
Il vibe coding prometteva a chiunque di creare app in italiano semplice. I dati di 16 mesi rivelano chi ne trae davvero vantaggio — e chi cade nella trappola della sicurezza.
In sintesi
- Andrej Karpathy ha coniato il termine "vibe coding" il 2 febbraio 2025. A metà 2026, lo considera già superato e ha adottato un nuovo approccio.
- Uno studio METR del luglio 2025 ha rilevato che gli sviluppatori esperti sono il 19% più lenti con gli strumenti AI, nonostante prevedessero guadagni del 24%.
- Il 91,5% delle app create con vibe coding presenta almeno una vulnerabilità di sicurezza, secondo una ricerca del primo trimestre 2026 su cinque studi indipendenti.
- Il vibe coding funziona bene per: MVP, strumenti interni e non-sviluppatori che vogliono validare idee rapidamente.
- Fallisce sistematicamente per: tutto ciò che riguarda autenticazione, pagamenti o dati utente senza revisione da parte di un esperto.
- L'evoluzione professionale si chiama "agentic engineering" — stessi strumenti, ma l'ingegnere legge ogni diff e mantiene la piena responsabilità del codice.
Il 2 febbraio 2025, Andrej Karpathy pubblicò quello che lui stesso avrebbe poi definito un "tweet buttato lì sotto la doccia": "C'è un nuovo modo di programmare che chiamo 'vibe coding', in cui ti abbandoni completamente alle vibrazioni, abbracci gli esponenziali e dimentichi persino che il codice esiste."
Quel tweet è diventato la Parola dell'Anno 2025 del Collins Dictionary. Il mercato costruito attorno a questo concetto vale oggi 4,7 miliardi di dollari. Lovable, uno degli strumenti più diffusi, ha raggiunto 200 milioni di dollari di ARR e una valutazione di 6,6 miliardi di dollari entro metà 2026. Il 25% delle startup del batch Winter 2025 di Y Combinator opera su codebase generate al 95% dall'AI.
Sedici mesi sono sufficienti per smettere di chiedersi "funzionerà?" e iniziare a chiedersi "cosa dicono i dati?" La risposta è più complessa rispetto all'hype, più utile della reazione contraria, e concretamente diversa a seconda di chi sei.
Le statistiche di punta sono facili da trovare: completamento dei progetti il 55% più veloce, sviluppo di applicazioni 5,8 volte più rapido, 74% degli sviluppatori che dichiara guadagni di produttività. Quello che questi riassunti omettono sistematicamente è lo studio METR del luglio 2025.
Lo studio ha testato ingegneri software esperti su task reali, con e senza strumenti AI. Il risultato: erano 19% più lenti con l'assistenza dell'AI, nonostante prevedessero con fiducia di essere il 24% più veloci. Il divario tra aspettative e realtà era di 43 punti percentuali nella direzione sbagliata.
Questo non è un argomento contro gli strumenti AI. È un segnale su chi ne trae davvero vantaggio. I guadagni di produttività esistono, ma sono molto disomogenei:
Il risultato METR ha senso se si pensa a cosa fanno davvero gli strumenti AI. Riducono la frizione su task ben definiti e modulari. Gli ingegneri esperti trascorrono la maggior parte del tempo sull'architettura, il debugging e le scelte progettuali, non a digitare codice. Digitare codice più velocemente non aiuta quando il collo di bottiglia è il ragionamento. Nel frattempo, un founder che prima non riusciva a costruire un prototipo ora può farlo in un weekend.
Lo strumento è genuinamente utile. Non è universalmente utile nello stesso modo per le stesse persone.
Le statistiche sulle vulnerabilità provengono da più fonti indipendenti e convergono verso la stessa conclusione. OX Security riporta che il 62% del codice generato dall'AI viene distribuito con falle di sicurezza. Un'analisi del primo trimestre 2026 pubblicata da SoftwareSeni ha rilevato che il 91,5% delle applicazioni create con vibe coding presenta almeno una vulnerabilità in cinque studi indipendenti. Escape.tech ha scansionato 5.600 app pubblicamente disponibili create con vibe coding e documentato oltre 2.000 vulnerabilità ad alto impatto, più di 400 segreti esposti e 175 casi di dati personali esposti in sistemi in produzione.
La cifra del 91,5% suona allarmante. Ed è allarmante. Ma capire il perché è più utile che essere semplicemente allarmati.
L'AI genera codice in base a ciò che le viene richiesto. Quando scrivi "costruisci un'app todo con account utente", l'AI scrive un'autenticazione funzionante. Non aggiungerà protezione contro SQL injection, rate limiting sui tentativi di login o token CSRF a meno che tu non lo richieda esplicitamente. Questi livelli di sicurezza richiedono conoscenze specifiche del dominio per sapere che esistono.
