
Vibe coding beloofde dat iedereen apps kon bouwen in gewone taal. Na 16 maanden data is duidelijk wie er echt van profiteert — en wie vastloopt in de beveiligingsvalkuil.
Samengevat
- Andrej Karpathy introduceerde "vibe coding" op 2 februari 2025. Medio 2026 noemt hij de term achterhaald en is hij overgestapt op een nieuw framework.
- Een onderzoek van METR uit juli 2025 toonde aan dat ervaren ontwikkelaars 19% langzamer werken met AI-tools, ondanks de verwachting 24% sneller te zijn.
- 91,5% van de vibe-coded apps bevat minimaal één beveiligingslek, blijkt uit Q1 2026-onderzoek over vijf onafhankelijke studies.
- Vibe coding werkt goed voor: MVP's, interne tools en niet-ontwikkelaars die snel ideeën willen valideren.
- Het gaat structureel mis bij: alles wat te maken heeft met authenticatie, betalingen of gebruikersdata zonder deskundige review.
- De professionele doorontwikkeling heet "agentic engineering" — dezelfde tools, maar de engineer leest elke diff en blijft verantwoordelijk.
Op 2 februari 2025 plaatste Andrej Karpathy wat hij later een "losse gedachtenstroom-tweet" noemde: "There's a new kind of coding I call 'vibe coding', where you fully give in to the vibes, embrace exponentials, and forget that the code even exists."
Die tweet werd door Collins Dictionary uitgeroepen tot Woord van het Jaar 2025. De markt die eromheen is ontstaan, is inmiddels 4,7 miljard dollar waard. Lovable, een van de toonaangevende tools, bereikte medio 2026 een ARR van 200 miljoen dollar en een waardering van 6,6 miljard dollar. Bij de Winter 2025-lichting van Y Combinator werkte 25% van de startups met codebases die voor 95% door AI waren gegenereerd.
Na zestien maanden is het tijd om niet meer te vragen "werkt dit?" maar "wat zegt de data?". Het antwoord is rommeliger dan de hype, nuttiger dan de tegenstemmen, en verschilt aanzienlijk per persoon.
De kopcijfers zijn makkelijk te vinden: 55% snellere projectafronding, 5,8 keer snellere applicatieontwikkeling, 74% van de ontwikkelaars rapporteert productiviteitswinst. Wat die samenvattingen consequent weglaten, is het METR-onderzoek uit juli 2025.
Daarin werden ervaren software-engineers getest op echte taken, met en zonder AI-codeertools. Resultaat: ze waren 19% langzamer met AI-ondersteuning, ondanks de stellige verwachting 24% sneller te zijn. De kloof tussen verwachting en werkelijkheid bedroeg 43 procentpunten — in de verkeerde richting.
Dat is geen argument tegen AI-tools. Het is een signaal over wie er echt van profiteert. De productiviteitswinst is reëel, maar sterk ongelijk verdeeld:
Het METR-resultaat is begrijpelijk als je bedenkt wat AI-tools daadwerkelijk doen. Ze verlagen de drempel bij goed afgebakende, modulaire taken. Ervaren engineers besteden de meeste tijd aan architectuur, debugging en oordeelsvorming — niet aan het typen van code. Sneller code typen helpt niet als het knelpunt het nadenken is. Intussen kan een founder die voorheen helemaal geen prototype kon bouwen, dat nu in een weekend voor elkaar krijgen.
De tool is oprecht nuttig. Maar niet voor iedereen op dezelfde manier.
De kwetsbaarheidsstatistieken komen uit meerdere onafhankelijke bronnen en wijzen allemaal in dezelfde richting. OX Security meldt dat 62% van de AI-gegenereerde code beveiligingsfouten bevat. Een Q1 2026-analyse van SoftwareSeni stelt dat 91,5% van de vibe-coded applicaties minimaal één kwetsbaarheid bevat, op basis van vijf onafhankelijke studies. Escape.tech scande 5.600 publiek beschikbare vibe-coded apps en documenteerde meer dan 2.000 ernstige kwetsbaarheden, 400+ blootgestelde geheimen en 175 gevallen van gelekte persoonsgegevens in live productieomgevingen.
Het cijfer van 91,5% klinkt alarmerend. Dat is het ook. Maar begrijpen waarom is nuttiger dan alleen geschrokken zijn.
AI genereert code op basis van wat je erin stopt. Als je schrijft "maak een takenapp met gebruikersaccounts," schrijft de AI authenticatie die functioneert. Maar SQL-injectiebeveiliging, rate limiting bij inlogpogingen of CSRF-tokens voegt de AI er niet aan toe, tenzij je daar expliciet om vraagt. Die beveiligingslagen vereisen domeinkennis om überhaupt te weten dat ze bestaan.
