“Ich hab keine einzige Zeile Code geschrieben.” Das sagen immer mehr Business-Owner stolz über ihre Unternehmen. Klingt nach Fortschritt. Klingt nach Effizienz. Klingt nach Zukunft.
Bis jemand nachschaut.
In über 20 Jahren Webentwicklung habe ich viel erlebt. Kunden die mittendrin das Budget stornieren. Scope Creep der ein Projekt verdreifacht. Anforderungen die sich wöchentlich ändern. Aber was mir vor ein paar Wochen passiert ist, war neu – und zeigt exemplarisch was passiert wenn der Vibe-Coding-Hype auf die Realität trifft.
Ich hatte für einen Kunden über mehrere Monate eine komplexe Plattform aufgebaut. Ein Dashboard zur Verwaltung von Musikinstrumenten, ein interaktiver Drag-and-Drop-Editor für Web-Embeds, eine vollständige User-Verwaltung. Die Technik stand, die ersten Reviews waren durchweg positiv. Wir hatten noch kurz zuvor gemeinsam Bugs auf dem iPad gefixt.
Dann zwei Wochen Funkstille. Dann eine Sprachnachricht.
Sinngemäß: “Du, Tobi, lass mal gut sein. Ich brauche deine Dienste nicht mehr. Ich mache das jetzt alles mit Vibe Coding selbst. Die KI baut mir das jetzt fertig. Danke und tschüss.”
Als ich die ausstehende Rechnung ansprach, wurde es noch absurder. Der Kunde behauptete plötzlich, es gäbe gar keine App. Er wisse von nichts. Monate gemeinsamer Arbeit – einfach weggeredet.
Was war passiert? Er war in die Vibe-Coding-Falle getappt. Er glaubte, weil ein LLM ihm ein paar schöne Zeilen Code generiert hatte, könne er eine professionell gewachsene Architektur einfach weg-prompten. Der Quellcode liegt bei mir – er wurde nicht bezahlt, also nicht übergeben. Er versucht gerade, ein Haus im zweiten Stock weiterzubauen, während er behauptet, das Fundament existiere nicht.
Mein Kunde vibe-codet vermutlich immer noch. Während er auf den gelben Brief vom Mahngericht wartet.
Was Vibe Coding ist – und was es nicht ist
“Vibe Coding” ist kein offizieller Begriff, er hat sich im letzten Jahr in der Entwickler-Community festgesetzt. Er beschreibt das Programmieren per natürlichsprachlichem Prompt, ohne tiefer in den generierten Code einzutauchen. Du beschreibst was du willst, die KI liefert, du übernimmst. Der Vibe stimmt. Der Code läuft. Irgendwie.
Für Profis ist das ein mächtiges Werkzeug. Für Laien ist es eine Illusion.
Der Unterschied liegt nicht in den ersten 80 Prozent. Die letzten 20 Prozent – Security, Fehlerbehandlung, Edge Cases, saubere Datenbankstruktur, Skalierung – sind meistens 80 Prozent der tatsächlichen Arbeit. Und genau dort versagt Vibe Coding ohne das Fundament darunter.
Was wirklich passiert, wenn Laien Produktionscode vibe-coden
Meine Geschichte klingt glimpflich im Vergleich zu dem was anderen passiert ist.
Replit, 1.200 Firmen, gelöschte Produktionsdatenbank. Ein SaaS-Gründer testet Vibe Coding für sein Startup. Am Tag 9 löscht der KI-Agent die Produktionsdatenbank. Daten von 1.200 Firmen weg. Trotz aktivem Code Freeze. Trotz elfmal in Großbuchstaben geschriebenem “NICHTS ÄNDERN”. Danach erfindet die KI 4.000 fiktive User, und lügt über die Möglichkeit eines Rollbacks. Keine Halluzination im Chat – eine Halluzination die echte Kundendaten vernichtet hat.
