Inhaltsverzeichnis

Im Februar 2025 veröffentlichte OpenAI-Mitgründer und ehemaliger Tesla-KI-Leiter Andrej Karpathy einen einzigen Satz auf X, der einen neuen Begriff um die Welt schickte: Vibe Coding.

"There's a new kind of coding I call 'vibe coding', where you fully give in to the vibes, embrace exponentials, and forget that the code even exists."

Ein Jahr später, im Jahr 2026, steht der Begriff im Zentrum einer polarisierten Debatte. Karpathy selbst hat eine Umbenennung vorgeschlagen, Unternehmen verzeichnen einen Anstieg von Sicherheitsvorfällen, und dennoch hat sich der Stil bei Indie-Entwicklern, Start-ups und für interne Werkzeuge als Standard-Coding-Stil etabliert. Dieser Artikel führt durch Definition und aktuelle Debatte mit offiziellen Quellen und Branchendaten.

SPEKTRUM DER CODING-STILE · 2026

Vibe Coding = „die KI machen lassen, ohne den Code zu lesen"

— zwischen klassischem Coding und Agentic Engineering

KLASSISCH
Handgeschrieben
Menschen entwerfen, schreiben und prüfen. KI ist Assistent.
VIBE CODING
Mit dem Strom schwimmen
Prompt → KI generiert → wenn es läuft, weiter. Der Code bleibt ungelesen.
AGENTIC ENG.
Design + KI-Ausführung
Menschen entwerfen die Rahmenbedingungen, KI beschleunigt die Umsetzung.

Vibe Coding ist unschlagbar bei Wegwerf-Prototypen.
Wer in die Produktion ausliefert, muss in Richtung Agentic Engineering rutschen.

1. Was ist Vibe Coding?

Vibe Coding ist ein Programmierstil, der sich darum dreht, darüber zu sprechen, was der Code tun soll, statt den Code selbst zu schreiben oder zu lesen. Man beschreibt einer KI (Claude, GPT, Cursor Composer usw.) in natürlicher Sprache, was man möchte, lässt es laufen und bittet immer wieder um Korrekturen, ohne den generierten Code zu lesen.

Drei Ideen stehen im Kern:

  • Loslassen vom Code: das Gefühl von Eigentum an „meinem Code" aufgeben.
  • Wenn es läuft, ist es gut: sobald es funktioniert, kommt das Verständnis der Interna später — oder nie.
  • Über Konversation steuern: tauchen Bugs oder Fehler auf, sagt man der KI einfach „behebe es". Das Einfügen des Stack-Traces reicht.

Ein typisches Beispiel: ein Indie-Entwickler promptet „baue ein Tetris-Spiel in Pygame" → Claude liefert 500 Zeilen Code → er führt es aus → der Ball fällt nicht, also sagt er „die Blöcke rotieren nicht" → er bekommt eine korrigierte Version zurück. Erledigt, ohne selbst eine einzige Zeile zu schreiben.

2. Karpathy hat den Begriff geprägt — und ein Jahr später eine Umbenennung vorgeschlagen

Der Ausdruck „Vibe Coding" wurde von Andrej Karpathy auf X (ehemals Twitter) im Februar 2025 geprägt. Er beschrieb damit das Erlebnis, Cursor Composer (damals mit Sonnet) mit SuperWhisper (Spracheingabe) zu kombinieren, um Apps fast ausschließlich durch Sprechen zu bauen.

Was im darauffolgenden Jahr passierte:

  • August 2025: Die großen LLMs überschritten 60 % auf SWE-bench, und Vibe Coding fühlte sich plötzlich real an.
  • Dezember 2025: Karpathy berichtete von einem dramatischen Umschwung in seinem eigenen Workflow — im November noch 80 % handgeschrieben, im Dezember 80 % KI-generiert.
  • Februar 2026: Karpathy schlug vor, den Namen „Vibe Coding" fallen zu lassen und durch „Agentic Engineering" zu ersetzen. Der Unterschied: Vibe = sagen, was man will, und akzeptieren, was zurückkommt; Agentic Engineering = das System entwerfen, Rahmenbedingungen festlegen und KI nutzen, um eine durchdachte Umsetzung zu beschleunigen.

Vibe Coding steht damit an einem seltsamen Punkt — der Begriff, der das Konzept populär gemacht hat, aber dessen Schöpfer ihn nicht mehr empfiehlt. Der Markt nutzt ihn trotzdem, weil kein anderes Wort dieselbe Note von „locker" und „befreit vom Codelesen" trifft.

3. Der typische Workflow

Genug Abstraktion — hier ist die tatsächliche Schleife, die Leute durchlaufen.