Escape.tech benoemde dit patroon expliciet: vibe coding-fouten zijn doorgaans structureel van aard — hele beveiligingslagen die nooit zijn geïmplementeerd omdat de AI er nooit naar is gevraagd. Dit verschilt van AI die gebroken code schrijft. De AI schreef precies wat gevraagd werd. De ontbrekende onderdelen zijn nooit aangevraagd.
Dit is oplosbaar voor mensen die weten wat ze moeten vragen. Het is niet oplosbaar door te hopen dat de AI het vanzelf oppakt.
De analyse van CodeRabbit uit december 2025 concludeerde dat AI-medegeschreven code ongeveer 1,7 keer meer "ernstige" problemen bevat dan door mensen geschreven code, inclusief een 2,74 keer hoger percentage beveiligingskwetsbaarheden. Die data geldt voor alle AI-ondersteunde code, niet alleen pure vibe coding-apps — wat suggereert dat het probleem toeneemt naarmate je minder toezicht houdt op de AI.
"Vibe coding" is synoniem geworden voor elke prompt-gestuurde ontwikkeling, wat voor verwarring zorgt omdat de tools heel verschillende gebruikers bedienen.
No-code AI-bouwers (Lovable, Bolt.new, Replit Agent) laten je in gewone taal beschrijven wat je wilt. Het platform genereert, host en beheert de code. Je ziet de onderliggende bestanden nooit. Deze tools zijn ontworpen voor niet-ontwikkelaars en voor snelle ideevalidatie.
AI-code-editors (Cursor, Windsurf, Claude Code) vereisen programmeerkennis. Ze genereren code in je ontwikkelomgeving, waar je elke wijziging leest en beoordeelt voordat je iets vastlegt. De AI is een erg snelle, soms onbetrouwbare medewerker — geen autonome bouwer.
De fout die de meeste teams maken: beginnen met Lovable, 80% van een werkende MVP bereiken, en dan proberen het uit te breiden naar een productiesysteem zonder te begrijpen wat eronder ligt. No-code-gegenereerde codebases hebben vaak patronen die geoptimaliseerd zijn voor de generator, niet voor langdurig onderhoud.
Een praktisch beslissingskader:
| Situatie | Aanpak | Tool om mee te beginnen |
|---|---|---|
| Dit weekend een idee valideren | Volledig vibe coding | Lovable, Bolt.new |
| Interne tool voor een klein team | Begeleid genereren | Cursor |
| SaaS-product met echte gebruikers | Agentic engineering | Cursor of Claude Code |
| Authenticatie, betalingen of gebruikersdata | Mens-gestuurd met AI-ondersteuning | Code review vereist |
De persoon die de term bedacht, zegt nu dat hij achterhaald is.
Op Sequoia Ascent 2026 introduceerde Karpathy een framework dat hij "agentic engineering" noemt. Zijn redenering: in december 2025 was de betrouwbaarheid van modellen voldoende verbeterd om het echte knelpunt te verschuiven. De vraag is niet langer of AI code kan schrijven. De vraag is of mensen betekenisvol toezicht kunnen houden op door AI geschreven systemen.
Het onderscheid dat hij maakt:
Vibe coding verhoogt de vloer. Iedereen kan iets functioneels bouwen. Codekwaliteit is vaak wat Karpathy "opgeblazen, veel copy-paste, onhandige abstracties die broos zijn" noemt. Het wordt opgeleverd, en dat heeft waarde. Lage verantwoordingsplicht past daarbij, want de inzet is laag.
Agentic engineering verhoogt het plafond. Professionele ontwikkelaars orkestreren AI-agents terwijl ze volledige verantwoordelijkheid behouden. Ze ontwerpen specificaties vóór het prompten, reviewen diffs vóór het samenvoegen, schrijven tests, bouwen evaluatielussen en beheren rechten zorgvuldig.
De meest geciteerde uitspraak uit de talk: "You can outsource your thinking but you can't outsource your understanding."
In de praktijk zit het verschil tussen beide benaderingen niet in welke tool je gebruikt. Het zit in wat je doet nadat de AI code heeft gegenereerd. Een ontwikkelaar die Cursor gebruikt en alle suggesties accepteert zonder te lezen, doet aan vibe coding. Een ontwikkelaar die elke gegenereerde diff behandelt als een PR van een junior engineer — regel voor regel leest en niets samenvoegt wat hij niet kan uitleggen — doet aan agentic engineering. Dezelfde tool. Een andere discipline.
Op basis van de gedocumenteerde faalpatronen zijn er categorieën die nooit zonder menselijke review naar productie mogen, ongeacht de aanpak:
Al het andere is een redelijke kandidaat voor AI-ondersteunde generatie met review. Deze vijf categorieën zijn waar de structurele fouten zich concentreren.