Tea App, 72.000 Bilder, 13.000 Personalausweise. Eine per Vibe Coding gebaute App mit Firebase-Backend, komplett offen konfiguriert. 72.000 Bilder exponiert. Darunter 13.000 Fotos von Personalausweisen echter Menschen. Niemand hat gehackt. Die Tür war einfach nie abgeschlossen – weil niemand verstanden hatte, dass man sie abschließen muss.
Slopsquatting. Eine weniger bekannte aber strukturelle Gefahr: KI-Modelle halluzinieren Paketnamen die nicht existieren. Angreifer registrieren genau diese Namen auf npm oder PyPI. Du folgst der KI-Empfehlung, führst npm install aus, und installierst einen Trojaner. Nicht weil du unvorsichtig warst – sondern weil du der KI vertraut hast ohne zu prüfen ob das Paket real ist.
Das sind keine Einzelfälle, sondern der erwartbare Standard, wenn jemand der sonst nur Fahrrad fährt, in einen Rennwagen steigt und losfährt. Laut einer Veracode-Studie hat KI-generierter Code 2,74-mal mehr Schwachstellen als menschlich geschriebener. 45 Prozent aller getesteten Codebeispiele enthielten Sicherheitslücken. Bei Cross-Site-Scripting lag die Fehlerquote sogar bei 86 Prozent.
Der eigentliche Irrtum
KI senkt die Hürde Software zu bauen massiv. Sie senkt nicht die Hürde Software zu verstehen.
Wer nicht versteht was da läuft, kann es nicht absichern. Kann nicht debuggen wenn es bricht. Kann nicht einschätzen ob der generierte Code dem entspricht was das System eigentlich braucht. Und kann vor allem nicht erkennen wann die KI selbstsicher falsch liegt – was sie regelmäßig tut.
Der Spaghetti-Code-Effekt setzt früh ein: Ohne jemanden der das große Ganze versteht, baut die KI einen digitalen Flickenteppich. Jedes neue Feature per Prompt verschlimmbessert die technische Schuld. Nach wenigen Wochen ist der Code so verstrickt, dass keine KI der Welt mehr nachvollziehen kann warum das System beim Login abstürzt.
Eine KI übernimmt keine Verantwortung. Wenn das System am Launch-Tag down ist, hilft kein Prompt wenn man die Infrastruktur darunter nicht versteht.
Was das für Kunden bedeutet – und für Entwickler
Für Kunden und Gründer: Vibe Coding ist ein legitimes Werkzeug für Prototypen, Proof of Concepts, interne Tools ohne Sicherheitsanforderungen. Es ist kein Ersatz für professionelle Entwicklung wenn echte Daten, echte Nutzer und echtes Geld im Spiel sind. “Es funktioniert” war in regulierten Branchen nie genug. Das ist mit KI nicht anders geworden.
Für Entwickler: Diese Verschiebung wird nicht wieder rückgängig gemacht. Kunden werden weiterhin glauben, dass KI uns ersetzt. Die Antwort darauf ist nicht Empörung, sondern Klarheit darüber was der Job wirklich ist. Nicht Code schreiben. Systeme verstehen, Entscheidungen verantworten, Qualität sichern. Das kann die KI nicht übernehmen – egal wie gut die Prompts sind.
Software ist Handwerk. Werkzeuge machen den Handwerker schneller. Sie ersetzen ihn nicht.
Mein Kunde hat das auf die harte Tour gelernt. Oder er lernt es gerade noch.
Quellen & weiterführende Links
- Replit-Vorfall: Dokumentiert auf X/Twitter und Hacker News, März 2025 – Produktionsdatenbank durch KI-Agent gelöscht
- Tea App Datenpanne: Sicherheitsreport, Firebase-Fehlkonfiguration, 2025
- Slopsquatting: Socket Security Research – AI-hallucinated package names exploited by attackers (2025) · socket.dev
- Veracode Studie: State of Software Security 2025 – KI-generierter Code hat 2,74x mehr Schwachstellen · veracode.com
- Verwandter Artikel: Die versteckten Schulden des KI-Programmierens
Kommentare