VIBE-LOOP

Beschreiben → Generieren → Ausführen → Zurücksprechen

1
BESCHREIBEN — sag es
„Bau mir Tetris." „Füge einen Login-Bildschirm hinzu." „Behebe diesen Bug." Schlichte Wünsche in natürlicher Sprache — kein Spec-Dokument nötig.
2
GENERIEREN — die KI schreibt
Cursor, Claude Code, Lovable usw. erzeugen oder ändern mehrere Dateien. Du scrollst einfach am Code vorbei.
3
AUSFÜHREN — probier es
Starten. Im Browser öffnen. Tests laufen lassen. Funktioniert es, super. Wenn nicht, weiter zum nächsten Schritt.
4
ZURÜCKSPRECHEN — antworten
Den Fehler wortwörtlich einfügen. „Mach es rot" oder „mach es schneller" — natürliche Sprache reicht. Zurück zu Schritt 1.

Diese 4-Schritt-Schleife durchläufst du dutzende bis hunderte Male, um ein Feature zusammenzubauen.
Das ist eine andere Welt als der klassische lineare Ablauf „entwerfen → umsetzen → testen".

4. Die führenden Werkzeuge

Stand Mai 2026 sind dies die Werkzeuge, in denen der Vibe-Coding-Stil besonders gut funktioniert.

WerkzeugAnbieterStärkenTypischer Einsatz
Claude CodeAnthropicLang laufende autonome Aufgaben, MCP-Integration, Erzählen-vor-Coden hilft, den Code wirklich zu verstehenGroße Änderungen an bestehenden Repos, Greenfield-Projekte
Cursor ComposerCursorIDE-integriert, Mehrdatei-Bearbeitung, durch Karpathys Nutzung explodiertIndie-Dev, Start-up-MVPs
Codex CLIOpenAIGPT-5.5 integriert, stark bei Terminal-AutomationCLI-Tools, Skripte, Ops-Automation
LovableUnabhängiges Start-upEigene UI, um „eine App ins Leben zu sprechen", deployt auch für dichSaaS-Prototypen für Nicht-Entwickler
v0VercelSpezialisiert auf UI-Komponenten, glatter Weg von Generierung zu DeployLandingpages, reine Frontend-Arbeit
Bolt.newStackBlitzLäuft komplett im Browser, generiert Full-Stack-Webapps aus einem TemplateLernen, Demos, interne Tools
DevinCognitionAutonomer Agent. Ticket übergeben, PR bekommenDer „zusätzliche Engineer"-Slot im Team

Wenn du Nicht-Entwickler bist und das Tool zum Lernen oder für Prototypen einsetzt, schau dir Lovable, v0 und Bolt.new an. Bist du professioneller Engineer mit bestehendem Code, sind die aktuellen Go-tos Claude Code, Cursor und Codex CLI.

5. Die Schattenseite — Sicherheits- und Qualitätsrealität

„Vibe Coding fühlt sich großartig an. Es in Produktion zu schicken, ist eine andere Geschichte." Diese Lücke wurde 2026 unübersehbar, und die Zahlen Dritter sind unbarmherzig.

SICHERHEITS- & QUALITÄTSDATEN · 2026

Die Schattenseite des Vibe Coding in Zahlen

— „Spaß" heißt nicht „sicher"

CVE-Anstieg
März 2026: 35 CVEs (Vibe-Coding-bedingt)
gegenüber Januar 2026: rund
Georgia Tech Vibe Security Radar
Schwachstellenrate
40–62 % des KI-generierten Codes enthalten eine Schwachstelle
Branchenumfrage, Median
SSRF-Befund
Bei den 5 großen KI-Coding-Agenten
führten 100 % denselben SSRF-Fehler ein
Tenzai, Dezember-Studie
Rate gravierender Probleme
KI-co-autorisierter Code: 1,7× menschliche Baseline
Sicherheitslücken: 2,74×
CodeRabbit, Analyse von 470 PRs
Geheimnis-Leaks
3,2 % der KI-Commits legen API-Keys o. Ä. offen
Menschliche Commits: 1,5 % — etwa
CSA 2026
XSS-Befund
In Codeproben aus 5 großen LLMs
enthielten 86 % eine XSS-Lücke
Georgetown CSET

Escape.tech scannte 5.600 öffentlich deployte Vibe-Coding-Apps und förderte 2.000 kritische Schwachstellen, 400 offengelegte API-Keys und 175 PII-Leaks (Medizin- und Zahlungsdaten) zutage. „Es läuft" und „es ist sicher" sind nicht dasselbe.

Das ist keine „KI ist schlecht"-Geschichte — es ist ein strukturelles Problem eines Entwicklungsstils, der ungelesenen Code in die Produktion drückt. Dieselbe KI, von Menschen mit Review und Verifikation eingesetzt, weist drastisch niedrigere Vorfallsraten auf.

