Is vibe coding always bad?

No — it's bad for production systems. For prototyping, exploring ideas, and learning, describing what you want and seeing AI generate it is genuinely useful. The problem is when prototyping code ships to production without review, security testing, or human understanding of its logic. Vibe coding as exploration is fine. Vibe coding as engineering is dangerous.

Is Claude Code part of the vibe coding problem?

Claude Code, like any AI coding tool, can be used responsibly or irresponsibly. What distinguishes Claude Code from pure vibe coding tools is its agentic workflow — it runs tests, analyzes errors, and iterates on solutions rather than just generating code once. But even Claude Code output should be reviewed by a developer who understands the codebase. The tool assists engineering; it doesn't replace it.

Should I stop using AI coding tools?

Absolutely not — the productivity gains are real for experienced developers. The correct response is governance, not abstinence. Review AI-generated code before committing. Run security scans on AI output. Understand the logic of what the AI generates, especially for authentication, authorization, and data handling. Use AI for the 80% of code that follows standard patterns, and write the critical 20% yourself.

How do I make AI-generated code more secure?

Three practices: (1) Include security requirements in your prompts — "ensure input validation on all user-facing fields, use parameterized queries for database access, implement CSRF protection." Specific security instructions produce more secure code. (2) Run automated security scanners (Snyk, SonarQube, Semgrep) on all AI-generated code before committing. (3) Require human code review for any AI-generated code that touches authentication, authorization, payment processing, or personal data handling.

What's the difference between vibe coding and agentic engineering?

Vibe coding: describe what you want → accept whatever the AI generates → ship it. Agentic engineering: define the task → AI generates a solution → AI runs tests → AI identifies failures → AI iterates → human reviews the result → human approves or redirects. The difference is the feedback loop and human oversight. Agentic engineering uses AI as a collaborator; vibe coding uses AI as a replacement. Disclosure: Some links in this article are affiliate links. We only recommend tools we've personally tested and use regularly. See our full disclosure policy.

Vibe Coding Is Dood — En Jouw Startup Heeft Waarschijnlijk Een Beveiligingsramp Uitgebracht

Andrej Karpathy — medeoprichter van OpenAI en voormalig Tesla AI-leider — bedacht "vibe coding" in februari 2025, waarbij hij een ontwikkelstijl beschreef waarin je "volledig toegeeft aan de vibes," waarbij je AI-gegenereerde code accepteert zonder elke regel noodzakelijkerwijs te begrijpen. Collins Dictionary noemde het het Woord van het Jaar voor 2025. De tools explodeerden: Cursor, Replit, Bolt, Lovable, en Claude Code trokken miljarden aan venture funding aan. GitHub meldde dat 46% van alle nieuwe code die vandaag wordt gecommit AI-gegenereerd is. In Y Combinator's Winter 2025 batch had 25% van de startups codebases die voor 95% of meer AI-gegenereerd waren. De vibe was onberispelijk.

Veertien maanden later is de kater gearriveerd. En Karpathy zelf verklaarde vibe coding achterhaald — niet omdat de tools niet werken, maar omdat de industrie overging naar iets beters en moeilijkers: agentic engineering, waarbij ontwikkelaars AI-agenten orkestreren in plaats van hun output blind te accepteren. De data verklaart waarom de verschuiving noodzakelijk was.

Belangrijkste Inzicht

Vibe coding — beschrijven wat je wilt en verzenden wat AI genereert — veroorzaakt catastrofale beveiligings- en betrouwbaarheidsproblemen. De cijfers: 40-62% van AI-gegenereerde code bevat beveiligingsfouten. Cross-site scripting bescherming faalt 86% van de tijd. 35 nieuwe CVE's in maart 2026 alleen al werden direct veroorzaakt door AI-gegenereerde code. Amazon had 4 kritieke serviceverstoring in één week door AI-gecodeerde implementaties. De snelheidswinsten zijn reëel. De kosten zijn beveiliging, onderhoudbaarheid, en technische schuld die onzichtbaar samengesteld wordt totdat productie explodeert.

De Beveiligingscijfers Waar Niemand Over Wil Praten

De data over AI-gegenereerde code beveiliging is ondubbelzinnig en alarmerend. Beveiligingsfirma Tenzai bouwde 15 identieke applicaties met vijf populaire vibe coding tools — Claude Code, OpenAI Codex, Cursor, Replit, en Devin. Het resultaat: 69 kwetsbaarheden over die applicaties. Zes waren kritiek — wat betekent dat ze uitgebuit konden worden om ongeautoriseerde toegang te verkrijgen, data te stelen, of controle over systemen over te nemen. Dit was geen testen van obscure randgevallen; dit waren standaard webapplicaties gebouwd met standaard prompts.

