Ein Sicherheitsforscher arbeitete mit einem BBC-Journalisten zusammen und demonstrierte live, wie er über eine Vibe-Coding-Plattform Zugang zum Computer des Journalisten erlangte. Kein Laborszenario. Kein theoretischer Angriffsvektor. Ein funktionierender Zugriff auf einen echten Rechner, gebaut mit Werkzeugen, die jeder benutzen kann.
Vibe Coding Sicherheit ist das Problem hinter dem Hype. KI-Modelle optimieren für »funktioniert es?«. Nicht für »ist es sicher?«. Das ist keine Böswilligkeit, sondern eine Designentscheidung. Aber sie hat Konsequenzen.
Inhaltsverzeichnis
Wie schlecht ist die Sicherheit bei Vibe Coding wirklich?
Die Zahlen sind nicht gut. Veracode stellte im GenAI Code Security Report 2025 fest, dass 45 Prozent der KI-generierten Code-Aufgaben eine bekannte Sicherheitslücke einführen. Eine Untersuchung von über 5.600 Vibe-Coding-Anwendungen fand mehr als 2.000 Schwachstellen, über 400 offengelegte API-Schlüssel und 175 Fälle mit exponierten persönlichen Daten. Akademische Studien kommen auf noch höhere Raten. Wiz Research schätzt, dass jede fünfte Organisation, die Vibe-Coding-Plattformen nutzt, systemischen Risiken ausgesetzt ist.
53 Prozent der Entwickler, die KI-generierten Code in Produktion gebracht hatten, fanden nachträglich Sicherheitsprobleme. Die Lücken waren bereits live.
Die häufigsten Schwachstellen in KI-generiertem Code
KI-Modelle machen konsistente Fehler. Nicht zufällige, sondern vorhersehbare. Das macht sie in gewisser Weise noch problematischer, weil Angreifer die Muster kennen und gezielt danach suchen können.
Die häufigsten Kategorien: Code-Injection, bei der Nutzereingaben direkt als Code ausgeführt werden. Cross-Site-Scripting (XSS), bei dem Angreifer schädliche Skripte in Webseiten einschleusen, die dann im Browser anderer Nutzer laufen. Fehlende Authentifizierung, bei der Funktionen für jeden zugänglich sind, nicht nur für eingeloggte Nutzer.
Hardcodierte API-Schlüssel direkt im Quelltext. Und ungeprüfte Datei-Uploads, über die Angreifer eigenen Code auf den Server laden können. Injection-Fehler allein machen über 33 Prozent aller bestätigten KI-Code-Schwachstellen aus. KI-Modelle produzieren diese Fehler nicht gelegentlich, sondern konsequent.
Vibe Coding bezeichnet das Entwickeln von Software durch natürlichsprachliche Anweisungen an ein KI-Modell. Statt Code Zeile für Zeile zu schreiben, beschreibt man das Ziel in normaler Sprache. Die KI übernimmt die Umsetzung, typischerweise über Plattformen wie Cursor, Lovable, Bolt oder Replit. Den Begriff prägte KI-Forscher Andrej Karpathy im Februar 2025.
Dazu kommt das Supply-Chain-Problem. KI-Modelle halluzinieren Paketnamen. Sie empfehlen Bibliotheken, die klingen, als würden sie existieren, die es aber nicht gibt. Wenn ein solcher Name noch frei registrierbar ist, kann ein Angreifer ihn belegen und dort Schadcode hinterlegen.
Was wie eine sinnvolle Abhängigkeit aussieht, ist dann ein Angriffsvehikel. Gleichzeitig geraten auch etablierte Pakete ins Visier: Am 31. März 2026 übernahmen Angreifer per Social Engineering den Account des Axios-Hauptmaintainers auf npm und schleusten einen Remote-Access-Trojaner in offizielle Updates ein. Axios hat rund 100 Millionen Downloads pro Woche. Vibe Coder, die Paketvorschläge der KI ungeprüft übernehmen oder automatische Updates nicht absichern, sind für solche Angriffe besonders anfällig.
Was schon passiert ist: Reale Angriffe
Moltbook, ein soziales Netzwerk für KI-Agenten, hatte eine falsch konfigurierte Datenbank. Sicherheitsforscher von Wiz fanden 1,5 Millionen Authentifizierungs-Tokens, 35.000 E-Mail-Adressen und private Nachrichten frei zugänglich. Gebaut mit Vibe-Coding-Werkzeugen, ohne Row-Level-Security.
Lovable baute laut Sicherheitsforschern bei rund 170 Produktionsanwendungen die Zugangskontrolle invertiert ein. Wer keinen Zugang haben sollte, hatte ihn. Wer ihn haben sollte, nicht. Aufgefallen war es erst, als Sicherheitsforscher gezielt nachschauten.
