
Vibe coding обіцяв, що кожен зможе створювати застосунки звичайною мовою. 16 місяців даних розкривають, кому це справді допомагає — і хто потрапляє в пастку безпеки.
Коротко
- Andrej Karpathy запровадив термін «vibe coding» 2 лютого 2025 року. На середину 2026-го він вважає його застарілим і перейшов до нового підходу.
- Дослідження METR у липні 2025 року виявило, що досвідчені розробники працюють на 19% повільніше з інструментами ШІ, хоча самі очікували прискорення на 24%.
- 91,5% застосунків, створених у стилі vibe coding, містять щонайменше одну вразливість безпеки — за даними аналізу за перший квартал 2026 року на основі п'яти незалежних досліджень.
- Vibe coding добре підходить для: MVP, внутрішніх інструментів і людей без технічного досвіду, які хочуть швидко перевірити ідею.
- Він стабільно дає збій при роботі з: автентифікацією, платежами чи даними користувачів без перевірки фахівцем.
- Професійна еволюція — це «agentic engineering»: ті самі інструменти, але інженер читає кожен diff і зберігає відповідальність за результат.
2 лютого 2025 року Andrej Karpathy написав те, що сам потім назвав "спонтанним твітом мимохідь": «Є новий вид програмування, який я називаю vibe coding: ти повністю здаєшся на відчуття, приймаєш експоненти й забуваєш, що код взагалі існує».
Цей твіт став Словом року Collins Dictionary за 2025 рік. Ринок, що виріс навколо нього, сьогодні оцінюється у 4,7 мільярда доларів. Lovable, один із провідних інструментів, досяг 200M ARR і оцінки 6,6 млрд до середини 2026 року. У зимовій когорті Y Combinator 2025 року 25% стартапів працювали на кодових базах, де 95% коду було згенеровано ШІ.
Шістнадцять місяців — достатньо, щоб перестати запитувати «чи спрацює це?» і почати запитувати «що кажуть дані?». Відповідь складніша за галас навколо теми, кориснішa за критику й справді різна залежно від того, хто ви.
Заголовні показники легко знайти: завершення проєктів на 55% швидше, розробка застосунків у 5,8 раза швидше, 74% розробників відзначають зростання продуктивності. Що ці зведення стабільно оминають — так це дослідження METR від липня 2025 року.
Воно тестувало досвідчених інженерів на реальних завданнях — з інструментами ШІ та без них. Результат: з ШІ-асистентами вони працювали на 19% повільніше, хоча впевнено прогнозували прискорення на 24%. Розрив між очікуванням і реальністю склав 43 відсоткові пункти — у протилежний бік.
Це не аргумент проти ШІ-інструментів. Це сигнал про те, кому вони насправді допомагають. Приріст продуктивності реальний, але вкрай нерівномірний:
Результат METR має сенс, якщо задуматися, що насправді роблять ШІ-інструменти. Вони знижують бар'єр для чітко визначених, модульних завдань. Досвідчені інженери витрачають більшу частину часу на архітектуру, відлагодження й прийняття рішень — а не на набір коду. Швидше набирати код не допомагає, коли вузьким місцем є мислення. Натомість засновник, який раніше взагалі не міг створити прототип, тепер може зробити це за вихідні.
Інструмент справді корисний. Але не однаково корисний для всіх і в усіх ситуаціях.
Статистика вразливостей надходить із кількох незалежних джерел і зводиться до одного висновку. OX Security повідомляє, що 62% ШІ-генерованого коду виходить у продакшн із вразливостями. Аналіз SoftwareSeni за перший квартал 2026 року показав: 91,5% застосунків у стилі vibe coding містять щонайменше одну вразливість за даними п'яти незалежних досліджень. Escape.tech просканував 5 600 публічно доступних vibe-coded застосунків і задокументував понад 2 000 вразливостей із серйозним впливом, 400+ відкритих секретів і 175 випадків витоку персональних даних у живих продакшн-системах.
Цифра 91,5% звучить тривожно. Так і є. Але розуміти чому — корисніше, ніж просто лякатися.
ШІ генерує код на основі того, що ви просите. Коли ви пишете «створи мені todo-застосунок з акаунтами користувачів», ШІ пише автентифікацію, яка функціонує. Але він не додасть захист від SQL-ін'єкцій, обмеження кількості спроб входу чи CSRF-токени — якщо ви про це спеціально не попросите. Ці рівні безпеки вимагають доменних знань, щоб навіть знати про їхнє існування.
