Zum Inhalt springen
Insights

Vibe Coding richtig gemacht

45% des KI-Codes hat Sicherheitslücken. So nutzen wir KI-Tools mit Engineering-Disziplin und liefern produktionsreif, nicht vibe-gecodet.

Zuletzt aktualisiert: 2026-06-23

Vibe Coding – das schnelle Generieren von Code durch KI-Tools wie Cursor, Lovable oder Claude – verändert die Softwareentwicklung schneller als jede andere Tooling-Welle der letzten zehn Jahre. Aber ungeprüfte Produktivität verlagert die Kosten nur nach hinten: in technische Schulden, Sicherheitslücken und Compliance-Risiken. Dieser Leitfaden zeigt, wie KI-gestützte Entwicklung funktioniert, wenn Engineering-Disziplin den Prozess steuert, nicht das KI-Tool.

Was Vibe Coding ist und warum es explodiert

Der Begriff wurde im Februar 2025 von Andrej Karpathy geprägt – Gründungsmitglied von OpenAI und ehemaliger KI-Leiter bei Tesla. Seine Beschreibung war bewusst provokant: „There's a new kind of coding I call 'vibe coding,' where you fully give in to the vibes, embrace exponentials, and forget that the code even exists." Wikipedia: Vibe Coding Collins Dictionary kürte den Begriff zum Word of the Year 2025. CNN: Vibe Coding, Collins Word of the Year 2025

Die Zahlen hinter dem Trend sind bemerkenswert:

8 Mio.
Nutzer auf Lovable (Ende 2025), $200M ARR
$2 Mrd.
annualisierter Umsatz von Cursor (Anfang 2026)
25%
der YC-W25-Startups mit 95%+ KI-generiertem Code
5 Mio.
KI-generierte Apps auf Replit erstellt

Jared Friedman, Managing Partner bei Y Combinator, bestätigte im März 2025: Ein Viertel der W25-Kohorte hat Codebases, die zu über 95% KI-generiert sind. TechCrunch: 25% der YC-W25-Startups mit fast vollständig KI-generiertem Code Cursor überschritt Anfang 2026 die $2-Milliarden-ARR-Marke. TechCrunch: Cursor überschreitet $2 Mrd. ARR

Das Problem: Ungeprüfter KI-Code in Produktion

Veracodes GenAI Code Security Report testete über 100 LLMs: 45% der generierten Code-Samples versagten bei Sicherheitstests und führten OWASP-Top-10-Schwachstellen ein. Besonders kritisch: 86% der Samples waren anfällig für Cross-Site Scripting, 88% für Log-Injection-Angriffe. Veracode: GenAI Code Security Report 2025 BusinessWire: Veracode, AI Code poses risks in 45% of tasks

Escape.tech scannte 5.600 öffentlich erreichbare Vibe-Coded-Apps und fand über 2.000 hochkritische Schwachstellen, 400+ exponierte Secrets (Supabase-Keys, API-Tokens) und 175 PII-Expositionen, darunter Arztberichte, IBANs und E-Mail-Adressen. Alle Schwachstellen waren in Live-Produktionssystemen. Escape.tech: 2.000+ Schwachstellen in Vibe-Coded-Apps

Fallstudie: Der Moltbook-Breach

Moltbook, ein KI-Social-Network, wurde von Gründer Matt Schlicht nach eigener Aussage komplett „vibe coded". Kein einziger manuell geschriebener Code-Zeile. Wiz-Sicherheitsforscher entdeckten eine fehlkonfigurierte Supabase-Datenbank, die vollständigen Lese- und Schreibzugriff auf alle Plattformdaten ermöglichte: Wiz Blog: Moltbook, 1,5M API Keys exponiert

  • 1,5 Millionen API-Authentifizierungstokens exponiert
  • 35.000+ E-Mail-Adressen zugänglich
  • 4.060 private Nachrichten lesbar, inkl. Drittanbieter-API-Credentials

Die Ursache: Ein Supabase-API-Key im clientseitigen JavaScript ohne aktivierte Row-Level-Security-Policies, ein Standard-Sicherheitsfehler, den jeder erfahrene Engineer im Review sofort erkennen würde. Infosecurity Magazine: Moltbook exponiert Nutzerdaten und API-Keys

Moltbook ist kein Einzelfall. Im Juli 2025 entdeckte Wiz Research eine kritische Authentifizierungs-Schwachstelle in der Vibe-Coding-Plattform Base44 (von Wix übernommen): Angreifer konnten über öffentlich zugängliche App-IDs die gesamte Authentifizierung umgehen, inklusive SSO-Schutz, und auf alle privaten Enterprise-Anwendungen zugreifen. Betroffen waren interne Chatbots, Knowledge-Bases und HR-Systeme mit personenbezogenen Daten. Wiz Blog: Kritische Schwachstelle in Base44 Vibe-Coding-Plattform

In jedem Fall lief der Code – und in jedem Fall hätte ein Senior-Review den Fehler gefunden: die fehlende Row-Level-Security bei Moltbook, den umgehbaren Auth-Flow bei Base44. KI-Tools generieren funktionierenden Code, aber keine sicheren Systeme. Die fehlende Schicht ist menschliches Engineering-Review.