Base44 hatte eine plattformweite Authentifizierungsumgehung. Potenziell war jede App auf dem System gefährdet.
CVE-2025-54135, intern »CurXecute« genannt, ermöglichte Remote-Code-Execution auf dem Rechner von Cursor-Nutzern ohne jede Nutzerinteraktion, über die MCP-Auto-Start-Funktion. CVE-2025-53109, bekannt als »EscapeRoute«, betraf einen MCP-Server von Anthropic und erlaubte das Lesen und Schreiben beliebiger Dateien auf dem Entwicklerrechner. Beide Lücken klingen nach Nischenthemen. Beide betrafen Millionen von Nutzern.
Wird Vibe Coding in Zukunft sicherer?
Die CVE-Zahlen zeigen einen klaren Trend. Im Januar 2026 wurden sechs neue Schwachstellen gemeldet, die direkt auf KI-generierten Code zurückgingen. Im Februar fünfzehn. Im März fünfunddreißig. Die Benchmarks der KI-Modelle werden besser. Das stimmt. Aber bessere Modelle lösen das Grundproblem nicht automatisch. Der ökonomische Anreiz zeigt in die andere Richtung: Plattformen konkurrieren über Geschwindigkeit und Nutzerfreundlichkeit, nicht über die Sicherheit des generierten Codes.
Was Sicherheitsforscher »Spec-Driven Development« nennen, versucht das Problem an der Wurzel anzugehen. Sicherheitsanforderungen werden nicht nachträglich geprüft, sondern vor dem Schreiben definiert. In der Praxis heißt das: Man formuliert eine Spezifikation für die KI, die Regeln wie »keine öffentlichen Datenbankzugriffe«, »Eingaben immer validieren«, »keine hardcodierten Schlüssel« und »Unit-Tests für jedes Feature« als Vorgabe enthält. Die KI schreibt dann Code, der diese Anforderungen von Anfang an erfüllen muss. Das ist plausibel als Ansatz. Ob es in der Breite ankommt, ist eine andere Frage.
Womöglich ist es der pragmatischste Weg, den wir im Moment haben.
Was Vibe Coder jetzt tun können
Das sind keine Ratschläge für erfahrene Entwickler. Das sind Grundregeln für alle, die KI-generierten Code in der Welt haben.
- Keine API-Schlüssel im Code. Niemals. Umgebungsvariablen sind dafür da. Wer nicht weiß, wie das geht, sollte die KI explizit danach fragen.
- Row-Level-Security aktivieren. Bei datenbankgestützten Apps auf Plattformen wie Supabase ist das oft eine Konfigurationsoption. Bei anderen Stacks erfordert es mehr Aufwand, aber der Schutz ist essenziell.
- Sicherheitsscanner nutzen. Tools wie Snyk oder Semgrep laufen über generierten Code und melden bekannte Muster. Vor dem Deployment, nicht danach.
- Pakete kurz prüfen. Was die KI vorschlägt, auf npm oder PyPI nachschlagen. Existiert das Paket? Ist es aktuell gewartet? Hat es bekannte CVEs?
- Authentifizierung nicht auf der Client-Seite regeln. Was im Browser passiert, kann manipuliert werden. Zugangskontrollen gehören auf den Server.
Sicherheitsrisiken bei Vibe Coding sind kein Naturgesetz. Sie sind im Kern ein Verständnisproblem. Wer glaubt, dass »funktioniert es?« gleichbedeutend ist mit »ist es sicher?«, irrt sich. Das war beim manuellen Programmieren auch so. Nur dass dort die Fehler verteilt auftraten. Bei KI-generiertem Code sind sie systematisch und reproduzierbar.
Das ändert sich womöglich in den nächsten Jahren. Modelle werden sicherheitsbewusster trainiert, Plattformen bauen Checks ein, die Community lernt aus den Fällen, die jetzt öffentlich werden. Bis dahin gilt das Einfachste: Die KI baut das Haus. Abschließen muss man noch selbst. (lk)
Quellen
- Vibe Coding Security Risks: Why 53% of AI Code Has Security Holes – getAutonoma
- Cyber: the dangers of agents and vibe coding – ICAEW, Februar 2026
- Security risks of vibe coding and LLM assistants for developers – Kaspersky
- Vibe Coding and GenAI Security: Balancing Speed with Risk – Veracode
- The Reality of Vibe Coding: AI Agents and the Security Debt Crisis – Towards Data Science
- Finding more vulnerabilities in vibe coded apps – Intigriti
- Post Mortem: axios npm supply chain compromise – axios/GitHub, März 2026
- Vibe Coding: Definition, Potenziale und Risiken – Fraunhofer IESE
