Vibe Coding in 2026: Wat de Data Na 16 Maanden Laat Zien

Vibe Coding in 2026: Wat de Data Na 16 Maanden Laat Zien

Vibe coding beloofde dat iedereen apps kon bouwen in gewone taal. Na 16 maanden data is duidelijk wie er echt van profiteert — en wie vastloopt in de beveiligingsvalkuil.

Kevin·

Vibe Coding in 2026: Wat de Data Na 16 Maanden Laat Zien

Samengevat

  • Andrej Karpathy introduceerde "vibe coding" op 2 februari 2025. Medio 2026 noemt hij de term achterhaald en is hij overgestapt op een nieuw framework.
  • Een onderzoek van METR uit juli 2025 toonde aan dat ervaren ontwikkelaars 19% langzamer werken met AI-tools, ondanks de verwachting 24% sneller te zijn.
  • 91,5% van de vibe-coded apps bevat minimaal één beveiligingslek, blijkt uit Q1 2026-onderzoek over vijf onafhankelijke studies.
  • Vibe coding werkt goed voor: MVP's, interne tools en niet-ontwikkelaars die snel ideeën willen valideren.
  • Het gaat structureel mis bij: alles wat te maken heeft met authenticatie, betalingen of gebruikersdata zonder deskundige review.
  • De professionele doorontwikkeling heet "agentic engineering" — dezelfde tools, maar de engineer leest elke diff en blijft verantwoordelijk.

Op 2 februari 2025 plaatste Andrej Karpathy wat hij later een "losse gedachtenstroom-tweet" noemde: "There's a new kind of coding I call 'vibe coding', where you fully give in to the vibes, embrace exponentials, and forget that the code even exists."

Die tweet werd door Collins Dictionary uitgeroepen tot Woord van het Jaar 2025. De markt die eromheen is ontstaan, is inmiddels 4,7 miljard dollar waard. Lovable, een van de toonaangevende tools, bereikte medio 2026 een ARR van 200 miljoen dollar en een waardering van 6,6 miljard dollar. Bij de Winter 2025-lichting van Y Combinator werkte 25% van de startups met codebases die voor 95% door AI waren gegenereerd.

Na zestien maanden is het tijd om niet meer te vragen "werkt dit?" maar "wat zegt de data?". Het antwoord is rommeliger dan de hype, nuttiger dan de tegenstemmen, en verschilt aanzienlijk per persoon.

De Productiviteitscijfers Vertellen Niet het Hele Verhaal

De kopcijfers zijn makkelijk te vinden: 55% snellere projectafronding, 5,8 keer snellere applicatieontwikkeling, 74% van de ontwikkelaars rapporteert productiviteitswinst. Wat die samenvattingen consequent weglaten, is het METR-onderzoek uit juli 2025.

Daarin werden ervaren software-engineers getest op echte taken, met en zonder AI-codeertools. Resultaat: ze waren 19% langzamer met AI-ondersteuning, ondanks de stellige verwachting 24% sneller te zijn. De kloof tussen verwachting en werkelijkheid bedroeg 43 procentpunten — in de verkeerde richting.

Dat is geen argument tegen AI-tools. Het is een signaal over wie er echt van profiteert. De productiviteitswinst is reëel, maar sterk ongelijk verdeeld:

  • Senior-ontwikkelaars met 3+ jaar ervaring rapporteren winsten van 40-81% op taken die door derden worden gemeten
  • Junior-ontwikkelaars laten geen statistisch significante outputverbetering zien
  • Niet-ontwikkelaars, die 63% van de actieve vibe coding-gebruikers vormen (productmanagers, founders, designers), winnen iets anders: toegang die ze voorheen niet hadden

Het METR-resultaat is begrijpelijk als je bedenkt wat AI-tools daadwerkelijk doen. Ze verlagen de drempel bij goed afgebakende, modulaire taken. Ervaren engineers besteden de meeste tijd aan architectuur, debugging en oordeelsvorming — niet aan het typen van code. Sneller code typen helpt niet als het knelpunt het nadenken is. Intussen kan een founder die voorheen helemaal geen prototype kon bouwen, dat nu in een weekend voor elkaar krijgen.

De tool is oprecht nuttig. Maar niet voor iedereen op dezelfde manier.

Het Beveiligingsprobleem Is Structureel, Niet Toevallig

De kwetsbaarheidsstatistieken komen uit meerdere onafhankelijke bronnen en wijzen allemaal in dezelfde richting. OX Security meldt dat 62% van de AI-gegenereerde code beveiligingsfouten bevat. Een Q1 2026-analyse van SoftwareSeni stelt dat 91,5% van de vibe-coded applicaties minimaal één kwetsbaarheid bevat, op basis van vijf onafhankelijke studies. Escape.tech scande 5.600 publiek beschikbare vibe-coded apps en documenteerde meer dan 2.000 ernstige kwetsbaarheden, 400+ blootgestelde geheimen en 175 gevallen van gelekte persoonsgegevens in live productieomgevingen.