Kunnen niet-ontwikkelaars echt productie-apps lanceren met vibe coding?
Ja, met een belangrijke nuance over wat "productie" betekent. Een interne tool die door 5 mensen wordt gebruikt, verschilt sterk van een consumentenapp die betalingsdata opslaat van 5.000 mensen. Niet-ontwikkelaars bouwen en lanceren de eerste categorie met succes. Voor de tweede is de consensus van beveiligingsonderzoekers in 2026: valideer je idee met vibe coding, laat daarna een ontwikkelaar de beveiligingskritieke onderdelen auditen voordat je echte gebruikers met echte data bedient.
Wat is het echte verschil tussen Lovable en Cursor?
Lovable abstraheert de code volledig weg. Je beschrijft, het bouwt, je lanceert — je raakt de bestanden nooit aan. Cursor is een code-editor waarbij AI je helpt sneller te schrijven, maar je blijft in de codebase en leest en bevestigt elke wijziging. De juiste keuze hangt af van of je code kunt lezen, niet van welke tool betere recensies heeft. Voor ontwikkelaars: Cursor. Voor iedereen die begint zonder programmeerkennis: Lovable of Bolt.
Is vibe coding voorbij?
Als praktijk niet — het is mainstream. GitHub meldt dat 46% van alle nieuwe code nu door AI wordt gegenereerd. Als term die nauwkeurig beschrijft wat ervaren engineers met deze tools doen, raakt hij wel in onbruik. Karpathy zelf is er al van afgestapt. De tools zijn hetzelfde; de professionele verwachting van toezicht is veranderd.
Wat kost vibe coding om mee te beginnen?
Het betaalde abonnement van Lovable begint bij 25 per maand (stand van zaken juni 2026). Cursor Pro kost 20 per maand. Bolt.new heeft een gratis laag met een beperkt aantal tokens per dag. Claude Code werkt op API-gebruik, gefactureerd via de Anthropic API. Een solo-founder die een MVP bouwt, blijft doorgaans onder de 50 per maand bij laag gebruik. Productiewerklast op grote codebases kan 200-500 per maand kosten, afhankelijk van hoe intensief je tokenintensieve bewerkingen gebruikt.
Vibe coding is geen oplichterij en geen vervanging voor software-engineering. Het is een spectrum: aan de ene kant niet-technische mensen die voor het eerst echte dingen bouwen; aan de andere kant ervaren engineers die AI inzetten als een snelle medewerker, terwijl ze verantwoordelijk blijven voor wat er wordt opgeleverd.
De mislukkingen zijn voorspelbaar. Ze volgen een patroon: grote hoeveelheden gegenereerde code accepteren zonder te lezen, beveiligingslagen overslaan die nooit zijn aangevraagd, en een no-code-prototype proberen op te schalen naar een productiesysteem zonder de onderliggende architectuur te begrijpen.
De mensen die in mid-2026 het meeste halen uit deze tools, zijn niet degenen die "volledig meegaan met de vibes." Het zijn degenen die precies weten wanneer ze iets aan AI kunnen delegeren en precies weten wat ze moeten inspecteren als het resultaat terugkomt.
Voor een overzicht van het bredere AI-codeertools-landschap behandelt onze gids voor de beste AI-codeerassistenten het volledige spectrum van Cursor tot GitHub Copilot, met prijzen zoals die gelden in 2026.
Als je begint met het bouwen van agent-gedreven workflows die verder gaan dan alleen codegeneratie, legt hoe je AI-agents gebruikt de praktische orchestratiepatronen uit die het verschil maken tussen eenmalige generatie en herhaalbare geautomatiseerde systemen.
ChatGPT, Claude, Gemini, DeepSeek, Grok & 25+ meer
Stem + scherm delen · directe antwoorden
Wat is de beste manier om een nieuwe taal te leren?
Onderdompeling en gespreide herhaling werken het beste. Probeer dagelijks media in je doeltaal te consumeren.
Stem + scherm delen · AI antwoordt in realtime
Flux, Nano Banana, Ideogram, Recraft + meer

AI-autocomplete, herschrijven & uitbreiden op commando
PDF, URL of YouTube → chat, quiz, podcast & meer
Veo, Kling, MiniMax, Sora + meer
Natuurlijke AI-stemmen, 30+ talen
Schrijf, debug & leg code uit
Upload PDF's, analyseer inhoud
Volledige toegang op iOS & Android · overal gesynchroniseerd
Chat, afbeelding, video & motion-tools — naast elkaar

Bespaar uren werk en onderzoek
Vertrouwd door teams bij
Geen creditcard vereist