Vibe-Coding bringt Apps schneller live als ihre Sicherheit
TL;DR
Bob Starr veröffentlichte Boomberg, eine vibe-coded Website über US-Steuergeld für Techfirmen. Monate später fand er ein verstecktes SQL-Injection-Risiko, das unberechtigten Zugriff auf Daten erlaubt hätte. The Verge sammelt weitere Fälle: ein AI-Agent löschte laut Gründer Jer Crane eine Produktionsdatenbank, Joe Procopio nahm eine Demo-App nach Hackerangriffen offline, und bei Moltbook lag laut Wiz die Produktionsdatenbank offen.
Nauti's Take
Vibe Coding ist nicht das Problem. Das Problem ist der Moment, in dem ein Bastelprojekt ohne Sicherheitsdenken zur öffentlichen App wird.
Wer Daten anderer Menschen berührt, baut kein Spielzeug mehr. Erst klären: Welche Daten liegen wo, wer darf was sehen, was passiert bei Missbrauch?
Dann lokal klein halten, Auth sauber machen, Security-Review nach jeder Änderung laufen lassen und bei sensiblen Daten Geld für echte Prüfung einplanen.
Einordnunganzeigen
Vibe Coding senkt die Einstiegshürde für Software, aber nicht die Verantwortung für veröffentlichte Systeme. Das Problem entsteht, wenn ein persönliches Tool plötzlich wie Business-Software läuft: öffentlich erreichbar, mit Datenbank, Accounts oder fremden Informationen. AI kann Bugs finden, doch sie kennt dein Risiko nur, wenn du es explizit beschreibst.
Quellen