Het cijfer van 91,5% klinkt alarmerend. Dat is het ook. Maar begrijpen waarom is nuttiger dan alleen geschrokken zijn.

AI genereert code op basis van wat je erin stopt. Als je schrijft "maak een takenapp met gebruikersaccounts," schrijft de AI authenticatie die functioneert. Maar SQL-injectiebeveiliging, rate limiting bij inlogpogingen of CSRF-tokens voegt de AI er niet aan toe, tenzij je daar expliciet om vraagt. Die beveiligingslagen vereisen domeinkennis om überhaupt te weten dat ze bestaan.

Escape.tech benoemde dit patroon expliciet: vibe coding-fouten zijn doorgaans structureel van aard — hele beveiligingslagen die nooit zijn geïmplementeerd omdat de AI er nooit naar is gevraagd. Dit verschilt van AI die gebroken code schrijft. De AI schreef precies wat gevraagd werd. De ontbrekende onderdelen zijn nooit aangevraagd.

Dit is oplosbaar voor mensen die weten wat ze moeten vragen. Het is niet oplosbaar door te hopen dat de AI het vanzelf oppakt.

De analyse van CodeRabbit uit december 2025 concludeerde dat AI-medegeschreven code ongeveer 1,7 keer meer "ernstige" problemen bevat dan door mensen geschreven code, inclusief een 2,74 keer hoger percentage beveiligingskwetsbaarheden. Die data geldt voor alle AI-ondersteunde code, niet alleen pure vibe coding-apps — wat suggereert dat het probleem toeneemt naarmate je minder toezicht houdt op de AI.

Het Spectrum van Tools Begrijpen

"Vibe coding" is synoniem geworden voor elke prompt-gestuurde ontwikkeling, wat voor verwarring zorgt omdat de tools heel verschillende gebruikers bedienen.

No-code AI-bouwers (Lovable, Bolt.new, Replit Agent) laten je in gewone taal beschrijven wat je wilt. Het platform genereert, host en beheert de code. Je ziet de onderliggende bestanden nooit. Deze tools zijn ontworpen voor niet-ontwikkelaars en voor snelle ideevalidatie.

AI-code-editors (Cursor, Windsurf, Claude Code) vereisen programmeerkennis. Ze genereren code in je ontwikkelomgeving, waar je elke wijziging leest en beoordeelt voordat je iets vastlegt. De AI is een erg snelle, soms onbetrouwbare medewerker — geen autonome bouwer.

De fout die de meeste teams maken: beginnen met Lovable, 80% van een werkende MVP bereiken, en dan proberen het uit te breiden naar een productiesysteem zonder te begrijpen wat eronder ligt. No-code-gegenereerde codebases hebben vaak patronen die geoptimaliseerd zijn voor de generator, niet voor langdurig onderhoud.

Een praktisch beslissingskader:

SituatieAanpakTool om mee te beginnen
Dit weekend een idee validerenVolledig vibe codingLovable, Bolt.new
Interne tool voor een klein teamBegeleid genererenCursor
SaaS-product met echte gebruikersAgentic engineeringCursor of Claude Code
Authenticatie, betalingen of gebruikersdataMens-gestuurd met AI-ondersteuningCode review vereist

Karpathy Is Alweer Verder Gegaan

De persoon die de term bedacht, zegt nu dat hij achterhaald is.

Op Sequoia Ascent 2026 introduceerde Karpathy een framework dat hij "agentic engineering" noemt. Zijn redenering: in december 2025 was de betrouwbaarheid van modellen voldoende verbeterd om het echte knelpunt te verschuiven. De vraag is niet langer of AI code kan schrijven. De vraag is of mensen betekenisvol toezicht kunnen houden op door AI geschreven systemen.

Het onderscheid dat hij maakt:

Vibe coding verhoogt de vloer. Iedereen kan iets functioneels bouwen. Codekwaliteit is vaak wat Karpathy "opgeblazen, veel copy-paste, onhandige abstracties die broos zijn" noemt. Het wordt opgeleverd, en dat heeft waarde. Lage verantwoordingsplicht past daarbij, want de inzet is laag.

Agentic engineering verhoogt het plafond. Professionele ontwikkelaars orkestreren AI-agents terwijl ze volledige verantwoordelijkheid behouden. Ze ontwerpen specificaties vóór het prompten, reviewen diffs vóór het samenvoegen, schrijven tests, bouwen evaluatielussen en beheren rechten zorgvuldig.

De meest geciteerde uitspraak uit de talk: "You can outsource your thinking but you can't outsource your understanding."

