Collins Dictionary kürte „Vibe Coding" zum Wort des Jahres 2025. Ein Großteil unseres eigenen Codes entsteht heute mit Claude an unserer Seite — wir arbeiten täglich mit diesen Tools und wissen, wie viel sie beschleunigen. Genau deshalb lohnt ein nüchterner Blick: Was funktioniert wirklich gut, und wo beginnt die eigentliche Arbeit erst?
Was Vibe Coding tatsächlich ermöglicht
Im Februar 2025 prägte KI-Pionier Andrej Karpathy den Begriff Vibe Coding: Man beschreibt in natürlicher Sprache, was man will, und die KI generiert den Code. Was wie ein Gimmick klang, hat sich als echte Verschiebung erwiesen.
Die Ergebnisse sind real — und sie beeindrucken uns selbst immer wieder. Gründer:innen validieren Geschäftsideen mit funktionierenden Prototypen in Stunden statt Monaten. Einzelpersonen bauen Anwendungen, für die früher ein ganzes Team nötig war. Interne Tools, die nie ein Budget bekommen hätten, existieren plötzlich. Auch in unserer eigenen Arbeit an Code merken wir den Unterschied: ob Tests, Dokumentation oder Refactorings (die Umstrukturierung von bestehendem Code) — vieles läuft heute Hand in Hand mit einem Modell. Die Einstiegshürde in die Softwareentwicklung ist so niedrig wie nie.
Das ist kein Hype. Das ist eine reale Demokratisierung von Technologie, und sie verändert, wer Software bauen kann und wie schnell.
Spannend wird es nach unserer Erfahrung nicht beim Prototyp, sondern danach: wenn er in Produktion soll, wenn Nutzer:innen kommen, wenn sich Anforderungen ändern, wenn Sicherheit relevant wird.
Sicherheit — der blinde Fleck
Die KI schreibt zwar Code, der technisch funktioniert, lässt dabei aber oft gefährliche Hintertüren offen. So entstehen leicht Lücken für Daten-Raub (SQL Injection), Schadcode-Angriffe (XSS) oder Fehler bei der Zugriffskontrolle (Authentication Bypass), durch die Unbefugte Sicherheitschecks umgehen können. Eine Analyse von CodeRabbit zeigt, dass KI-Code im Schnitt 1,7 mal mehr Probleme aufweist als meschlicher Code – bei Web-Schwachstellen ist das Risiko sogar fast dreimal so hoch. Auf der Plattform Lovable war dadurch jede zehnte App von einer schweren Sicherheitslücke bei den Nutzerrechten betroffen (CVE-2025-48757).
Das sind keine Argumente gegen KI-Tools. Es sind Argumente dafür, ihren Output nicht ungeprüft in Produktion zu bringen.
Denn das Problem ist nicht die Generierung. Das Problem ist die fehlende Prüfung. KI schreibt Code, der funktioniert. Aber „funktioniert" und „sicher" sind zwei verschiedene Dinge.
Wartung - die versteckten Kosten
Ähnlich verhält es sich mit Wartbarkeit. GitClear analysierte 211 Millionen Codezeilen und beobachtete 2024 eine achtfache Zunahme von Code-Blöcken mit fünf oder mehr duplizierten Zeilen. Gleichzeitig sank der Anteil der Überarbeitung von bestehendem Programmcode (Refactoring) von 25 % (2021) auf unter 10 % (2024).
Die Informatikerin Margaret-Anne Storey beschreibt dieses Phänomen auf ihrem Blog — entstanden aus einem Austausch mit Martin Fowler — als „Cognitive Debt": Schulden, die nicht im Code leben, sondern in den Köpfen der Entwickler:innen. Selbst sauberer, funktionierender Code erzeugt Cognitive Debt, wenn ein Team nicht mehr artikulieren kann, warum er so gebaut ist, wie er ist.
Storey beschreibt ein Studententeam, das mit KI-Tools in den ersten Wochen beeindruckend schnell lieferte. In Woche sieben und acht brach die Velocity ein. Die erste Annahme: schlechter Code. Die Realität: Niemand im Team konnte mehr erklären, warum bestimmte Designentscheidungen so gefallen waren.
Simon Willison, einer der bekanntesten Befürworter von KI-Coding-Tools, beschreibt den gleichen Effekt an sich selbst: Er verliert bei eigenen Projekten den Überblick, wenn er ganze Features promptet, ohne die Implementierung wirklich zu prüfen. Nicht weil die Tools schlecht sind. Sondern weil Verstehen Arbeit ist, die sich nicht delegieren lässt.
Unser Take: Wer den generierten Code versteht und pflegt, hat kein Problem. Wer ihn durchwinkt, baut auf Sand. Die Tools sind besser denn je — die Disziplin muss mitwachsen.
KI-Speed nutzen, ohne die Kontrolle zu verlieren
Wer mit KI-Tools arbeitet, erlebt anfangs oft eine Offenbarung: Ideen werden zu fertigem Code, noch bevor die Kaffeepause vorbei ist. Doch unsere Erfahrung zeigt: Nach ein paar Wochen kippt die Dynamik oft. Der Code fühlt sich „fremd“ an, Zusammenhänge gehen verloren. Da niemand den Code Zeile für Zeile selbst geschrieben hat, versteht ihn später oft keiner mehr – die Geschwindigkeit von gestern wird zur Bremse von morgen.
Besonders kritisch ist das für Unternehmen ohne eigenes Entwicklerteam. Ein Prototyp steht zwar in einer Woche, doch sobald Anpassungen oder Datenschutzfragen anstehen, merkt man: Man besitzt ein System, das niemand im Haus wirklich durchdringt. Der schnelle Start war der einfache Teil.
Worauf es ankommt: Kompetenz statt blindes Vertrauen
Die Frage ist heute nicht mehr „KI ja oder nein“. Gartner prognostiziert, dass bis 2028 ohnehin 90 % aller Enterprise-Entwickler:innen KI-Assistenten nutzen werden. Die echte Herausforderung ist: Wie setzt man diese Tools ein, ohne dass Sicherheitslücken oder technisches Chaos den Zeitgewinn wieder auffressen?
Andrej Karpathy nannte das Anfang 2026 auf den Punkt gebracht „Agentic Engineering“. Das bedeutet: Wir schreiben den Code zwar seltener selbst, aber wir müssen ihn dirigieren und überwachen. Es bleibt eine Ingenieursleistung, die Expertise erfordert.
Unser Take-away für Sie: KI ist ein gewaltiger Beschleuniger, aber kein Ersatz für Steuerung. Wer versteht, was die Tools generieren, nutzt sie als Erfolgs-Multiplikator. Wer es nicht versteht, multipliziert lediglich seine Risiken. Wir helfen Ihnen dabei, den richtigen Rahmen zu setzen – von der Tool-Auswahl bis zur sicheren Prüfung.
Quellen: METR-Studie (2025), GitClear AI Code Quality Research 2025, Veracode GenAI Code Security Report 2025, CodeRabbit: State of AI vs Human Code Generation, Storey: Cognitive Debt (2026), Fowler: Fragment zu Cognitive Debt, Simon Willison: Vibe Engineering, Ranganathan & Ye / HBR (2026), Gartner Software Engineering Trends (2025), CVE-2025-48757 / Lovable RLS, Karpathy: Vibe Coding (Feb 2025).