
Vibe Coding versprach, dass jeder Apps auf Deutsch beschreiben und bauen kann. 16 Monate Daten zeigen, wer wirklich davon profitiert – und wer in die Sicherheitsfalle tappt.
Kurz zusammengefasst
- Andrej Karpathy prägte den Begriff „Vibe Coding" am 2. Februar 2025. Mitte 2026 bezeichnet er ihn bereits als überholt und hat einen neuen Rahmen entwickelt.
- Eine METR-Studie vom Juli 2025 stellte fest, dass erfahrene Entwickler mit KI-Tools 19 % langsamer arbeiten, obwohl sie 24 % Verbesserung erwartet hatten.
- 91,5 % aller per Vibe Coding erstellten Apps weisen mindestens eine Sicherheitslücke auf – laut einer Q1-2026-Analyse aus fünf unabhängigen Studien.
- Vibe Coding funktioniert gut für: MVPs, interne Tools und Nicht-Entwickler, die Ideen schnell validieren wollen.
- Es scheitert zuverlässig bei: allem, was Authentifizierung, Zahlungsabwicklung oder Nutzerdaten berührt, ohne Prüfung durch Experten.
- Die professionelle Weiterentwicklung heißt „Agentic Engineering" – gleiche Tools, aber der Entwickler liest jeden Diff und bleibt verantwortlich.
Am 2. Februar 2025 schrieb Andrej Karpathy einen Tweet, den er später selbst als „schnell hingeworfene Gedanken" bezeichnete: „Es gibt eine neue Art des Programmierens, die ich ‚Vibe Coding' nenne: Man gibt sich vollständig den Vibes hin, umarmt Exponentialwachstum und vergisst, dass der Code überhaupt existiert."
Dieser Tweet wurde vom Collins Dictionary zum Wort des Jahres 2025 gekürt. Der Markt, der daraufhin entstand, ist heute 4,7 Milliarden Dollar wert. Lovable, eines der führenden Tools, erreichte bis Mitte 2026 einen ARR von 200 Millionen Dollar und eine Bewertung von 6,6 Milliarden Dollar. 25 % der Startups im Y Combinator Winter 2025 Batch bauten auf Codebases, die zu 95 % KI-generiert waren.
Sechzehn Monate reichen aus, um nicht mehr zu fragen „Wird das funktionieren?", sondern „Was sagen die Daten?" Die Antwort ist komplexer als der Hype, nützlicher als die Gegenbewegung – und je nachdem, wer man ist, auch grundlegend verschieden.
Die Schlagzeilen-Statistiken sind leicht zu finden: 55 % schnellere Projektfertigstellung, 5,8-fach schnellere App-Entwicklung, 74 % der Entwickler berichten von Produktivitätssteigerungen. Was diese Zusammenfassungen konsequent weglassen, ist die METR-Studie vom Juli 2025.
Darin wurden erfahrene Softwareentwickler mit und ohne KI-Coding-Tools an realen Aufgaben getestet. Das Ergebnis: Mit KI-Unterstützung waren sie 19 % langsamer – obwohl sie zuversichtlich 24 % schneller zu sein erwartet hatten. Die Lücke zwischen Erwartung und Realität betrug 43 Prozentpunkte in die falsche Richtung.
Das ist kein Argument gegen KI-Tools. Es ist ein Signal dafür, wer tatsächlich davon profitiert. Die Produktivitätsgewinne sind real, aber sehr ungleich verteilt:
Das METR-Ergebnis ergibt Sinn, wenn man bedenkt, was KI-Tools tatsächlich leisten. Sie reduzieren Reibung bei klar definierten, modularen Aufgaben. Erfahrene Entwickler verbringen die meiste Zeit mit Architektur, Debugging und Urteilsvermögen – nicht damit, Code zu tippen. Schneller tippen hilft nicht, wenn der Engpass das Denken ist. Gleichzeitig kann ein Gründer, der vorher überhaupt keinen Prototypen bauen konnte, das jetzt an einem Wochenende tun.
Das Tool ist wirklich nützlich. Aber nicht für alle gleich nützlich.