In de praktijk zit het verschil tussen beide benaderingen niet in welke tool je gebruikt. Het zit in wat je doet nadat de AI code heeft gegenereerd. Een ontwikkelaar die Cursor gebruikt en alle suggesties accepteert zonder te lezen, doet aan vibe coding. Een ontwikkelaar die elke gegenereerde diff behandelt als een PR van een junior engineer — regel voor regel leest en niets samenvoegt wat hij niet kan uitleggen — doet aan agentic engineering. Dezelfde tool. Een andere discipline.

Wat Je Altijd Zelf Moet Schrijven of Reviewen

Op basis van de gedocumenteerde faalpatronen zijn er categorieën die nooit zonder menselijke review naar productie mogen, ongeacht de aanpak:

  • Authenticatielogica: Wachtwoord-hashing, sessiebeheer, tokenvalidatie
  • Betalingsverwerking: Webhook-afhandeling, idempotentiesleutels, herstel bij foutstatussen
  • Databasequeries met gebruikersinput: Code die queries opbouwt op basis van externe data
  • Autorisatiecontroles: Wie mag welke records lezen, schrijven of verwijderen
  • Omgang met geheimen: Omgevingsvariabelen, API-sleutelrotatie, tokenopslag

Al het andere is een redelijke kandidaat voor AI-ondersteunde generatie met review. Deze vijf categorieën zijn waar de structurele fouten zich concentreren.

Veelgestelde Vragen

Kunnen niet-ontwikkelaars echt productie-apps lanceren met vibe coding?

Ja, met een belangrijke nuance over wat "productie" betekent. Een interne tool die door 5 mensen wordt gebruikt, verschilt sterk van een consumentenapp die betalingsdata opslaat van 5.000 mensen. Niet-ontwikkelaars bouwen en lanceren de eerste categorie met succes. Voor de tweede is de consensus van beveiligingsonderzoekers in 2026: valideer je idee met vibe coding, laat daarna een ontwikkelaar de beveiligingskritieke onderdelen auditen voordat je echte gebruikers met echte data bedient.

Wat is het echte verschil tussen Lovable en Cursor?

Lovable abstraheert de code volledig weg. Je beschrijft, het bouwt, je lanceert — je raakt de bestanden nooit aan. Cursor is een code-editor waarbij AI je helpt sneller te schrijven, maar je blijft in de codebase en leest en bevestigt elke wijziging. De juiste keuze hangt af van of je code kunt lezen, niet van welke tool betere recensies heeft. Voor ontwikkelaars: Cursor. Voor iedereen die begint zonder programmeerkennis: Lovable of Bolt.

Is vibe coding voorbij?

Als praktijk niet — het is mainstream. GitHub meldt dat 46% van alle nieuwe code nu door AI wordt gegenereerd. Als term die nauwkeurig beschrijft wat ervaren engineers met deze tools doen, raakt hij wel in onbruik. Karpathy zelf is er al van afgestapt. De tools zijn hetzelfde; de professionele verwachting van toezicht is veranderd.

Wat kost vibe coding om mee te beginnen?

Het betaalde abonnement van Lovable begint bij 25 per maand (stand van zaken juni 2026). Cursor Pro kost 20 per maand. Bolt.new heeft een gratis laag met een beperkt aantal tokens per dag. Claude Code werkt op API-gebruik, gefactureerd via de Anthropic API. Een solo-founder die een MVP bouwt, blijft doorgaans onder de 50 per maand bij laag gebruik. Productiewerklast op grote codebases kan 200-500 per maand kosten, afhankelijk van hoe intensief je tokenintensieve bewerkingen gebruikt.

Het Eindoordeel

Vibe coding is geen oplichterij en geen vervanging voor software-engineering. Het is een spectrum: aan de ene kant niet-technische mensen die voor het eerst echte dingen bouwen; aan de andere kant ervaren engineers die AI inzetten als een snelle medewerker, terwijl ze verantwoordelijk blijven voor wat er wordt opgeleverd.

De mislukkingen zijn voorspelbaar. Ze volgen een patroon: grote hoeveelheden gegenereerde code accepteren zonder te lezen, beveiligingslagen overslaan die nooit zijn aangevraagd, en een no-code-prototype proberen op te schalen naar een productiesysteem zonder de onderliggende architectuur te begrijpen.

De mensen die in mid-2026 het meeste halen uit deze tools, zijn niet degenen die "volledig meegaan met de vibes." Het zijn degenen die precies weten wanneer ze iets aan AI kunnen delegeren en precies weten wat ze moeten inspecteren als het resultaat terugkomt.

Voor een overzicht van het bredere AI-codeertools-landschap behandelt onze gids voor de beste AI-codeerassistenten het volledige spectrum van Cursor tot GitHub Copilot, met prijzen zoals die gelden in 2026.