Escape.tech ha nominato direttamente questo schema: i fallimenti del vibe coding tendono ad essere strutturali, ovvero interi livelli di sicurezza mai implementati perché l'AI non è mai stata istruita ad implementarli. Questo è diverso dal fatto che l'AI scriva codice errato. L'AI ha scritto esattamente ciò che le è stato chiesto. Le parti mancanti non sono mai state richieste.
È risolvibile da chi sa cosa chiedere. Non è risolvibile sperando che l'AI lo gestisca senza istruzioni esplicite.
L'analisi di CodeRabbit del dicembre 2025 ha rilevato che il codice co-scritto dall'AI contiene circa 1,7 volte più problemi "critici" rispetto al codice scritto da esseri umani, incluso un tasso 2,74 volte superiore di vulnerabilità di sicurezza. Questi dati riguardano tutto il codice assistito dall'AI, non solo le app create con vibe coding puro, il che suggerisce che il problema si amplifica quanto più si riduce la supervisione umana sull'AI.
"Vibe coding" è diventato un termine generico per qualsiasi sviluppo guidato da prompt, il che crea confusione perché gli strumenti servono utenti molto diversi.
I builder AI no-code (Lovable, Bolt.new, Replit Agent) ti permettono di descrivere in linguaggio naturale cosa vuoi. La piattaforma genera, ospita e gestisce il codice. Non vedi mai i file sottostanti. Sono progettati per i non-sviluppatori e per la validazione rapida delle idee.
Gli editor di codice AI (Cursor, Windsurf, Claude Code) richiedono conoscenze di programmazione. Generano codice all'interno del tuo ambiente di sviluppo, dove leggi e rivedi ogni modifica prima di eseguire il commit. L'AI è un collaboratore molto veloce, a volte inaffidabile, non un costruttore autonomo.
La modalità di fallimento più comune per i team: iniziare con Lovable, raggiungere l'80% di un MVP funzionante, poi cercare di estenderlo in un sistema di produzione senza capire cosa è stato costruito sotto. Le codebase generate con strumenti no-code spesso hanno pattern ottimizzati per il generatore, non per la manutenibilità a lungo termine.
Un framework decisionale pratico:
| Situazione | Approccio | Strumento consigliato |
|---|---|---|
| Validare un'idea questo weekend | Vibe coding completo | Lovable, Bolt.new |
| Strumento interno per un piccolo team | Generazione supervisionata | Cursor |
| Prodotto SaaS con utenti reali | Agentic engineering | Cursor o Claude Code |
| Autenticazione, pagamenti o dati utente | Guida umana con assistenza AI | Revisione del codice obbligatoria |
La persona che ha coniato il termine ora lo considera superato.
A Sequoia Ascent 2026, Karpathy ha presentato un framework che chiama "agentic engineering". La sua tesi: a partire da dicembre 2025, l'affidabilità dei modelli è migliorata abbastanza da spostare il vero collo di bottiglia. La domanda non è più se l'AI sa scrivere codice. È se gli esseri umani riescono a mantenere una supervisione significativa sui sistemi scritti dall'AI.
Il vibe coding alza il pavimento. Chiunque può costruire qualcosa di funzionale. La qualità del codice è spesso quello che Karpathy chiama "gonfio, pieno di copia-incolla, con astrazioni imbarazzanti e fragili." Viene distribuito, e questo ha valore. La bassa responsabilità è appropriata perché la posta in gioco è bassa.
L'agentic engineering alza il soffitto. I developer professionisti orchestrano agenti AI mantenendo la piena responsabilità. Progettano specifiche prima di scrivere prompt, revisionano i diff prima del merge, scrivono test, costruiscono loop di valutazione e gestiscono con attenzione i permessi.
La frase più citata del talk: "Puoi delegare il tuo pensiero ma non puoi delegare la tua comprensione."
In pratica, il confine tra i due approcci non è quale strumento usi. È cosa fai dopo che l'AI ha generato il codice. Uno sviluppatore che usa Cursor e accetta tutti i suggerimenti senza leggerli sta facendo vibe coding. Uno sviluppatore che tratta ogni diff generato come una PR da un ingegnere junior, lo legge riga per riga e si rifiuta di fare merge di qualsiasi cosa che non sappia spiegare, sta facendo agentic engineering. Stesso strumento. Disciplina diversa.
Sulla base degli schemi di fallimento documentati, alcune categorie non dovrebbero mai andare in produzione senza revisione umana, indipendentemente dall'approccio:
Tutto il resto è un candidato ragionevole per la generazione assistita dall'AI con revisione. Queste cinque categorie sono quelle in cui si concentrano i fallimenti strutturali.