Die Zahlen zu Sicherheitslücken stammen aus mehreren unabhängigen Quellen und zeigen übereinstimmend dasselbe Bild. OX Security meldet, dass 62 % des KI-generierten Codes mit Sicherheitslücken ausgeliefert wird. Eine Q1-2026-Analyse von SoftwareSeni ermittelte, dass 91,5 % der per Vibe Coding erstellten Anwendungen in fünf unabhängigen Studien mindestens eine Schwachstelle aufweisen. Escape.tech scannte 5.600 öffentlich verfügbare Vibe-Coding-Apps und dokumentierte über 2.000 kritische Sicherheitslücken, mehr als 400 offengelegte Secrets und 175 Fälle von exponierten personenbezogenen Daten in laufenden Produktivsystemen.
Die 91,5 % klingen alarmierend. Das sind sie auch. Aber zu verstehen, warum das so ist, ist hilfreicher als bloße Bestürzung.
KI generiert Code auf Basis dessen, was man eingibt. Wenn man schreibt „Erstelle mir eine Todo-App mit Nutzerkonten", schreibt die KI eine funktionierende Authentifizierung. SQL-Injection-Schutz, Rate-Limiting bei Login-Versuchen oder CSRF-Tokens fügt sie nicht hinzu – es sei denn, man fragt explizit danach. Diese Sicherheitsschichten erfordern Fachwissen, um überhaupt zu wissen, dass sie existieren.
Escape.tech hat dieses Muster direkt benannt: Vibe-Coding-Fehler sind oft struktureller Natur – das bedeutet, ganze Sicherheitsschichten wurden nie implementiert, weil die KI nie dazu aufgefordert wurde. Das ist etwas anderes, als wenn die KI fehlerhaften Code schreibt. Die KI hat genau das geschrieben, worum sie gebeten wurde. Was fehlte, wurde nie angefragt.
Das lässt sich von Menschen beheben, die wissen, was sie fragen müssen. Es lässt sich nicht beheben, indem man hofft, dass die KI es von selbst erledigt.
Die Dezember-2025-Analyse von CodeRabbit ergab, dass von KI mitverfasster Code etwa 1,7-mal mehr „schwerwiegende" Probleme enthält als von Menschen geschriebener Code – darunter eine 2,74-fach höhere Rate an Sicherheitslücken. Diese Daten umfassen allen KI-unterstützten Code, nicht nur reine Vibe-Coding-Apps – was nahelegt, dass das Problem mit dem Maß an KI-Überwachung skaliert, das man aufgibt.
„Vibe Coding" ist zum Oberbegriff für jede Art von prompt-gesteuerter Entwicklung geworden, was zu Verwirrung führt, weil die Tools sehr unterschiedliche Nutzergruppen bedienen.
No-Code-KI-Builder (Lovable, Bolt.new, Replit Agent) erlauben es, in natürlicher Sprache zu beschreiben, was man möchte. Die Plattform generiert, hostet und verwaltet den Code. Man sieht die zugrunde liegenden Dateien nie. Diese Tools sind für Nicht-Entwickler und zur schnellen Ideenvalidierung konzipiert.
KI-Code-Editoren (Cursor, Windsurf, Claude Code) setzen Programmierkenntnisse voraus. Sie generieren Code in der eigenen Entwicklungsumgebung, wo man jede Änderung liest und prüft, bevor man sie übernimmt. Die KI ist ein sehr schneller, manchmal unzuverlässiger Mitarbeiter – kein autonomer Entwickler.
Das häufigste Scheitern von Teams: Man startet mit Lovable, erreicht 80 % eines funktionierenden MVPs, und versucht dann, daraus ein Produktivsystem zu machen – ohne zu verstehen, was darunter steckt. Durch No-Code-Generatoren entstandene Codebases haben oft Muster, die für den Generator optimiert sind, nicht für langfristige Wartbarkeit.