Escape.tech назвав цю закономірність прямо: збої у vibe coding, як правило, є структурними — тобто цілі рівні захисту ніколи не були реалізовані, бо ШІ ніхто не просив їх реалізувати. Це відрізняється від ситуації, коли ШІ написав поганий код. ШІ написав саме те, про що його попросили. Відсутні елементи просто ніхто не запитував.
Це можна виправити, якщо знаєш, що запитувати. Сподіватися, що ШІ сам з цим розбереться, — не можна.
Аналіз CodeRabbit за грудень 2025 року виявив, що код зі спільним авторством ШІ містить приблизно в 1,7 раза більше «серйозних» проблем порівняно з кодом, написаним людиною, — зокрема частота вразливостей безпеки вища у 2,74 раза. Ці дані стосуються всього коду з ШІ-асистентом, а не лише чистих vibe coding застосунків, що свідчить: проблема масштабується разом зі зменшенням контролю з боку людини.
«Vibe coding» стало ярликом для будь-якої розробки на основі промптів, що породжує плутанину, адже інструменти орієнтовані на зовсім різних користувачів.
No-code ШІ-конструктори (Lovable, Bolt.new, Replit Agent) дозволяють описати бажане звичайною мовою. Платформа генерує, хостить і керує кодом. Ви ніколи не бачите вихідні файли. Вони розраховані на людей без технічного досвіду та для швидкої перевірки ідей.
ШІ-редактори коду (Cursor, Windsurf, Claude Code) потребують знань програмування. Вони генерують код у вашому середовищі розробки, де ви читаєте й перевіряєте кожну зміну перед комітом. ШІ тут — дуже швидкий, але іноді ненадійний співавтор, а не автономний будівельник.
Типовий збій у командах: починають із Lovable, доходять до 80% робочого MVP, а потім намагаються розширити його до продакшн-системи, не розуміючи, що побудовано під капотом. Кодові бази, згенеровані no-code-інструментами, часто мають патерни, оптимізовані для генератора, а не для довготривалої підтримки.
Практична схема прийняття рішень:
| Ситуація | Підхід | З чого почати |
|---|---|---|
| Перевіряєте ідею цього вихідного | Повний vibe coding | Lovable, Bolt.new |
| Внутрішній інструмент для невеликої команди | Генерація під наглядом | Cursor |
| SaaS-продукт із реальними користувачами | Agentic engineering | Cursor або Claude Code |
| Автентифікація, платежі або дані користувачів | Людина веде, ШІ допомагає | Потрібне ревʼю коду |
Людина, яка придумала цей термін, тепер каже, що він застарів.
На Sequoia Ascent 2026 Karpathy представив підхід, який назвав «agentic engineering». Його аргумент: до грудня 2025 року надійність моделей покращилась настільки, що реальне вузьке місце змістилося. Питання вже не в тому, чи може ШІ писати код. Питання в тому, чи можуть люди зберігати значущий контроль над системами, написаними ШІ.
Відмінність, яку він проводить:
Vibe coding піднімає підлогу. Кожен може створити щось робоче. Якість коду — це нерідко те, що Karpathy називає «роздутим, повним копіпасту, з незграбними абстракціями, які ламаються». Воно виходить у продакшн — і це цінно. Низький рівень відповідальності виправданий, бо й ставки невисокі.
Agentic engineering піднімає стелю. Професійні розробники оркеструють ШІ-агентів, зберігаючи повну відповідальність. Вони проєктують специфікації до промптингу, перевіряють diff-и перед мержем, пишуть тести, будують eval-цикли й уважно керують дозволами.
Найцитованіша фраза з виступу: «Ви можете делегувати своє мислення, але не можете делегувати своє розуміння».
На практиці межа між двома підходами — не в тому, який інструмент ви використовуєте. Вона в тому, що ви робите після того, як ШІ згенерував код. Розробник у Cursor, який приймає всі пропозиції не читаючи, — займається vibe coding. Розробник, який ставиться до кожного згенерованого diff-а як до PR від джуніора, читає рядок за рядком і відмовляється мержити те, чого не може пояснити, — займається agentic engineering. Той самий інструмент. Інша дисципліна.
Виходячи з задокументованих патернів збоїв, деякі категорії ніколи не повинні виходити в продакшн без перевірки людиною — незалежно від підходу:
Усе інше — цілком прийнятний кандидат для ШІ-генерації з подальшою перевіркою. Саме в цих п'яти категоріях концентруються структурні збої.
