Is vibe coding always bad?

No — it's bad for production systems. For prototyping, exploring ideas, and learning, describing what you want and seeing AI generate it is genuinely useful. The problem is when prototyping code ships to production without review, security testing, or human understanding of its logic. Vibe coding as exploration is fine. Vibe coding as engineering is dangerous.

Is Claude Code part of the vibe coding problem?

Claude Code, like any AI coding tool, can be used responsibly or irresponsibly. What distinguishes Claude Code from pure vibe coding tools is its agentic workflow — it runs tests, analyzes errors, and iterates on solutions rather than just generating code once. But even Claude Code output should be reviewed by a developer who understands the codebase. The tool assists engineering; it doesn't replace it.

Should I stop using AI coding tools?

Absolutely not — the productivity gains are real for experienced developers. The correct response is governance, not abstinence. Review AI-generated code before committing. Run security scans on AI output. Understand the logic of what the AI generates, especially for authentication, authorization, and data handling. Use AI for the 80% of code that follows standard patterns, and write the critical 20% yourself.

How do I make AI-generated code more secure?

Three practices: (1) Include security requirements in your prompts — "ensure input validation on all user-facing fields, use parameterized queries for database access, implement CSRF protection." Specific security instructions produce more secure code. (2) Run automated security scanners (Snyk, SonarQube, Semgrep) on all AI-generated code before committing. (3) Require human code review for any AI-generated code that touches authentication, authorization, payment processing, or personal data handling.

What's the difference between vibe coding and agentic engineering?

Vibe coding: describe what you want → accept whatever the AI generates → ship it. Agentic engineering: define the task → AI generates a solution → AI runs tests → AI identifies failures → AI iterates → human reviews the result → human approves or redirects. The difference is the feedback loop and human oversight. Agentic engineering uses AI as a collaborator; vibe coding uses AI as a replacement. Disclosure: Some links in this article are affiliate links. We only recommend tools we've personally tested and use regularly. See our full disclosure policy.

バイブコーディングは死んだ — そしてあなたのスタートアップはおそらくセキュリティ災害を出荷した

カルパシーがそれを作り出した。カルパシーがそれを殺した。データは彼が正しかったことを示している。

Andrej Karpathy — OpenAIの共同創設者で元Tesla AI責任者 — が2025年2月に「vibe coding」という言葉を作り出し、「完全にvibeに身を委ね」、すべての行を必ずしも理解することなくAI生成コードを受け入れる開発スタイルを表現しました。Collins Dictionaryは2025年の年間最優秀単語に選びました。ツールが爆発的に普及しました：Cursor、Replit、Bolt、Lovable、Claude Codeがベンチャー資金で数十億ドルを調達。GitHubは今日コミットされる新しいコードの46%がAI生成であると報告しました。Y Combinator 2025年冬のバッチでは、スタートアップの25%がコードベースの95%以上をAIが生成していました。vibeは完璧でした。

14か月後、二日酔いがやってきました。そしてKarpathy自身がvibe codingを時代遅れと宣言しました — ツールが機能しないからではなく、業界がより良く、より困難なものに移行したからです：開発者がAIエージェントの出力を盲目的に受け入れるのではなく、それらを統制するagentic engineeringです。データがなぜこの変化が必要だったかを説明しています。

重要なポイント

Vibe coding — 欲しいものを説明してAIが生成したものを何でもシップする — は破滅的なセキュリティと信頼性の問題を生み出しています。数字：AI生成コードの40-62%にセキュリティ欠陥が含まれています。クロスサイトスクリプティング保護は86%の確率で失敗します。2026年3月だけで35の新しいCVEがAI生成コードによって直接引き起こされました。AmazonはAIコードデプロイメントによって1週間で4回の重大なサービス中断を経験しました。スピードの向上は現実です。代償はセキュリティ、保守性、そして本番環境が爆発するまで目に見えずに蓄積される技術的負債です。

誰も話したがらないセキュリティの数字

AI生成コードセキュリティに関するデータは明確で警戒すべきものです。セキュリティ会社Tenzaiは5つの人気vibe codingツール — Claude Code、OpenAI Codex、Cursor、Replit、Devin — を使用して15の同一アプリケーションを構築しました。結果：これらのアプリケーション全体で69の脆弱性。6つは重大 — 不正アクセス、データ窃取、システム制御を可能にする悪用が可能という意味です。これは曖昧なエッジケースのテストではありませんでした；標準的なプロンプトで構築された標準的なWebアプリケーションでした。