Ein pragmatischer Entscheidungsrahmen:
| Situation | Ansatz | Tool zum Einstieg |
|---|---|---|
| Eine Idee dieses Wochenende validieren | Vollständiges Vibe Coding | Lovable, Bolt.new |
| Internes Tool für ein kleines Team | Beaufsichtigte Generierung | Cursor |
| SaaS-Produkt mit echten Nutzern | Agentic Engineering | Cursor oder Claude Code |
| Authentifizierung, Zahlungen oder Nutzerdaten | Entwicklergeführt mit KI-Unterstützung | Code-Review erforderlich |
Derjenige, der den Begriff geprägt hat, bezeichnet ihn heute als überholt.
Auf der Sequoia Ascent 2026 stellte Karpathy einen Rahmen vor, den er „Agentic Engineering" nennt. Sein Argument: Bis Dezember 2025 hatte sich die Zuverlässigkeit der Modelle so stark verbessert, dass sich der eigentliche Engpass verschoben hat. Die Frage lautet nicht mehr, ob KI Code schreiben kann. Die Frage ist, ob Menschen in der Lage sind, sinnvolle Kontrolle über KI-geschriebene Systeme aufrechtzuerhalten.
Die Unterscheidung, die er trifft:
Vibe Coding hebt die Untergrenze an. Jeder kann etwas Funktionierendes bauen. Die Code-Qualität ist oft das, was Karpathy „aufgebläht, voller Copy-Paste, mit uneleganten Abstraktionen, die fragil sind" nennt. Es wird ausgeliefert, und das hat Wert. Geringe Verantwortlichkeit ist angemessen, weil die Einsätze gering sind.
Agentic Engineering hebt die Obergrenze an. Professionelle Entwickler orchestrieren KI-Agenten und tragen dabei die volle Verantwortung für alles, was ausgeliefert wird. Sie schreiben Spezifikationen, bevor sie Prompts erstellen, prüfen Diffs vor dem Merge, schreiben Tests, bauen Evaluierungsschleifen und verwalten Berechtigungen sorgfältig.
Das meistzitierte Zitat aus dem Vortrag: „Man kann sein Denken delegieren, aber nicht sein Verstehen."
Praktisch gesehen liegt die Grenze zwischen den beiden Ansätzen nicht im verwendeten Tool. Sie liegt darin, was man tut, nachdem die KI Code generiert hat. Ein Entwickler, der Cursor nutzt und alle Vorschläge annimmt, ohne sie zu lesen, betreibt Vibe Coding. Ein Entwickler, der jeden generierten Diff wie einen PR von einem Junior-Entwickler behandelt, ihn Zeile für Zeile liest und nichts merged, was er nicht erklären kann, betreibt Agentic Engineering. Gleiches Tool. Andere Disziplin.
Basierend auf den dokumentierten Fehlermustern sollten bestimmte Kategorien niemals ohne menschliche Prüfung in Produktion gehen – unabhängig vom gewählten Ansatz:
Alles andere ist ein vertretbarer Kandidat für KI-unterstützte Generierung mit anschließender Prüfung. In diesen fünf Kategorien konzentrieren sich die strukturellen Fehler.
Können Nicht-Entwickler mit Vibe Coding wirklich Produktionsanwendungen ausliefern?
Ja – mit einem wichtigen Vorbehalt, was „Produktion" bedeutet. Ein internes Tool, das 5 Personen nutzen, ist etwas anderes als eine Consumer-App, die Zahlungsdaten von 5.000 Nutzern speichert. Nicht-Entwickler bauen und betreiben die erstgenannte Kategorie erfolgreich. Für letztere lautet der Konsens aus Sicherheitsforschung in 2026: Idee mit Vibe Coding validieren, dann einen Entwickler die sicherheitskritischen Bereiche prüfen lassen, bevor echte Nutzer mit echten Daten bedient werden.
Was ist der eigentliche Unterschied zwischen Lovable und Cursor?