Чи можуть люди без технічного досвіду справді випускати продакшн-застосунки через vibe coding?
Так, але з важливим уточненням щодо того, що означає «продакшн». Внутрішній інструмент для 5 людей — це зовсім інше, ніж споживчий застосунок із платіжними даними 5 000 користувачів. Перший тип люди без технічного досвіду успішно будують і випускають. Для другого консенсус дослідників безпеки у 2026 році такий: перевіряйте свою ідею через vibe coding, а потім запросіть розробника перевірити критичні з точки зору безпеки частини, перш ніж працювати з реальними користувачами та реальними даними.
У чому реальна різниця між Lovable і Cursor?
Lovable повністю абстрагує код. Ви описуєте — воно будує, ви виходите в продакшн, файлів ви не торкаєтесь. Cursor — це редактор коду, де ШІ допомагає писати швидше, але ви залишаєтесь у кодовій базі, читаєте й підтверджуєте кожну зміну. Правильний вибір залежить від того, чи можете ви читати код, — а не від того, у якого інструменту кращі відгуки. Для розробників — Cursor. Для всіх інших, хто тільки починає, — Lovable або Bolt.
Чи вмер vibe coding?
Як практика — ні, він став мейнстримом. GitHub повідомляє, що 46% нового коду тепер генерується ШІ. Як термін, що точно описує те, що досвідчені інженери роблять із цими інструментами, — він поступово відходить. Сам Karpathy вже рухається далі. Інструменти ті самі; змінилося професійне очікування щодо контролю.
Скільки насправді коштує почати використовувати vibe coding?
Платний план Lovable починається від 25/місяць (станом на червень 2026 року). Cursor Pro — 20/місяць. Bolt.new має безкоштовний тариф із обмеженою кількістю токенів на день. Claude Code тарифікується за використанням API через Anthropic's API. Соло-засновник, що будує MVP, зазвичай вкладається в 50/місяць при невисокому навантаженні. Продакшн-навантаження на великих кодових базах може коштувати 200–500/місяць залежно від інтенсивності використання токеномістких операцій.
Vibe coding — це не шахрайство, і це не заміна програмній інженерії. Це спектр: на одному кінці — нетехнічні люди, що вперше створюють реальні речі; на іншому — досвідчені інженери, що використовують ШІ як високошвидкісного співавтора, зберігаючи відповідальність за те, що виходить у продакшн.
Збої передбачувані. Вони слідують закономірності: прийняття великих обсягів згенерованого коду без його читання, ігнорування рівнів безпеки, яких ніхто не запитував, і спроби масштабувати no-code прототип до продакшн-системи, не розуміючи базової архітектури.
Ті, хто отримує найбільше від цих інструментів у середині 2026 року, — це не ті, хто «повністю здається на відчуття». Це ті, хто точно розуміє, коли делегувати ШІ й що саме перевіряти, коли результат повертається.
Для огляду більш широкого ландшафту ШІ-інструментів для програмування наш гайд із найкращих ШІ-асистентів для коду охоплює весь спектр — від Cursor до GitHub Copilot з актуальними цінами на 2026 рік.
Якщо ви починаєте будувати агентні робочі процеси, що виходять за рамки простої генерації коду, як використовувати ШІ-агенти описує практичні патерни оркестрації, що відрізняють одноразову генерацію від повторюваних автоматизованих систем.
ChatGPT, Claude, Gemini, DeepSeek, Grok та 25+ моделей
Голос + демонстрація екрану · миттєві відповіді
Який найкращий спосіб вивчити нову мову?
Занурення та інтервальне повторення працюють найкраще. Спробуйте щодня споживати контент цільовою мовою.
Голос + трансляція екрану · ШІ відповідає в реальному часі
Flux, Nano Banana, Ideogram, Recraft + ще

ШІ-автодоповнення, перезапис та розширення за командою
PDF, URL або YouTube → чат, тест, подкаст та інше
Veo, Kling, MiniMax, Sora + ще
Природні ШІ-голоси, 30+ мов
Пишіть, налагоджуйте та пояснюйте код
Завантажте PDF, аналізуйте вміст
Повний доступ на iOS та Android · синхронізація скрізь
Чат, зображення, відео та інструменти руху — поруч

Заощаджуйте години роботи та досліджень
Нам довіряють команди в
Кредитна картка не потрібна