Vibe Coding: Produktivitätsbooster mit gefährlicher Kehrseite

Was Vibe Coding ist – und warum es überall passiert

Andrej Karpathy, Mitgründer von OpenAI, prägte den Begriff im Februar 2025: Vibe Coding beschreibt die Praxis, KI-Tools wie Claude oder ChatGPT zu nutzen, um schnell lauffähigen Code zu generieren – ohne tiefes Verständnis jeder Zeile. Das Ergebnis ist oft überraschend gut und erschreckend schnell. Collins English Dictionary kürte den Begriff zum Wort des Jahres 2025.

Die Zahlen belegen die Verbreitung: Schätzungsweise 40 % des weltweit produzierten Codes wurde 2025 von KI generiert oder maßgeblich mitgestaltet. Bei 25 % der Startups im Y-Combinator-Winter-2025-Batch bestanden Codebasen zu 95 % aus KI-generiertem Code.

Das ist keine Nischenerscheinung. Das ist der neue Normalzustand in der Softwareentwicklung.

Das Sicherheitsproblem ist systematisch

Eine Studie, die 80 Coding-Aufgaben in über 100 verschiedenen LLMs analysierte, kommt zu einem ernüchternden Ergebnis: In 45 % der Testfälle führten KI-Modelle Schwachstellen ein, die in den OWASP Top 10 klassifiziert sind. Wenn das Modell zwischen einer sicheren und einer unsicheren Implementierungsoption wählen konnte, entschied es sich in fast der Hälfte der Fälle für die unsichere.

Noch besorgniserregender: Die Sicherheitsleistung hat sich trotz massiver Fortschritte bei der Code-Qualität nicht verbessert. Syntaktisch korrekter Code und sicherer Code sind zwei verschiedene Dinge – und LLMs optimieren primär für ersteres.

Eine separate Analyse von 470 Open-Source-GitHub-Pull-Requests ergab, dass KI-mitgenerierter Code rund 1,7-mal mehr schwerwiegende Probleme enthält als rein menschlich geschriebener Code – darunter 2,7-mal häufigere Sicherheitslücken und 75 % mehr Logikfehler.

Angriffsvektoren, die neu sind

Slopsquatting

LLMs halluzinieren gelegentlich Bibliotheks- und Paketnamen, die nicht existieren, aber plausibel klingen. Angreifer registrieren diese erfundenen Paketnamen und füllen sie mit Schadcode. Wer KI-generierte Codebeispiele unkritisch übernimmt, installiert im schlimmsten Fall eine Backdoor. Untersuchungen zeigen: Nahezu 20 % der von Chatbots empfohlenen Pakete existieren nicht – ein erheblicher Angriffspfad.

Supply-Chain-Risiken durch unkontrollierte Abhängigkeiten

KI-Assistenten empfehlen Bibliotheken schnell und ohne Rücksicht auf deren Sicherheitsstatus, Pflege oder Lizenz. Eine Studie von Apiiro zeigt: Entwickler, die mit KI arbeiten, schreiben drei- bis viermal mehr Code – schleusen dabei aber die zehnfache Menge an Risiken ein, durch ungeprüfte Open-Source-Abhängigkeiten, fehlerhafte Cloud-Berechtigungen und versehentlich exponierte Secrets.

Speicherfehler in systemnahem Code

Beim Generieren von C/C++-Code vernachlässigt KI häufig essentielle Sicherheitsprüfungen in der Speicherverwaltung. Das Resultat sind klassische Schwachstellen wie Buffer Overflows und Type Confusion – bekannte, aber schwer zu findende Angriffsvektoren.

Was das für professionelle Softwareentwicklung bedeutet

Vibe Coding ist kein Problem, das man durch Verbote löst. Die Produktivitätsgewinne sind real und hoch – wer sie ignoriert, verliert im Wettbewerb. Die Antwort liegt in gezielter Governance, nicht in der Rückkehr zu rein manueller Entwicklung.

Konkret bedeutet das:

• Statische Code-Analyse im CI/CD-Prozess: Kein KI-generierter Code landet in der Produktion, ohne automatisierte Sicherheitsprüfung (SAST). Tools wie Semgrep, SonarQube oder Veracode lassen sich direkt in den Build-Prozess integrieren.
• Software Bill of Materials (SBOM): Eine aktuelle Liste aller verwendeten Abhängigkeiten ist Pflicht – nicht nur wegen des EU Cyber Resilience Act, sondern als grundlegendes Sicherheitsinstrument. Nur wer weiß, was im Code steckt, kann auf neue CVEs reagieren.
• Gezielte Code-Reviews für KI-generierte Abschnitte: Besonders Authentifizierungslogik, Datenbankzugriffe und kryptografische Implementierungen müssen manuell geprüft werden. KI ist gut in Boilerplate – bei sicherheitskritischer Logik versagt sie häufiger.
• Dependency-Scanning: Jede neue Bibliothek, die ein KI-Assistent vorschlägt, muss verifiziert werden: Existiert das Paket? Wann war der letzte Commit? Gibt es bekannte CVEs?
• Entwickler-Training: Das Wissen über OWASP Top 10, sichere Kryptografie und sichere Architekturmuster bleibt unverzichtbar – gerade weil KI diese Fehler macht.

Der Cyber Resilience Act verschärft den Druck

Ab September 2026 greift der EU Cyber Resilience Act mit Meldepflichten für aktiv ausgenutzte Schwachstellen. Ab Dezember 2027 gelten volle Konformitätspflichten für alle Produkte mit digitalen Elementen. Wer KI-generierten Code ohne strukturierte Sicherheitsprüfung in kommerzielle Produkte integriert, riskiert nicht nur Sicherheitsvorfälle – sondern Bußgelder bis zu 15 Millionen Euro.

Die Frage ist nicht, ob man KI im Entwicklungsprozess nutzt. Die Frage ist, ob man dabei die Sicherheitsstandards einhält, die professionelle Softwareentwicklung ausmachen.