Vibe coding: een app bouwen door de AI gewoon te vragen wat je wilt, en waarom dat gevaarlijk kan zijn

Steeds meer mensen bouwen software zonder ook maar een regel code te begrijpen: ze beschrijven in gewone taal wat ze willen en laten een AI de rest doen. Het is snel en toegankelijk, maar beveiligingsonderzoekers waarschuwen voor lekkende databases, blootgestelde wachtwoorden en code vol gaten.

Wat is 'vibe coding'?

De term vibe coding werd begin 2025 gemunt door Andrej Karpathy, medeoprichter van OpenAI en voormalig AI-baas bij Tesla. Hij beschreef een nieuwe manier van programmeren waarbij je je "volledig overgeeft aan de vibes" en "vergeet dat de code überhaupt bestaat". In de praktijk: je typt in gewone taal wat je app moet doen, een AI-assistent genereert de code, en die accepteer je zonder de regels zelf te lezen of te begrijpen.

Het concept draait om het aanvaarden van AI-code met minimale controle, waarbij je vertrouwt op uitproberen en bijsturen in plaats van op begrip. Tools als Cursor, Replit, Lovable en Claude Code maken dit mogelijk. Collins Dictionary riep "vibe coding" zelfs uit tot een woord van het jaar 2025 — een teken dat de werkwijze mainstream is geworden.

Waarom het zo populair is

De aantrekkingskracht is duidelijk: vibe coding verlaagt de drempel enorm. Wie nooit heeft leren programmeren, kan ineens een werkende webapp, spel of bedrijfstool maken. Het is snel en goedkoop. Voor prototypes, hobbyprojecten en interne hulpmiddelen is dat een uitkomst.

De keerzijde: onveilige code

Het probleem ontstaat wanneer 'het werkt' wordt verward met 'het is veilig'. Beveiligingsonderzoek schetst een zorgwekkend beeld. Het GenAI Code Security Report 2025 van Veracode vond dat 45 procent van de AI-gegenereerde codevoorbeelden minstens één kwetsbaarheid uit de OWASP Top 10 bevatte — de standaardlijst van de meest kritieke beveiligingsrisico's voor webapplicaties. Kaspersky verwijst daarnaast naar onderzoek van beveiligingsbedrijf Wiz waaruit blijkt dat ongeveer 20 procent van de vibe-gecodeerde apps ernstige kwetsbaarheden of configuratiefouten bevat.

Veelvoorkomende fouten zijn: ontbrekende controle van invoer, inlogcontroles die makkelijk te omzeilen zijn, en — berucht — API-sleutels en wachtwoorden die zichtbaar in de paginacode staan. Zulke sleutels geven kwaadwillenden vaak directe toegang tot de achterliggende database.

Echte incidenten

De risico's zijn geen theorie. In mei 2025 bleek dat het platform Lovable apps voortbracht met serieuze lekken: bij 170 van de 1.645 onderzochte apps konden onbevoegden persoonsgegevens inzien. Kaspersky beschrijft daarnaast het platform Enrichlead, gebouwd met de AI-tool Cursor, dat live ging met "beginnersfouten" waardoor mensen gratis bij betaalde functies konden; het werd offlinegehaald. Bredere analyses wijzen op een structureel probleem: AI-mede-geschreven code zou vaker bepaalde kwetsbaarheden bevatten dan door mensen geschreven code.

Gebrekkig onderhoud en 'shadow AI'

Er speelt ook een langetermijnprobleem. Wie code niet begrijpt, kan die later moeilijk repareren of bijwerken als er een lek opduikt. Bovendien ontstaat 'shadow AI': afdelingen lanceren zelfgebouwde AI-tools buiten het zicht van de IT- en beveiligingsafdeling, zonder audit of compliancecontrole.

Advies

Vibe coding is niet per definitie slecht — voor experimenten en wegwerpprototypes is het prima. Maar zodra echte gebruikers of gegevens in het spel komen, gelden de gewone regels. Onderzoekers en Kaspersky raden aan: laat code altijd door een mens met verstand van zaken nakijken, zet geautomatiseerde beveiligingsscans in, bewaar sleutels en wachtwoorden nooit in de code zelf, en bouw beveiligingseisen expliciet in je opdrachten aan de AI in. De vuistregel blijft: een app die 'werkt' is nog niet veilig.