🔍 Was beobachte ich?

In Kickoffs höre ich neuerdings: „Das vibe-coden wir mit Lovable." Zwei Sätze später ist der Prototyp live, ohne Threat-Model, ohne Code-Review, ohne Dependency-Liste. Was die KI vorschlägt, gilt als gebaut, sobald das Gefühl stimmt.

🎯 Was soll eigentlich erreicht werden?

Schnellere Wertschöpfung. Wer in natürlicher Sprache prototypen kann, springt direkt von Idee zu Demo – ohne sechs Tickets, drei Reviews und eine SAST-Pipeline.

⚠️ Warum funktioniert das nicht?

Vibe Coding ist keine schnellere Entwicklung. Es ist die Umgehung des Secure SDLC, verkauft als Methode. RedAccess fand im Mai 2026 rund 380.000 vibe-codierte Apps öffentlich erreichbar; etwa 5.000 davon leaken Patientenakten, Finanzdaten und Vertragsunterlagen. Eine Q1-Analyse von 200 solcher Apps zählte bei 91,5 Prozent mindestens eine Schwachstelle aus KI-Halluzinationen. Lovable allein – 8 Millionen Nutzende, 6,6 Mrd. Dollar Bewertung – exponierte in zwei Monaten Quellcode, Datenbank-Credentials und Chathistorien tausender Projekte. Wer Gate-Skipping zur Methode erhebt, baut keine Software, sondern Angriffsfläche.

💡 Was funktioniert besser?

KI-gestütztes Coding ist ein mächtiger Beschleuniger – aber nur eingebettet in einen bestehenden SDLC. Threat-Modeling bleibt Pflicht, jede generierte Komponente bekommt Code-Review, SAST und Dependency-Check, jede Veröffentlichung läuft über die Pipeline, nicht über einen Click-to-Deploy-Knopf. Die KI assistiert aber sitzt nicht am Steuer.

📚🔍