ottimizzazione con un click dentro ChatGPT, Claude e Gemini, TresPrompt lo porta direttamente nel tuo workflow.

📬 Vuoi altro come questo?

Un insight azionabile sull'AI a settimana. Più un pacchetto gratuito di prompt quando ti iscrivi.

Iscriviti gratis →

Domande Frequenti

Il vibe coding è sempre sbagliato?

No — è sbagliato per i sistemi di produzione. Per prototipare, esplorare idee e imparare, descrivere quello che vuoi e vedere l'AI generarlo è genuinamente utile. Il problema è quando il codice di prototipazione finisce in produzione senza revisione, test di sicurezza o comprensione umana della sua logica. Il vibe coding come esplorazione va bene. Il vibe coding come ingegneria è pericoloso.

Claude Code fa parte del problema del vibe coding?

Claude Code, come qualsiasi strumento di codifica AI, può essere usato responsabilmente o irresponsabilmente. Quello che distingue Claude Code dai puri strumenti di vibe coding è il suo workflow agentico — esegue test, analizza errori e itera sulle soluzioni piuttosto che generare solo codice una volta. Ma anche l'output di Claude Code dovrebbe essere revisionato da uno sviluppatore che comprende la codebase. Lo strumento assiste l'ingegneria; non la sostituisce.

Dovrei smettere di usare strumenti di codifica AI?

Assolutamente no — i guadagni di produttività sono reali per sviluppatori esperti. La risposta corretta è governance, non astinenza. Revisiona il codice generato dall'AI prima di committare. Esegui scansioni di sicurezza sull'output dell'AI. Comprendi la logica di quello che l'AI genera, specialmente per autenticazione, autorizzazione e gestione dati. Usa l'AI per l'80% del codice che segue pattern standard, e scrivi il 20% critico tu stesso.

Come posso rendere più sicuro il codice generato dall'AI?

Tre pratiche: (1) Includi requisiti di sicurezza nei tuoi prompt — "assicura validazione input su tutti i campi rivolti all'utente, usa query parametrizzate per accesso database, implementa protezione CSRF." Istruzioni di sicurezza specifiche producono codice più sicuro. (2) Esegui scanner di sicurezza automatizzati (Snyk, SonarQube, Semgrep) su tutto il codice generato dall'AI prima di committare. (3) Richiedi revisione umana del codice per qualsiasi codice generato dall'AI che tocchi autenticazione, autorizzazione, processamento pagamenti o gestione dati personali.

Qual è la differenza tra vibe coding e ingegneria agentica?

Vibe coding: descrivi quello che vuoi → accetta qualsiasi cosa generi l'AI → spediscilo. Ingegneria agentica: definisci il compito → l'AI genera una soluzione → l'AI esegue test → l'AI identifica fallimenti → l'AI itera → l'umano revisiona il risultato → l'umano approva o redirige. La differenza è il ciclo di feedback e la supervisione umana. L'ingegneria agentica usa l'AI come collaboratore; il vibe coding usa l'AI come sostituto.

Dichiarazione: Alcuni link in questo articolo sono link affiliati. Raccomandiamo solo strumenti che abbiamo testato personalmente e usiamo regolarmente. Vedi la nostra politica di divulgazione completa.