Lovable abstrahiert den Code vollständig weg. Man beschreibt, es baut, man veröffentlicht – die Dateien sieht man nie. Cursor ist ein Code-Editor, bei dem KI schnelleres Schreiben ermöglicht, aber man bleibt in der Codebase, liest und committet jede Änderung selbst. Die richtige Wahl hängt davon ab, ob man Code lesen kann – nicht davon, welches Tool bessere Bewertungen hat. Für Entwickler: Cursor. Für alle anderen am Anfang: Lovable oder Bolt.
Ist Vibe Coding tot?
Als Praxis nicht – es ist Mainstream. GitHub meldet, dass 46 % des neu geschriebenen Codes KI-generiert ist. Als Begriff, der genau beschreibt, was erfahrene Entwickler mit diesen Tools tun, verblasst er. Karpathy selbst hat sich davon distanziert. Die Tools sind dieselben; die professionelle Erwartung an Kontrolle und Aufsicht hat sich verändert.
Was kostet Vibe Coding zum Einstieg wirklich?
Lovables bezahlter Plan beginnt bei 25 /Monat (Stand: Juni 2026). Cursor Pro kostet 20 /Monat. Bolt.new hat eine kostenlose Stufe mit begrenztem täglichem Token-Budget. Claude Code wird nutzungsbasiert über Anthropics API abgerechnet. Ein Solo-Gründer, der ein MVP baut, bleibt bei geringer Nutzung typischerweise unter 50 /Monat. Produktionsworkloads auf großen Codebases können je nach Intensität token-intensiver Operationen 200–500 /Monat kosten.
Vibe Coding ist weder ein Betrug noch ein Ersatz für Software-Engineering. Es ist ein Spektrum: an einem Ende Nicht-Techniker, die zum ersten Mal echte Dinge bauen; am anderen Ende erfahrene Entwickler, die KI als hochproduktiven Mitarbeiter einsetzen und dabei die Verantwortung für alles behalten, was ausgeliefert wird.
Die Fehler sind vorhersehbar. Sie folgen einem Muster: große Mengen generierten Codes übernehmen, ohne sie zu lesen; Sicherheitsschichten auslassen, die nie angefragt wurden; einen No-Code-Prototypen in ein Produktivsystem skalieren wollen, ohne die zugrunde liegende Architektur zu verstehen.
Die Menschen, die Mitte 2026 den größten Nutzen aus diesen Tools ziehen, sind nicht diejenigen, die sich „vollständig den Vibes hingeben". Es sind diejenigen, die genau wissen, wann sie an die KI delegieren – und genau, was sie prüfen müssen, wenn das Ergebnis zurückkommt.
Einen Überblick über die breitere KI-Coding-Landschaft bietet unser Leitfaden zu den besten KI-Coding-Assistenten – er deckt das gesamte Spektrum von Cursor bis GitHub Copilot mit aktuellen Preisen für 2026 ab.
Wer beginnt, agentengesteuerte Workflows über die reine Code-Generierung hinaus aufzubauen, findet in How to Use AI Agents die praktischen Orchestrierungsmuster, die einmalige Generierung von wiederholbaren automatisierten Systemen unterscheiden.
ChatGPT, Claude, Gemini, DeepSeek, Grok & 25+ mehr
Sprache + Bildschirmfreigabe · sofortige Antworten
Wie lernt man am besten eine neue Sprache?
Immersion und verteilte Wiederholung funktionieren am besten. Versuchen Sie, täglich Medien in Ihrer Zielsprache zu konsumieren.
Sprache + Bildschirmfreigabe · KI antwortet in Echtzeit
Flux, Nano Banana, Ideogram, Recraft + mehr

KI-Autovervollständigung, Umschreiben & Erweitern auf Befehl
PDF, URL oder YouTube → Chat, Quiz, Podcast & mehr
Veo, Kling, MiniMax, Sora + mehr
Natürliche KI-Stimmen, 30+ Sprachen
Schreiben, debuggen & Code erklären
PDFs hochladen, Inhalte analysieren
Voller Zugang auf iOS & Android · überall synchronisiert
Chat, Bild, Video & Motion-Tools — nebeneinander

Sparen Sie Stunden an Arbeit und Forschung
Vertraut von Teams bei
Keine Kreditkarte erforderlich