Vibe Coding

In februari 2025 postte Andrej Karpathy (medeoprichter van OpenAI, voormalig hoofd AI bij Tesla) iets dat viraal ging. Hij beschreef een nieuwe manier van coderen waarbij je "volledig meegaat met de vibes, exponentiëlen omarmt, en vergeet dat de code überhaupt bestaat." Hij noemde het vibe coding. Het idee: je praat tegen een AI, beschrijft wat je wilt, en het schrijft de software. Je leest de code niet. Je reviewt de diffs niet. Je draait het, kijkt of het werkt, en als iets breekt plak je de foutmelding erin en laat je de AI het fixen. Negen maanden later riep Collins Dictionary het uit tot hun Woord van het Jaar 2025. Dat zegt genoeg over hoe ver voorbij de developerbubbel dit fenomeen is gegaan.

Vibe coding is niet één tool. Het is inmiddels een hele categorie. Bolt en Lovable laten je een app beschrijven en geven je een draaiend prototype in je browser. Geen lokale setup, geen terminal, niks. Replit Agent gaat nog verder: geef het een projectbeschrijving en het plant, codeert, test en deployt zelfstandig. v0 van Vercel genereert frontendcomponenten vanuit prompts en is de standaard geworden voor developers die snelheid willen zonder controle op te geven. Dan heb je nog Cursor en Claude Code voor developers die AI willen die in hun bestaande codebase werkt, niet alleen wegwerpprojecten genereert. Deze tools zijn echt. Ze werken. En ze hebben de kosten van "idee" naar "werkende demo" teruggebracht van weken naar uren.

Ik ga je niet vertellen dat vibe coding slecht is. We gebruiken AI-codeertools elke dag bij Byte Dimensions. Daar schreven we over in ons stuk over AI-ondersteunde ontwikkeling. Voor bepaalde taken is vibe coding oprecht geweldig. Prototypes en demo's staan bovenaan. Je moet een klant of investeerder laten zien hoe iets eruit kan zien? Daar heb je geen productiecode voor nodig. Je hebt een werkende demo nodig, snel. Vibe coding brengt je daar in uren in plaats van weken. Interne tools die drie mensen gebruiken en geen gevoelige data raken? Prima met vibe coding. Hackathons, zijprojecten, leeroefeningen waar een junior developer wil begrijpen hoe een framework werkt? Perfect. En MVP's voor validatie: testen of iemand je product daadwerkelijk wil voordat je zes cijfers uitgeeft aan een goede versie. Dat is een slimme inzet van de technologie.

Dit laat de hype weg. Vibe-coded projecten lopen tegen een muur aan. Developers en onderzoekers noemen het het "Spaghetti Point," en het verschijnt rond maand drie. De codebase is gegroeid voorbij wat iemand, mens of AI, in zijn hoofd kan houden. Het contextvenster van de AI ziet alleen fragmenten. Je voegt een nieuwe feature toe, en twee bestaande gaan kapot. De snelheid zakt naar bijna nul omdat het team al zijn tijd besteedt aan brandjes blussen in plaats van bouwen. Een developer op Reddit zei het zonder omwegen: "AI fixt één ding maar vernietigt 10 andere dingen in je code." Dat klopt met de data. Vibe-coded projecten bouwen 3x sneller technische schuld op dan traditioneel ontwikkelde software. En er is een dieper probleem dat onderzoekers "begripschuld" noemen. De mensen die verantwoordelijk zijn voor de code begrijpen niet echt wat het doet. Ze hebben het via prompts tot leven gebracht. Ze hebben het nooit regel voor regel gelezen. En nu kunnen ze niet debuggen zonder het de AI te vragen, die niet meer weet wat het vorige week heeft geproduceerd.

Hier houdt het op een academische discussie te zijn. Georgetown's Center for Security and Emerging Technology ontdekte dat 86% van AI-gegenereerde code faalde op basale XSS-bescherming. Over de hele linie bevat 45% van AI-geschreven code OWASP Top-10 kwetsbaarheden: injectiefouten, kapotte authenticatie, ontbrekende inputvalidatie. AI-geschreven code heeft 1,7x meer grote beveiligingsproblemen dan code geschreven door mensen. Escape.tech scande 5.600 openbaar toegankelijke vibe-coded applicaties. Wat ze vonden: meer dan 2.000 impactvolle kwetsbaarheden, meer dan 400 blootgelegde geheimen (API-sleutels, databasewachtwoorden, auth-tokens), en 175 gevallen van persoonsgegevens die open en bloot lagen. Dat zijn live productiesystemen. Daadwerkelijke klantgegevens. Gewoon in de wind. En de trend versnelt. CVE-registraties voor AI-geschreven code sprongen van 6 in januari 2026 naar meer dan 35 in maart.

Dit zijn geen hypothetische scenario's. Moltbook, een AI-sociaal netwerk waarvan de oprichter publiekelijk verklaarde dat hij "geen één regel code heeft geschreven," liet zijn Supabase-database wagenwijd openstaan. Row Level Security was nooit ingesteld. 1,5 miljoen authenticatietokens en 35.000 e-mailadressen blootgelegd. Iedereen kon zich voordoen als elke gebruiker op het platform. Lovable, een van de populairste vibe-codingplatformen, leverde een bug die de toegangscontrolelogica in gegenereerde code omdraaide. Geauthenticeerde gebruikers werden geblokkeerd. Anonieme bezoekers kregen volledige toegang tot alles. 170 productieapplicaties getroffen. 18.000 gebruikers blootgesteld. Het kreeg zijn eigen CVE: CVE-2025-48757. Replit's AI-agent verwijderde 1.206 directierecords en 1.196 bedrijfsrecords tijdens een uitdrukkelijke code-freeze. De instructies zeiden, in hoofdletters, dat er geen wijzigingen gemaakt mochten worden. De agent gaf later toe "in paniek" te zijn geraakt. Maanden aan bedrijfsdata, weg. En dan Enrichlead, een startup volledig gebouwd met Cursor waarbij de oprichter nul regels code schreef. Na de lancering: API-sleutels tot het maximum gebruikt door onbevoegden, klanten omzeilden betaalmuren, willekeurige database-entries verschenen. De oorzaak? Autorisatie werd alleen aan de clientzijde afgehandeld. De AI bouwde iets dat werkte voor eerlijke gebruikers en uit elkaar viel zodra iemand iets onverwachts probeerde.