Als je begint met het bouwen van agent-gedreven workflows die verder gaan dan alleen codegeneratie, legt hoe je AI-agents gebruikt de praktische orchestratiepatronen uit die het verschil maken tussen eenmalige generatie en herhaalbare geautomatiseerde systemen.

Ontdek Zemith Functies

Elke top AI. Eén abonnement.

ChatGPT, Claude, Gemini, DeepSeek, Grok & 25+ meer

OpenAI
OpenAI
Anthropic
Anthropic
Google
Google
DeepSeek
DeepSeek
xAI
xAI
Perplexity
Perplexity
OpenAI
OpenAI
Anthropic
Anthropic
Google
Google
DeepSeek
DeepSeek
xAI
xAI
Perplexity
Perplexity
Meta
Meta
Mistral
Mistral
MiniMax
MiniMax
Recraft
Recraft
Stability
Stability
Kling
Kling
Meta
Meta
Mistral
Mistral
MiniMax
MiniMax
Recraft
Recraft
Stability
Stability
Kling
Kling
25+ modellen · wissel op elk moment

Altijd aan, realtime AI.

Stem + scherm delen · directe antwoorden

LIVE
Jij

Wat is de beste manier om een nieuwe taal te leren?

Zemith

Onderdompeling en gespreide herhaling werken het beste. Probeer dagelijks media in je doeltaal te consumeren.

Stem + scherm delen · AI antwoordt in realtime

Afbeeldingen genereren

Flux, Nano Banana, Ideogram, Recraft + meer

AI generated image
1:116:99:164:33:2

Schrijf met de snelheid van je gedachten.

AI-autocomplete, herschrijven & uitbreiden op commando

AI Notitieblok

Elk document. Elk formaat.

PDF, URL of YouTube → chat, quiz, podcast & meer

📄
research-paper.pdf
PDF · 42 pagina's
📝
Quiz
Interactief
Gereed

Video maken

Veo, Kling, MiniMax, Sora + meer

AI generated video preview
5s10s720p1080p

Tekst naar spraak

Natuurlijke AI-stemmen, 30+ talen

Code genereren

Schrijf, debug & leg code uit

def analyze(data):
summary = model.predict(data)
return f"Result: {summary}"

Chat met documenten

Upload PDF's, analyseer inhoud

PDFDOCTXTCSV+ more

Je AI in je zak.

Volledige toegang op iOS & Android · overal gesynchroniseerd

Download de app
Alles waar je van houdt, in je zak.

Je oneindige AI-canvas.

Chat, afbeelding, video & motion-tools — naast elkaar

Workflow canvas showing Prompt, Image Generation, Remove Background, and Video nodes connected together

Bespaar uren werk en onderzoek

Eenvoudige, betaalbare prijzen

Vertrouwd door teams bij

Google logoHarvard logoCambridge logoNokia logoCapgemini logoZapier logo
OpenAI
OpenAI
Anthropic
Anthropic
Google
Google
DeepSeek
DeepSeek
xAI
xAI
Perplexity
Perplexity
MiniMax
MiniMax
Kling
Kling
Recraft
Recraft
Meta
Meta
Mistral
Mistral
Stability
Stability
OpenAI
OpenAI
Anthropic
Anthropic
Google
Google
DeepSeek
DeepSeek
xAI
xAI
Perplexity
Perplexity
MiniMax
MiniMax
Kling
Kling
Recraft
Recraft
Meta
Meta
Mistral
Mistral
Stability
Stability
4.6
30.000+ gebruikers
Beveiliging op bedrijfsniveau
Op elk moment opzegbaar

Gratis

$0
voor altijd gratis
 

Geen creditcard vereist

  • 100 credits per dag
  • 3 AI-modellen om te proberen
  • Basis AI-chat
Meest populair

Plus

14.99per maand
Jaarlijks gefactureerd
~2 maanden Gratis met Jaarplan
  • 1.000.000 credits/maand
  • 25+ AI-modellen — GPT, Claude, Gemini, Grok & meer
  • Agent Mode met webzoeken, computertools en meer
  • Creative Studio: beeldgeneratie en videogeneratie
  • Project Library: chat met documenten, websites en YouTube, podcast-generatie, flashcards, rapporten en meer
  • Workflow Studio en FocusOS

Professioneel

24.99per maand
Jaarlijks gefactureerd
~4 maanden Gratis met Jaarplan
  • Alles in Plus, en:
  • 2.100.000 credits/maand
  • Pro-exclusieve modellen (Claude Opus, Grok 4, Sonar Pro)
  • Motion Tools & Max Mode
  • Eerste toegang tot de nieuwste functies
  • Toegang tot extra aanbiedingen