Vibe Coding ist ein Mainstream-Problem geworden

Zwei Artikel haben mich diese Woche beschäftigt.

t3n berichtet über einen neuen Beruf: “Vibe Coding Cleanup Specialists” — Menschen, die hauptberuflich KI-generierten Code reparieren. Hamid Siddiqi, einer der darin Porträtierten, behebt laut Artikel 15 bis 20 solcher Probleme pro Woche.

Und Apple hat alle Vibe-Coding-Apps aus dem App Store entfernt. Begründung: Sicherheitsbedenken. Eine Recherche dazu hat 670 deutschsprachige KI-generierte Websites untersucht — bei fast jeder zweiten gab es Sicherheitslücken bei sensiblen Daten.

Das ist kein Randphänomen mehr.

Was das bedeutet

Vibe Coding ist die Methode, mit der du heute in wenigen Tagen eine App bauen kannst, ohne selbst programmieren zu können. Cursor, Lovable, Bolt, Replit — die Tools werden besser, die Einstiegshürde sinkt, und immer mehr Gründer und Produktmenschen bauen ihre ersten echten Projekte damit.

Das ist gut. Wirklich.

Aber die KI baut, was du beschreibst — nicht was dein Projekt wirklich braucht. Sie weiß nicht, ob dein API-Schlüssel gerade für jeden sichtbar im Client-Code liegt. Sie warnt dich nicht, wenn du drei verschiedene Auth-Systeme parallel eingebaut hast, weil du dreimal die Anforderung geändert hast. Sie merkt nicht, wenn der Code zwar funktioniert, aber beim Launch unter Last zusammenbricht.

Das siehst du auch nicht — weil die App ja funktioniert. Zumindest so lange, bis sie es nicht mehr tut.

Warum das jetzt eskaliert

Die ersten Vibe-Coding-Projekte waren Prototypen. Niemand hat sie wirklich genutzt, niemand hat echte Daten reingesteckt, und wenn etwas kaputt war, hat es nichts gekostet.

Das ändert sich gerade. Die Projekte werden ernster. Echte Nutzer, echte Daten, echte Geschäftsmodelle. Und der Code darunter ist immer noch so gebaut wie ein Prototyp.

Das ist der Moment, in dem der Schaden entsteht.

Apple sieht das. Deswegen zieht der Konzern die Reißleine. t3n sieht das. Deswegen schreibt das Magazin darüber. Und wer in diesen Projekten arbeitet — ob als Gründer, Berater oder Investor — sieht das auch.

Was du tun kannst

Wenn du gerade mit KI baust oder eine App gebaut hast: Lass dich nicht von funktionierendem Code in Sicherheit wiegen. Funktionierend und sicher sind zwei verschiedene Dinge.

Typische Muster, die Sicherheitsforscher in KI-generierten Projekten finden:

• API-Keys im Client-Code — sichtbar für jeden, der die App herunterlädt
• Mehrere Auth-Systeme parallel — entstehen, wenn die KI bei jedem Richtungswechsel ein neues baut
• Keine Fehlerbehandlung — die App funktioniert im Idealfall, bricht aber unter Last oder bei Fehlern ein
• Kein Datenschutzkonzept — DSGVO-Probleme, die beim Launch sichtbar werden

Die t3n-Recherche bestätigt: Das sind keine Randausnahmen. Fast jede zweite der untersuchten Websites hatte konkrete Lücken.