Der AnvilStack-Ansatz: KI für Speed, Engineering für Qualität

Wir setzen KI-Assistenz konsequent ein, aber kein einziger Commit geht ohne menschliches Code-Review in die Produktion. Der entscheidende Unterschied liegt nicht im Tool, sondern im Prozess.

Der 6-Schritte-Workflow für produktionsreife KI-Entwicklung

  1. Prompt Engineering. Präzise, kontextreiche Prompts mit Architektur-Constraints, Security-Anforderungen und Code-Style-Vorgaben
  2. Code-Generierung. KI generiert Code-Vorschläge auf Basis des spezifizierten Kontexts
  3. Engineering-Review. Jede generierte Zeile wird von einem Senior Engineer auf Logik, Security und Architekturkonformität geprüft
  4. Automatisierte Tests. Unit-, Integrations- und E2E-Tests validieren Funktionalität und Regressionen
  5. Security-Scan. Statische Analyse (SAST), Dependency-Check und Secret-Detection vor jedem Merge
  6. Kontrolliertes Deployment. CI/CD-Pipeline mit Staging-Umgebung, Health-Checks und Rollback-Mechanismus

Warum dieser Prozess funktioniert

KI-Tools sind hervorragend im Generieren von Code, der syntaktisch korrekt ist und die Anforderung oberflächlich erfüllt. Was sie systematisch übersehen: Edge Cases, Race Conditions, Autorisierungslücken, N+1-Datenbankabfragen und implizite Sicherheitsannahmen. Der 6-Schritte-Workflow fängt diese Klasse von Fehlern ab, bevor sie in Produktion landen.

Der Produktivitätsgewinn ist real, aber kontextabhängig: Bei klar umrissenen Aufgaben beschleunigt KI-Assistenz die Entwicklung deutlich; bei erfahrenen Teams in komplexen Codebases fällt der Effekt geringer aus oder kehrt sich sogar um. METR: Impact of AI on Experienced Open-Source Developer Productivity (2025) Statt Code von Grund auf zu schreiben, reviewen unsere Engineers KI-Vorschläge – der entscheidende Hebel ist, dass der Geschwindigkeitsvorteil ohne Qualitätsverlust entsteht.

Wann Vibe Coding funktioniert und wann nicht

KriteriumGeeignet (mit Review)Ungeeignet (ohne Engineering)
PrototypingIdeal für schnelle KonzeptvalidierungPrototyp ≠ Produktion
Interne ToolsDashboards, Admin-Panels, SkripteNicht für kundenexponierte Systeme
Produktion SaaSNur mit vollständigem Review-ProzessDirekter Einsatz = Sicherheitsrisiko
Regulierte BranchenKI-Assistenz + Audit-Trail + ComplianceKein Audit-Trail = NIS2-Verstoß
KundendatenNur mit Security-Hardening und DSGVO-PrüfungExponierte Secrets, fehlende Verschlüsselung

Die EU-Dimension: DSGVO und NIS2 bei KI-generiertem Code

Für europäische Unternehmen kommt eine regulatorische Ebene hinzu, die im US-amerikanischen Vibe-Coding-Diskurs oft übersehen wird:

DSGVO (Art. 25, Datenschutz durch Technikgestaltung): KI-generierter Code implementiert selten datenschutzkonforme Defaults. Fehlende Verschlüsselung, übermäßige Datenspeicherung und exponierte personenbezogene Daten sind typische Befunde – Escape.tech fand bei seiner Untersuchung von über 5.000 vibe-codeten Apps 175 Fälle exponierter personenbezogener Daten. Escape.tech: 175 PII-Expositionen in Vibe-Coded-Apps

NIS2 (seit Dezember 2025): Seit Inkrafttreten des deutschen NIS2-Umsetzungsgesetzes am 6. Dezember 2025 müssen rund 29.500 Unternehmen ihre Lieferkette absichern und systematisch bewerten – einschließlich der Frage, ob der eingesetzte Code auf Schwachstellen geprüft wird. Vibe Coding ohne Review-Prozess ist ein dokumentierbares Lieferkettenrisiko. OpenKRITIS: NIS2-Umsetzungsgesetz in Deutschland (in Kraft seit Dezember 2025)