Bredere studies bevestigen het patroon. Tussen 40% en 62% van AI-gegenereerde code bevat beveiligingsfouten, afhankelijk van de studie en de tool. AI faalt om te beschermen tegen cross-site scripting (XSS) 86% van de tijd — een van de meest basale en goed begrepen webkwetsbaarheden. AI-geschreven pull requests tonen 2,74 keer hogere beveiligingskwetsbaarheidspercentages dan door mensen geschreven code. In maart 2026 alleen al werden 35 nieuwe CVE's (Common Vulnerabilities and Exposures) direct toegeschreven aan AI-gegenereerde code — omhoog van 6 in januari. De trendlijn versnelt naarmate meer AI-gegenereerde code productie bereikt.

Het Amazon-incident kristalliseerde het probleem voor enterprise-doelgroepen. Volgens de Financial Times werd een Amazon-servicestoring in december veroorzaakt door een AI-codeerbot. Het bedrijf ervoer vervolgens vier kritieke incidenten in één enkele week. Een interne Amazon-memo erkende dat waarborgen "nog niet volledig zijn vastgesteld" — een opmerkelijke erkenning voor een van 's werelds meest geavanceerde engineeringorganisaties. Amazon vereist nu dat senior engineers tekenen voor alle AI-ondersteunde codewijzigingen gemaakt door junior en mid-level engineers. Het bedrijf dat cloud computing op schaal pionierde werd gedwongen menselijke poortwachters toe te voegen specifiek omdat AI-code niet vertrouwd kon worden.

Codekwaliteitsmetrieken vertellen hetzelfde verhaal vanuit een andere hoek. Code churn — de snelheid waarmee code wordt geschreven, gecommit, en dan herschreven — is met 41% gestegen. Code duplicatie is verviervoudigd. De zorgvuldige refactoring die codebases gezond houdt over tijd is ingestort van 25% van gewijzigde regels in 2021 naar onder de 10% tegen 2024. Een academisch paper uit januari 2026 beweerde dat vibe coding "stilletjes open source doodt" door ontwikkelaarsbetrokkenheid te verminderen met de beheerders die kritieke infrastructuur draaiende houden. Wanneer ontwikkelaars stoppen met het lezen van code omdat de AI het genereert, stoppen ze ook met bijdragen aan de community-projecten waar hun code van afhangt.

Waarom Snelheid Zonder Begrip Tijdbommen Creëert

Het fundamentele probleem met vibe coding is niet dat AI slechte code genereert — het is dat ontwikkelaars code verzenden die ze niet begrijpen. Wanneer een mens een kwetsbaarheid schrijft, begrijpt de mens de omliggende code goed genoeg om het probleem te vinden en op te lossen tijdens debugging. Wanneer AI een kwetsbaarheid genereert, kan de ontwikkelaar die het prompte vaak het probleem niet identificeren omdat ze de logica van de code nooit begrepen hebben in de eerste plaats. De bug wordt een black box binnen een black box.

Dit creëert samengestelde technische schuld. Elk stukje AI-gegenereerde code dat de ontwikkelaar niet volledig begrijpt voegt een andere ondoorzichtige laag toe aan het systeem. Wanneer deze lagen interacteren — en dat doen ze altijd, uiteindelijk — zijn de resulterende bugs buitengewoon moeilijk te diagnosticeren omdat niemand in het team een mentaal model heeft van hoe het systeem daadwerkelijk werkt. Ze weten alleen wat ze de AI vertelden dat ze wilden. De kloof tussen intentie en implementatie groeit stilletjes totdat productie faalt op manieren die niemand kan uitleggen.

Het credit burn-probleem maakt dit erger. Een analyse van app builder-communities vond dat Lovable-gebruikers 400 credits verbrandden aan bugfixing alleen — wat betekent dat ze significante resources besteedden aan het repareren van code die de AI verkeerd genereerde, gebruikmakend van dezelfde AI om fixes te proberen, nieuwe problemen genererend in het proces. Deze cyclus — genereren, bug ontdekken, AI prompen om te fixen, nieuwe bug introduceren, herhalen — is de donkere kant van AI-ondersteunde ontwikkeling. Elke ronde verbrandt credits of computetijd, en de codebase accumuleert lagen patches bovenop patches die geen mens holistisch heeft beoordeeld.

📬 Haal je waarde uit dit artikel?

Eén bruikbaar AI-inzicht per week. Plus een gratis prompt pack wanneer je je abonneert.

Gratis abonneren →

Wat Vibe Coding Verving (En Wat Daadwerkelijk Werkt)

De industrie splitste zich begin 2026 langs een voorspelbare lijn: ervaren ontwikkelaars die AI-tools gebruikten zagen echte productiviteitswinsten van 10-30%, terwijl onervaren ontwikkelaars die dezelfde tools gebruikten meer output produceerden met slechtere kwaliteit. Het verschil is niet de tool — het is of de mens begrijpt wat de AI genereert.