I non-sviluppatori riescono davvero a distribuire app in produzione con il vibe coding?
Sì, con un'importante distinzione su cosa significa "produzione". Uno strumento interno usato da 5 persone è diverso da un'app consumer che gestisce dati di pagamento di 5.000 utenti. I non-sviluppatori costruiscono e distribuiscono con successo il primo tipo. Per il secondo, il consenso dei ricercatori di sicurezza nel 2026 è: valida la tua idea con il vibe coding, poi fai revisionare i percorsi critici per la sicurezza da uno sviluppatore prima di servire utenti reali con dati reali.
Qual è la vera differenza tra Lovable e Cursor?
Lovable astrae completamente il codice. Descrivi, si costruisce, distribuisci, non tocchi mai i file. Cursor è un editor di codice in cui l'AI ti aiuta a scrivere più velocemente, ma rimani nella codebase, leggendo e committando ogni modifica. La scelta giusta dipende dal fatto che tu sappia leggere il codice, non da quale strumento ha recensioni migliori. Per gli sviluppatori, Cursor. Per tutti gli altri che iniziano, Lovable o Bolt.
Il vibe coding è morto?
Come pratica, no: è diventato mainstream. GitHub riporta che il 46% del nuovo codice è ora generato dall'AI. Come termine che descrive accuratamente ciò che gli ingegneri esperti fanno con questi strumenti, sta svanendo. Karpathy stesso lo ha abbandonato. Gli strumenti sono gli stessi; le aspettative professionali in termini di supervisione sono cambiate.
Quanto costa iniziare con il vibe coding?
Il piano a pagamento di Lovable parte da 25 dollari al mese (a giugno 2026). Cursor Pro costa 20 dollari al mese. Bolt.new ha un tier gratuito con token limitati al giorno. Claude Code è basato sull'utilizzo delle API, con prezzi tramite le API di Anthropic. Un founder indipendente che costruisce un MVP di solito rimane sotto i 50 dollari al mese con un utilizzo ridotto. I carichi di lavoro in produzione su codebase di grandi dimensioni possono arrivare a 200-500 dollari al mese a seconda di quanto si utilizzano operazioni intensive in termini di token.
Il vibe coding non è una truffa e non è un sostituto dell'ingegneria del software. È uno spettro: a un'estremità, persone non tecniche che costruiscono cose reali per la prima volta; all'altra, ingegneri esperti che usano l'AI come collaboratore ad alta velocità mantenendo la responsabilità di ciò che viene distribuito.
I fallimenti sono prevedibili. Seguono uno schema: accettare grandi quantità di codice generato senza leggerlo, saltare livelli di sicurezza che non sono mai stati richiesti, e cercare di scalare un prototipo no-code in un sistema di produzione senza capire l'architettura sottostante.
Le persone che traggono i maggiori benefici da questi strumenti a metà 2026 non sono quelle che "si abbandonano completamente alle vibrazioni". Sono quelle che capiscono esattamente quando delegare all'AI ed esattamente cosa ispezionare quando il risultato torna indietro.
Per una panoramica del più ampio panorama degli strumenti AI per la programmazione, la nostra guida ai migliori assistenti AI per il coding copre l'intero spettro da Cursor a GitHub Copilot con i prezzi aggiornati al 2026.
Se stai iniziando a costruire workflow basati su agenti al di là della semplice generazione di codice, come usare gli agenti AI illustra i pattern pratici di orchestrazione che distinguono la generazione occasionale dai sistemi automatizzati e ripetibili.
ChatGPT, Claude, Gemini, DeepSeek, Grok e 25+ altri
Voce + condivisione schermo · risposte istantanee
Qual è il modo migliore per imparare una nuova lingua?
L'immersione e la ripetizione dilazionata funzionano meglio. Prova a consumare contenuti nella tua lingua obiettivo ogni giorno.
Voce + condivisione schermo · L'AI risponde in tempo reale
Flux, Nano Banana, Ideogram, Recraft + altro

Autocompletamento AI, riscrittura ed espansione su comando
PDF, URL o YouTube → chat, quiz, podcast e altro
Veo, Kling, MiniMax, Sora + altro
Voci AI naturali, 30+ lingue
Scrivi, esegui debug e spiega codice
Carica PDF, analizza contenuti
Accesso completo su iOS e Android · sincronizzato ovunque
Chat, immagini, video e strumenti di movimento — affiancati

Risparmia ore di lavoro e ricerca
Scelto dai team di
Nessuna carta di credito richiesta