より広範囲な研究がこのパターンを確認しています。研究とツールによって異なりますが、AI生成コードの40%から62%にセキュリティ欠陥が含まれています。AIは最も基本的でよく理解されているWeb脆弱性の一つであるクロスサイトスクリプティング（XSS）から86%の確率で保護に失敗します。AI作成のプルリクエストは人間が書いたコードより2.74倍高いセキュリティ脆弱性率を示します。2026年3月だけで、35の新しいCVE（共通脆弱性識別子）がAI生成コードに直接起因しました — 1月の6から増加。より多くのAI生成コードが本番環境に到達するにつれて、トレンドラインは加速しています。

Amazonの事件は企業の聴衆に問題を明確にしました。Financial Timesによると、12月のAmazonサービス停止はAIコーディングボットによって引き起こされました。同社はその後1週間で4回の重大な事故を経験しました。内部のAmazonメモは安全対策が「まだ完全に確立されていない」ことを認めました — 世界で最も洗練されたエンジニアリング組織の一つにとって注目すべき認識です。AmazonはジュニアおよびミッドレベルエンジニアによるAI支援コード変更にシニアエンジニアのサインオフを要求するようになりました。大規模クラウドコンピューティングを先駆けた会社が、AIコードが信頼できないという理由で人間のゲートキーパーを追加することを余儀なくされました。

コード品質メトリクスは異なる角度から同じ話を語っています。コードチャーン — コードが書かれ、コミットされ、その後書き直される率 — は41%上昇しています。コードの重複は4倍に増加しました。時間をかけてコードベースを健全に保つ慎重なリファクタリングは、2021年の変更行の25%から2024年には10%未満に崩壊しました。2026年1月の学術論文は、vibe codingが開発者の重要なインフラストラクチャを維持するメンテナーとの関わりを減らすことで「静かにオープンソースを殺している」と論じました。AIがコードを生成するため開発者がコードを読まなくなると、彼らのコードが依存するコミュニティプロジェクトへの貢献も停止します。

理解なきスピードがなぜ時限爆弾を作るのか

vibe codingの根本的な問題は、AIが悪いコードを生成することではありません — 開発者が理解していないコードをシップすることです。人間が脆弱性を書いた場合、その人間は周囲のコードを十分理解しているため、デバッグ中に問題を見つけて修正できます。AIが脆弱性を生成した場合、それをプロンプトした開発者は、そもそもコードのロジックを理解していなかったため、問題を特定できないことが多いです。バグはブラックボックスの中のブラックボックスになります。

これは複合的な技術的負債を作り出します。開発者が完全に理解していないAI生成コードの各部分は、システムに別の不透明な層を追加します。これらの層が相互作用するとき — そして最終的には常に相互作用します — 結果として生じるバグは診断が極めて困難になります。なぜならチームの誰もシステムが実際にどのように動作するかの心的モデルを持っていないからです。彼らはAIに何を望んだかしか知りません。意図と実装の間のギャップは、本番環境が誰も説明できない方法で失敗するまで静かに拡大します。

クレジット消費問題がこれを悪化させます。アプリビルダーコミュニティからの分析によると、Lovableユーザーはバグ修正だけで400クレジットを消費しました — つまり、AIが間違って生成したコードを修正するために大きなリソースを費やし、同じAIを使って修正を試み、プロセスで新しい問題を生成しています。この循環 — 生成、バグ発見、AIに修正をプロンプト、新しいバグ導入、繰り返し — はAI支援開発の暗い側面です。各ラウンドはクレジットや計算時間を消費し、コードベースは人間が包括的にレビューしていないパッチの上のパッチの層を蓄積します。

📬 これから価値を得ていますか？

週に一つの実用的なAIインサイト。購読時に無料プロンプトパックも。

無料で購読 →

Vibe Codingを置き換えたもの（そして実際に機能するもの）

業界は2026年初頭に予測可能な線に沿って二極化しました：AIツールを使用する経験豊富な開発者は10-30%の真の生産性向上を見た一方で、同じツールを使用する経験の浅い開発者はより多くの出力をより悪い品質で生産しました。違いはツールではありません — 人間がAIが生成するものを理解するかどうかです。

