DevWerk Blog

Andrej Karpathy nannte es Vibe Coding. Cursor, GitHub Copilot und Co. schreiben heute ganze Features. Was das für Qualität, Sicherheit und die Rolle professioneller Entwickler bedeutet.

Vibe Coding: KI-Assistenten in der Softwareentwicklung
Entwicklung
Dominik Stier 7 Min. Lesezeit

Vibe Coding: Was passiert, wenn KI den Code schreibt und wer dann noch haftet

Im Februar 2025 prägte Andrej Karpathy, Tesla-Gründungsmitglied und Ex-OpenAI-Forschungsdirektor, das Wort „Vibe Coding": Programmieren, bei dem man dem KI-Assistenten grob beschreibt, was man will, und dann einfach akzeptiert, was rauskommt. Kein tiefes Verstehen, kein Hinterfragen. Nur Vibes. Ein Jahr später ist das kein Witz mehr. Es ist Alltag in vielen Startups. Und das wirft ernsthafte Fragen auf.

Was Vibe Coding wirklich bedeutet

Tools wie Cursor, GitHub Copilot oder Windsurf können heute nicht mehr nur einzelne Zeilen ergänzen. Sie schreiben ganze Komponenten, ganze Features und ganze Flows auf Basis einer einzigen Anweisung in natürlicher Sprache. Ein Junior-Entwickler beschreibt in zwei Sätzen, was er braucht. Die KI liefert 200 Zeilen lauffähigen Code. Der Entwickler drückt auf „Übernehmen". Fertig.

Das klingt nach einem Wunder. Und in vielen Fällen funktioniert es auch. Für Prototypen, für repetitive Boilerplate und für klar abgegrenzte Features ist KI-generierter Code heute bemerkenswert gut. Aber das ist nur ein Teil der Geschichte.

Das stille Problem: Code, den niemand versteht

Wer regelmäßig mit KI-Tools arbeitet, kennt das Muster: Man beschreibt ein Problem, bekommt eine Lösung, sie funktioniert und man weiß nicht wirklich, warum. Man akzeptiert, man deployed, man geht weiter.

Das ist solange kein Problem, wie nichts schiefgeht. Aber Software geht immer irgendwann schief. Wenn ein Bug auftaucht, ein Edge Case aufploppt oder ein Sicherheitsproblem gemeldet wird, sitzt du vor Code, den du nicht wirklich geschrieben hast und den du auch nicht wirklich verstehst. Die Debugging-Zeit steigt. Die mentale Last auch.

Sicherheit: Der blinde Fleck

Aktuelle Studien zeigen: KI-generierter Code enthält im Schnitt mehr Sicherheitslücken als manuell geschriebener Code. Nicht weil das Modell grundsätzlich schlecht ist, sondern weil das Modell optimiert, was du sagst, nicht was du meinst. Wenn du sagst „Baue mir einen Login", denkt das Modell nicht automatisch an SQL-Injection, Session-Hijacking oder Brute-Force-Schutz.

  • Eine Stanford-Studie fand, dass ein erheblicher Teil von KI-generiertem Code mindestens eine Sicherheitsschwachstelle enthält.
  • OWASP listet Injection-Angriffe und fehlerhafte Authentifizierung als Top-Risiken. Genau diese Probleme tauchen in unkritisch übernommenem KI-Code besonders oft auf.
  • Auch deutsche Sicherheitsbehörden warnen davor, generierten Code ohne Review in produktive oder sensible Systeme zu übernehmen.

Wer haftet, wenn KI-Code Schaden anrichtet?

Das ist die Frage, über die viele Auftraggeber noch nicht nachgedacht haben. Rechtlich ist die Lage in der Praxis klar: Du haftest. Nicht das Modell, nicht der Tool-Anbieter, sondern der Dienstleister, der den Code ausliefert, und letztlich das Unternehmen, das ihn produktiv betreibt.

Wer heute KI-generierten Code produktiv einsetzt, trägt also die volle Verantwortung für Datenschutzverstöße, Systemausfälle und Sicherheitsvorfälle. Das Werkzeug entbindet nicht von der Verantwortung.

Die richtige Antwort: KI als Werkzeug, nicht als Entwickler

Bei DevWerk nutzen wir KI-Assistenten täglich. Cursor, Copilot und lokale Modelle beschleunigen unsere Entwicklung signifikant. Aber wir haben eine klare Regel: Kein generierter Code geht in Production, der nicht von einem erfahrenen Entwickler gelesen, verstanden und abgenommen wurde.

Das ist kein Luxus. Das ist professionelle Verantwortung. KI schreibt schnell. Menschen verantworten. Diese Trennung ist nicht verhandelbar, egal wie gut die Tools werden.

Was das für dein nächstes Projekt bedeutet

Wenn du heute Software in Auftrag gibst, sind das die richtigen Fragen an deinen Dienstleister:

  • Wird KI-generierter Code reviewed, bevor er deployed wird?
  • Gibt es automatisierte Sicherheitsprüfungen in der Pipeline?
  • Wer ist für Sicherheitslücken im Code verantwortlich und wie ist das vertraglich geregelt?
  • Kann das Team erklären, warum der Code so funktioniert und nicht nur, dass er funktioniert?

Wenn diese Fragen unbequeme Stille erzeugen, ist das bereits eine Antwort.

Fazit

Vibe Coding verschwindet nicht wieder. KI-Assistenten werden besser, schneller und tiefer in Entwicklungs-Workflows integriert. Das ist gut. Aber Geschwindigkeit ohne Verantwortung wird zu technischer Schuld, Sicherheitslücken und Systemen, die niemand mehr wirklich versteht. Professionelle Softwareentwicklung 2026 heißt: KI nutzen, Qualität verantworten.

Du willst Software, die schnell gebaut und trotzdem solide ist? Sprich mit uns. Wir zeigen dir, wie KI-gestützte Entwicklung mit echten Qualitätsstandards aussieht.

Zurück zum Blog Projekt besprechen

Weitere Beiträge

Statt isolierter Einzelartikel bauen wir Themen-Cluster. Diese drei Beiträge passen fachlich zum aktuellen Thema.