EU AI Act (Hochrisiko-Pflichten): Ursprünglich für den 02.08.2026 vorgesehen. Nach dem von der EU-Kommission am 19.11.2025 eingebrachten „Digital Omnibus on AI" und einer politischen Einigung Anfang Mai 2026 werden die Hochrisiko-Pflichten für Annex-III-Systeme auf den 02.12.2027 verschoben; das Europäische Parlament bestätigte die Verschiebung im Juni 2026. Rechtskräftig wird sie mit der Veröffentlichung im Amtsblatt, erwartet vor dem 02.08.2026. Systeme, die KI-generierten Code in regulierten Bereichen einsetzen, benötigen dokumentierte Datenquellen, Qualitätskontrollen und vollständige Audit-Trails. Pinsent Masons: Hochrisiko-KI-Pflichten unter dem EU-Omnibus verschoben (2026) IAPP: AI Act Omnibus, Stand und Ausblick

Für DACH-Unternehmen bedeutet das konkret: Wer KI-generierten Code ohne dokumentierten Review-Prozess in kundenexponierte Systeme deployt, riskiert nicht nur technische Probleme, sondern regulatorische Konsequenzen. Eine Analyse durch erfahrene Engineers schafft die Grundlage für Compliance-konforme Produktionssysteme.

Fazit: Vibe Coding ist ein Werkzeug, kein Ersatz für Engineering

Die Frage ist nicht, ob man KI-Tools zur Softwareentwicklung nutzen sollte. Die Frage ist, welchen Prozess man um die KI-Generierung herum aufbaut. Unternehmen, die KI-Speed mit Engineering-Review verbinden, liefern schneller und sicherer. Unternehmen, die auf Review verzichten, bauen technische Schulden und Sicherheitsrisiken auf, die sich spätestens beim ersten Incident oder der nächsten Funding-Runde rächen.

Die Daten sind eindeutig: 45% Vulnerability-Rate, 2.000+ Schwachstellen in Live-Systemen, Millionen exponierte Credentials. Vibe Coding ohne Engineering ist kein Entwicklungsansatz, sondern ein kalkulierbares Risiko. Mit Engineering-Review wird aus demselben Tooling ein belastbarer Weg in die Produktion.

Sie haben eine KI-generierte Anwendung und wollen wissen, ob sie produktionsreif ist? Im kostenlosen Erstgespräch klären wir Ausgangslage und Ziel; die Analyse bewertet anschließend Architektur, Sicherheit und Compliance und zeigt den konkreten Weg zur gehärteten Produktionsplattform auf Hetzner. Die vollständige Umsetzung liefern wir für €6.000 pro Monat über 6 Monate (€36.000 gesamt) – live nach spätestens 3 Monaten.

Häufig gestellte Fragen

Was ist Vibe Coding?
Vibe Coding ist das schnelle Generieren von Code durch KI-Tools wie Cursor, Lovable oder Claude, ohne manuelles Code-Review. Der Begriff wurde im Februar 2025 von Andrej Karpathy geprägt und von Collins Dictionary zum Word of the Year 2025 gewählt.
Ist Vibe Coding gefährlich?
Ohne Engineering-Review ja. Veracode fand, dass 45% des KI-generierten Codes Sicherheitslücken enthält; Escape.tech fand über 2.000 Schwachstellen in 5.600 Vibe-Coded-Apps in Produktion.
Wie nutzt AnvilStack KI-Tools sicher?
Wir setzen KI-Assistenz für die Code-Generierung ein, aber kein Commit geht ohne menschliches Review in Produktion. Ein 6-Schritte-Workflow – Prompt Engineering, Generierung, Review, Tests, Security-Scan, Deployment – sichert die Qualität.
Kann ich meinen Vibe-Coded-Prototyp retten?
In den meisten Fällen ja. Die Analyse bewertet Architektur, Sicherheit und Compliance Ihres Prototyps und zeigt den konkreten Weg zur produktionsreifen Plattform; das Erstgespräch dazu ist kostenlos.
Warum erreichen so wenige KI-Prototypen die Produktion?
Laut der MIT-Studie State of AI in Business (NANDA, 2025) erzielen rund 95% der Unternehmens-Pilotprojekte mit generativer KI keinen messbaren Geschäftswert. KI-Tools optimieren auf Funktionalität, nicht auf Produktionsreife: Sicherheit, Skalierbarkeit, Compliance und Testing fehlen.
Ist Vibe Coding DSGVO- und NIS2-konform?
Nicht automatisch. KI-generierter Code implementiert selten datenschutzkonforme Defaults. Seit Dezember 2025 verlangt NIS2 dokumentierte Cybersicherheitsmaßnahmen. Vibe Coding ohne Review-Prozess ist ein dokumentierbares Lieferkettenrisiko.

Quellen

Bereit loszulegen?

Buchen Sie ein kostenloses Erstgespräch. Wir hören zu und sagen Ihnen ehrlich, was Ihr Projekt braucht.