Ervaren engineers gebruiken AI-codeertools als versnellers voor goed begrepen patronen: CRUD-operaties, API-integraties, dataformattering, utility-functies, boilerplate. Ze beoordelen de output, begrijpen de implicaties, en vangen beveiligingsproblemen voordat ze committen. De AI bespaart tijd bij implementatie; de mens zorgt voor oordeel, architectuur, en kwaliteitsborging. Dit is wat Karpathy nu "agentic engineering" noemt — het orkestreren van AI-agenten in plaats van hun output kritiekloos accepteren. De 10-30% productiviteitsverbetering voor goed beheerste AI-codering is reëel en duurzaam.

Niet-ontwikkelaars die probeerden productiesoftware te bouwen door pure prompting — de oorspronkelijke vibe coding-belofte — raakten onderhoudsmuren binnen weken. Reddit-data van builder-communities toont een "omgekeerde migratie"-patroon: gebruikers die no-code platforms verlieten voor AI-codeertools keerden terug naar visuele builders na het ervaren van de onderhoudsbelasting van AI-gegenereerde code. De platforms die AI-assistentie combineren met gestructureerd visueel bouwen komen naar voren als de pragmatische middenweg voor niet-ontwikkelaars.

Voor ontwikkelaars is de praktische conclusie duidelijk: AI-codeertools zijn transformatief wanneer gekoppeld aan technisch oordeel. Ze zijn rampzalig wanneer gebruikt als vervanging voor technisch oordeel. De enige AI-vaardigheid die ertoe doet geldt hier net zoveel als elders: het vermogen om AI-output te evalueren en oordeel uit te oefenen over of het correct, veilig, en geschikt is voor productie. De gratis Prompt Optimizer helpt bij het schrijven van meer specifieke codeerprompts die betere eerste-poging output produceren, waardoor de iteratiecycli worden verminderd die kwaliteitsproblemen verergeren. Voor één-klik optimalisatie binnen ChatGPT, Claude, en Gemini brengt TresPrompt het direct naar je workflow.

📬 Wil je meer zoals dit?

Eén bruikbaar AI-inzicht per week. Plus een gratis prompt pack wanneer je je abonneert.

Gratis abonneren →

Veelgestelde Vragen

Is vibe coding altijd slecht?

Nee — het is slecht voor productiesystemen. Voor prototyping, het verkennen van ideeën, en leren is beschrijven wat je wilt en zien dat AI het genereert echt nuttig. Het probleem is wanneer prototyping-code naar productie gaat zonder review, beveiligingstesten, of menselijk begrip van de logica. Vibe coding als verkenning is prima. Vibe coding als engineering is gevaarlijk.

Is Claude Code onderdeel van het vibe coding-probleem?

Claude Code kan, net als elke AI-codeertool, verantwoordelijk of onverantwoordelijk worden gebruikt. Wat Claude Code onderscheidt van pure vibe coding-tools is zijn agentische workflow — het draait tests, analyseert fouten, en itereert op oplossingen in plaats van alleen maar eenmalig code te genereren. Maar zelfs Claude Code-output moet worden beoordeeld door een ontwikkelaar die de codebase begrijpt. De tool ondersteunt engineering; het vervangt het niet.

Moet ik stoppen met het gebruik van AI-codeertools?

Absoluut niet — de productiviteitswinsten zijn reëel voor ervaren ontwikkelaars. De juiste reactie is governance, niet onthouding. Beoordeel AI-gegenereerde code voordat je commit. Draai beveiligingsscans op AI-output. Begrijp de logica van wat de AI genereert, vooral voor authenticatie, autorisatie, en databehandeling. Gebruik AI voor de 80% van code die standaardpatronen volgt, en schrijf de kritieke 20% zelf.

Hoe maak ik AI-gegenereerde code veiliger?

Drie praktijken: (1) Neem beveiligingsvereisten op in je prompts — "zorg voor inputvalidatie op alle gebruikersgerichte velden, gebruik geparametriseerde queries voor databasetoegang, implementeer CSRF-bescherming." Specifieke beveiligingsinstructies produceren veiligere code. (2) Draai geautomatiseerde beveiligingsscanners (Snyk, SonarQube, Semgrep) op alle AI-gegenereerde code voordat je commit. (3) Vereist menselijke codereview voor elke AI-gegenereerde code die authenticatie, autorisatie, betalingsverwerking, of persoonlijke databehandeling raakt.

Wat is het verschil tussen vibe coding en agentic engineering?

Vibe coding: beschrijf wat je wilt → accepteer wat de AI genereert → verzend het. Agentic engineering: definieer de taak → AI genereert een oplossing → AI draait tests → AI identificeert fouten → AI itereert → mens beoordeelt het resultaat → mens keurt goed of stuurt bij. Het verschil is de feedbacklus en menselijk toezicht. Agentic engineering gebruikt AI als medewerker; vibe coding gebruikt AI als vervanging.

Openbaarmaking: Sommige links in dit artikel zijn affiliate links. We bevelen alleen tools aan die we persoonlijk hebben getest en regelmatig gebruiken. Zie ons volledige openbaarmakingsbeleid.