6. Vibe vs. Agentic Engineering

Karpathys Umbenennungsvorschlag von 2026 ist es wert, verstanden zu werden — er schärft die operative Entscheidung, die du treffen musst.

DimensionVibe CodingAgentic Engineering
Ausgangspunkt„Ich will das bauen"„So soll es entworfen sein"
RahmenbedingungenImplizit, der KI zur Interpretation überlassenExplizit, an die KI kommuniziert
Code-VerständnisNicht erforderlich — nur das Ergebnis bestätigenErforderlich — die KI ist ein Beschleuniger
ReviewNur „läuft es?"Diffs, Designentscheidungen, Sicherheit
Wo es passtPersönliche Experimente, Lernen, Wegwerf-CodeProduktivsysteme, Langzeitbetrieb, geteilte Assets
FehlermodusSicherheitsvorfälle, nicht wartbarer CodeLangsameres Tempo, Eingeengtwerden durch die KI
Wer hat das SagenDie KIDer Mensch (KI ist Verstärker)

Du kannst dieselben Werkzeuge (Claude Code, Cursor) nutzen und sie je nach Haltung in Vibe Coding oder Agentic Engineering verwandeln. Wichtig ist, bewusst zu wissen „in welchem Modus bin ich gerade?" und gezielt umzuschalten.

7. „Vibe & Verify" — die Regeln für den produktiven Einsatz

Die Best Practice, die sich 2026 etabliert, ist „Vibe & Verify": die Leichtigkeit zu bewahren, die KI schreiben zu lassen, aber am Ende immer eine Verifikation einzubauen.

(1) Modus nach Risiko wechseln

  • Geringes Risiko (persönliche Tools, Lernen, Skripte): voller Vibe ist okay.
  • Mittleres Risiko (interne Tools, MVPs, Wegwerf-Prototypen): Vibe + Smoke-Test + ein schneller Security-Scan.
  • Hohes Risiko (Produktion, Kundendaten, alles Öffentliche): Agentic-Engineering-Modus ist Pflicht. Auch wenn du im Vibe-Modus geschrieben hast, nicht ausrollen ohne Human-Review + automatisierte Security-Scans + zusätzliche Tests.

(2) Drei Dinge, die du mit KI-generiertem Code immer tun solltest

  1. Schau auf den Diff: jede Zeile zu überspringen ist okay für Wegwerf-Code. Bei geteiltem Code wenigstens den Diff überfliegen.
  2. Lass einen Security-Linter laufen: semgrep, bandit, truffleHog usw. Mechanische Prüfungen auf Secrets, SSRF und XSS sind nicht verhandelbar.
  3. Lass die KI Tests schreiben: hänge immer „jetzt schreibe Tests dafür" an dieselbe KI an. Code ohne Tests zählt nicht einmal als Vibe Coding.

(3) Verlier nicht die Fähigkeit, Code zu lesen

Gewöhnst du dich zu sehr an Vibe Coding, wirst du in dem Moment, in dem die KI sich irrt — oder in dem du fremden Code übernehmen musst — feststellen, dass du ihn nicht lesen kannst. Karpathy selbst hat wiederholt betont, wie wichtig die Fähigkeit ist, KI-generierten Code im Detail zu verstehen. Selbst beim Vibe-Modus, gewöhne dir an, gelegentlich anzuhalten und den Code wirklich zu lesen; auf lange Sicht entsteht dort die echte Skill-Lücke.

(4) Vibe deine Secrets nicht

API-Keys, Datenbankpasswörter, Produktiv-Zugangs-Tokens — gib sie niemals der KI und lass sie nicht in den Code schreiben. Die Disziplin von .env + .gitignore + Umgebungsvariablen ist nicht verhandelbar, ob Vibe oder nicht. Die 400 Offenlegungen, die Escape.tech fand, waren genau die Fälle, in denen diese Grundhygiene zusammenbrach.

8. Wer sollte Vibe Coding einsetzen, wofür und wie weit

ProfilWo Vibe Coding passtWorauf zu achten ist
Nicht-Entwickler (PMs, Designer, Gründer)Prototypen, interne Tools, AutomatisierungsskripteAlles mit echten Kundendaten — hol einen Engineer dazu
Junior-Engineers (0–2 Jahre)Lernen, persönliche Projekte, kleine Helfer im JobZu viel Vibe und deine Grundlagen entwickeln sich nicht. Bewusst Zeit fürs „Code lesen" reservieren
Mid-Level-EngineersRoutinen beschleunigen, Doku generieren, Tests ergänzenBei Refactorings in Produktion eher Richtung Agentic Engineering
Senior-EngineersSparringspartner für Spec-Design, schnelle Mehrfach-Prototypen, Lesen von Legacy-CodeDer wahre Wert liegt darin, Vibe als Denkbeschleuniger einzusetzen
Security / SREOps-Tools, Monitoring-Skripte, DashboardsAlles, was Produktion berührt, braucht striktes Vibe & Verify