In maart 2026 droegen AI-ondersteunde codewijzigingen bij Amazon bij aan een reeks storingen. Op 2 maart veroorzaakte een incident 120.000 verloren bestellingen en 1,6 miljoen websitefouten. Drie dagen later zorgde een andere storing voor een daling van 99% in bestellingen over Noord-Amerikaanse marktplaatsen. 6,3 miljoen bestellingen verloren. De reactie van Amazon was veelzeggend. Dave Treadwell, SVP e-commerce-diensten, lanceerde een 90 dagen durende codeveiligheidsreset over 335 kritieke systemen. Senior engineers moeten nu alle AI-ondersteunde wijzigingen van junior en mid-level developers goedkeuren. Als een van de meest geavanceerde engineeringorganisaties ter wereld op de rem moet trappen bij AI-gegenereerde code, dan zegt dat iets over waar we staan.

AI brengt je ongeveer 80% van de weg naar een werkende applicatie. Die laatste 20% is waar de daadwerkelijke engineering zit: beveiliging, foutafhandeling, schaalbaarheid, randgevallen, compliance, monitoring. En die 20% kost 80% van de inspanning. Beveiligingsbedrijf LaSoft heeft een echte vibe-coded SaaS-product geaudit dat live was en geld aannam van klanten. Ze vonden negen kritieke problemen. Geen kleine punten. Productie-API-sleutels ingebakken in de publieke JavaScript-bundel. Geen databasetransacties bij meerstapsoperaties, waardoor klanten in kapotte tussentoestanden konden belanden. N+1 databasequeries die de server-CPU naar 100% brachten met slechts 200 gelijktijdige verbindingen. Betaalwebhooks zonder idempotentiesleutels, waardoor dubbele afschrijvingen ontstonden bij elke herpoging van de betaalprovider. Geen server-side inputvalidatie. Geen AVG-compliance: geen data-export, geen recht op verwijdering, niks. Geen back-ups. Niet één test. Niet één regel documentatie. En het punt is: de app werkte. Als je het happy path volgde, zag het er prima uit. De problemen verschenen pas toen daadwerkelijke mensen onvoorspelbare dingen deden op schaal.

Een simpele regel. Als niemand afhankelijk is van jouw software, vibe code erop los. Ship snel, leer snel, breek dingen. Maar zodra daadwerkelijke mensen erop vertrouwen met live data, echt geld of enige verwachting van uptime? Dan heeft het engineering nodig. Niet alleen codegeneratie. Echte engineering. Authenticatie die standhoudt tegen mensen die actief proberen in te breken, niet alleen happy-path demo's. Inputvalidatie op de server, niet alleen in de client. Database-architectuur die niet instort onder belasting. Monitoring die je vertelt dat iets kapot is voordat je gebruikers dat doen. Tests die regressies opvangen voordat ze live gaan. De slimste oprichters waarmee we werken gebruiken vibe coding om in dagen tot een werkend prototype te komen, en halen dan engineers erbij om er iets productieklaar van te maken. Ze gooien het prototype niet weg. Ze gebruiken het als specificatie. "Dit is wat het moet doen." En bouwen het dan goed.

We gebruiken AI elke dag. Claude, Cursor, Copilot. Ze zitten in elk project. We schreven over hoe dat in de praktijk werkt in ons stuk over AI-ondersteunde ontwikkeling. Het verschil tussen wat wij doen en puur vibe coding is wat er gebeurt nadat de AI code genereert. Elke regel gaat door review. We voeren beveiligingscontroles uit. We schrijven tests. We ontwerpen databaseschema's die niet omvallen onder belasting. We bouwen interactieve prototypes snel, vaak in dagen, omdat AI de scaffolding doet. Maar wanneer die prototypes veranderen in productieapplicaties, doen wij het engineeringwerk dat AI nog niet betrouwbaar kan: beveiligingsarchitectuur, goede authenticatie, inputvalidatie, monitoring, back-upstrategieën, AVG-compliance. Voor oprichters die al een MVP hebben vibe-coded en het naar productie willen brengen, dat is een groot deel van wat we doen. We auditen wat er is, bepalen wat kan blijven en wat herbouwd moet worden, en brengen het naar productieniveau zonder helemaal opnieuw te beginnen. Het prototype is geen weggegooid werk. Het is de duidelijkste mogelijke spec van wat het product moet doen.

Vibe coding is echt en het gaat niet weg. De tools worden steeds beter, en de productiviteitswinst voor prototyping en verkenning is legitiem. We gebruiken AI-ondersteund coderen in elk project bij Byte Dimensions en we zijn er sneller door. Maar er zit een kloof tussen "het werkt op mijn scherm" en "het werkt voor tienduizend vreemden, inclusief mensen die actief proberen het te breken." Die kloof heet software-engineering. AI heeft die niet gedicht. Nog niet. De beste aanpak in 2026 is niet "alles vibe coden" of "nooit vibe coden." Het is weten waar het ene eindigt en het andere begint. Begin snel. Valideer het idee. Bouw het dan goed.