経験豊富なエンジニアはAIコーディングツールをよく理解されたパターンのアクセラレーターとして使用します：CRUD操作、API統合、データフォーマット、ユーティリティ関数、ボイラープレート。彼らは出力をレビューし、その含意を理解し、コミット前にセキュリティ問題をキャッチします。AIは実装時間を節約し、人間は判断、アーキテクチャ、品質保証を提供します。これがKarpathyが現在「agentic engineering」と呼ぶものです — AIエージェントの出力を無批判に受け入れるのではなく、それらを統制すること。適切に管理されたAIコーディングの10-30%の生産性向上は現実的で持続可能です。

純粋なプロンプトを通じて本番ソフトウェアを構築しようとした非開発者 — 元のvibe codingの約束 — は数週間以内にメンテナンスの壁に突き当たりました。ビルダーコミュニティからのRedditデータは「逆移行」パターンを示しています：ノーコードプラットフォームからAIコーディングツールに移ったユーザーが、AI生成コードのメンテナンス負担を経験した後、ビジュアルビルダーに戻りました。AI支援と構造化されたビジュアルビルディングを組み合わせるプラットフォームが、非開発者にとって実用的な中間地点として浮上しています。

開発者にとって、実用的な要点は明確です：AIコーディングツールはエンジニアリング判断と組み合わせた時に変革的です。エンジニアリング判断の代替として使用された時には破滅的です。2026年に重要な唯一のAIスキルはここでも他の場所と同じくらい適用されます：AI出力を評価し、それが正しく、安全で、本番環境に適しているかどうかの判断を行う能力。無料のPrompt Optimizerはより具体的なコーディングプロンプトを書くのに役立ち、品質問題を複合化する反復サイクルを減らす、より良い初回試行出力を生成します。ChatGPT、Claude、Gemini内でのワンクリック最適化には、TresPromptがワークフローに直接それをもたらします。

📬 このようなコンテンツをもっと見たいですか？

週に一つの実用的なAIインサイト。購読時に無料プロンプトパックも。

無料で購読 →

よくある質問

Vibe codingは常に悪いのですか？

いいえ — 本番システムには悪いです。プロトタイピング、アイデアの探求、学習には、欲しいものを説明してAIがそれを生成するのを見ることは本当に有用です。問題は、プロトタイピングコードがレビュー、セキュリティテスト、またはそのロジックの人間の理解なしに本番環境にシップされる時です。探求としてのvibe codingは問題ありません。エンジニアリングとしてのvibe codingは危険です。

Claude Codeはvibe coding問題の一部ですか？

Claude Codeは、他のAIコーディングツールと同様に、責任を持って、または無責任に使用できます。Claude Codeを純粋なvibe codingツールと区別するのは、そのagenticワークフローです — コードを一度生成するだけでなく、テストを実行し、エラーを分析し、解決策を反復します。しかし、Claude Code出力でさえ、コードベースを理解する開発者によってレビューされるべきです。ツールはエンジニアリングを支援しますが、それを置き換えるものではありません。

AIコーディングツールの使用をやめるべきですか？

絶対にいけません — 経験豊富な開発者にとって生産性向上は現実です。正しい対応はガバナンスであり、禁欲ではありません。コミット前にAI生成コードをレビューしてください。AI出力でセキュリティスキャンを実行してください。特に認証、認可、データ処理について、AIが生成するもののロジックを理解してください。標準パターンに従うコードの80%にはAIを使用し、重要な20%は自分で書いてください。

AI生成コードをより安全にするにはどうすればよいですか？

3つの実践：（1）プロンプトにセキュリティ要件を含める — 「すべてのユーザー向けフィールドで入力検証を確保し、データベースアクセスにはパラメータ化クエリを使用し、CSRF保護を実装する。」具体的なセキュリティ指示はより安全なコードを生成します。（2）コミット前にすべてのAI生成コードで自動セキュリティスキャナー（Snyk、SonarQube、Semgrep）を実行する。（3）認証、認可、決済処理、または個人データ処理に触れるAI生成コードには人間のコードレビューを要求する。

Vibe codingとagentic engineeringの違いは何ですか？

Vibe coding：欲しいものを説明 → AIが生成したものを何でも受け入れ → シップする。Agentic engineering：タスクを定義 → AIが解決策を生成 → AIがテストを実行 → AIが失敗を特定 → AIが反復 → 人間が結果をレビュー → 人間が承認または方向転換。違いはフィードバックループと人間の監視です。Agentic engineeringはAIを協力者として使用し、vibe codingはAIを代替として使用します。

開示：この記事の一部のリンクはアフィリエイトリンクです。私たちは個人的にテストし、定期的に使用しているツールのみを推奨しています。完全な開示ポリシーをご覧ください。