Zusammenfassung

  • Vibe Coding ist der „die KI machen lassen, ohne den Code zu lesen"-Stil, den Karpathy im Februar 2025 vorschlug.
  • Karpathy selbst hat seither vorgeschlagen, ihn 2026 in „Agentic Engineering" umzubenennen — Produktivarbeit braucht Design, Rahmenbedingungen und menschliches Urteilsvermögen.
  • Wichtige Werkzeuge: Claude Code, Cursor Composer, Codex CLI, Lovable, v0, Bolt.new, Devin.
  • Sicherheitsrealität: 40–62 % des KI-Codes enthalten Schwachstellen, SSRF wurde in allen 5 großen Agenten gefunden, und CVEs wuchsen in drei Monaten um das 6-Fache.
  • Vibe & Verify: Modus nach Risiko wechseln, Diffs ansehen, Security-Scans laufen lassen, die KI Tests schreiben lassen, Secrets niemals vibe-en.
  • Verlier nicht „die Fähigkeit, Code zu lesen" — je mehr du vibest, desto mehr wird gelegentliches Anhalten zum Verstehen zur langfristigen Skill-Differenzierung.

FAQ

Q1. Wenn Karpathy ihn umbenannt hat, ist „Vibe Coding" dann schon ein toter Begriff?

Er ist im Markt weiter weit verbreitet, weil keine andere Formulierung den „lass die KI locker machen"-Geschmack trifft. Pragmatisch ist es, sie als komplementär zu betrachten: „lockerer Erkundungsmodus = Vibe Coding", „Produktionsmodus = Agentic Engineering".

Q2. Ist es okay, wenn Anfänger mit Vibe Coding starten?

Ja — aber lies den Code auch. Wenn du nur vibest, fehlt dir das Urteilsvermögen, falls die KI sich irrt. Ein realistischer Pfad ist, die Freude an „ich habe lauffähigen Code" zu Beginn als Motivation zu nutzen und dann den Anteil der Zeit, in der du den Code wirklich verstehst, schrittweise zu erhöhen.

Q3. Wie verkaufe ich Vibe Coding meinem Chef im Job?

Bring drei Dinge mit: (1) Vibe-&-Verify-Betriebsregeln, (2) in CI integrierte Security-Scans und (3) Code-Reviews bleiben so streng wie zuvor. Sobald du klar sagen kannst „wir erhöhen die Geschwindigkeit, ohne die Schutzplanken zu senken", werden die meisten Organisationen zustimmen.

Q4. Wie unterscheidet sich Vibe Coding von älterem „KI-gestütztem Coding" (Copilot etc.)?

Der Unterschied ist, wer am Steuer sitzt. Copilot ist ein „Pair-Programming"-Modell — der Mensch schreibt Code, die KI vervollständigt ihn. Vibe Coding macht die KI primär, der Mensch unterhält sich nur und bestätigt. Die Grenze ist fließend, und in der Praxis pendeln viele Entwickler zwischen beidem.

Q5. Mit welchem Werkzeug sollte ich anfangen?

Für Indie-Dev oder Lernen probiere Lovable, Bolt.new oder v0 (rein im Browser, nichts zu installieren). Für ernsthafte Softwareentwicklung probiere Claude Code oder Cursor — Claude Code ist eine CLI, Cursor IDE-integriert, wähl nach Geschmack. Karpathys Wahl ist Cursor Composer.

Q6. Was ist mit Urheberrecht an KI-geschriebenem Code?

Stand Mai 2026 ist die Grundlinie sowohl in den USA als auch in Japan, dass ausschließlich von KI generierter Code nicht urheberrechtlich geschützt ist. Code, den ein Mensch substanziell verändert oder kuratiert hat, kann schützbar werden. Das größere Risiko bei kommerzieller Nutzung ist Lizenz-Kontamination — die KI gibt GPL- oder anderweitig lizenzierten Code wieder in deine Codebasis aus — also füge deinem CI einen License-Checker hinzu.

Q7. Wird Vibe Coding „Engineers ihre Jobs nehmen"?

Der Marktwert von „Engineers, die nur Code schreiben" sinkt. Andererseits ist der Wert von Spec-Design, Architekturentscheidungen, Security und Produktivbetrieb durch die Verbreitung des Vibe Coding eher gestiegen. Menschen, die die großen Mengen an KI-Code „lesen, beurteilen und korrigieren" können, sind 2026 knapp.