Wo Vibe Coding hilft – und wo nicht: Ein Praxisbericht

Vibe Coding ist ein Programmieransatz, der so gut wie jede Aufgabe in der Arbeit mit Quellcode – von Verständnis über Erzeugung bis Veränderung – an eine GenAI delegiert und dabei den Ausgaben dieser KIs fast vollständig vertraut. Ausgehend von einem kürzlich durchgeführten Architektur- und Code-Review einer Space-as-a-Service-Plattform (SPaaS-Plattform), die von Grund auf und vollständig mit Vibe Coding erstellt wurde, geben wir eine Einschätzung der Tauglichkeit dieses Programmieransatzes für die Umsetzung komplexer Softwareprodukte.

Spoiler: Ohne kontextbasierte Strukturierung und Orchestrierung der eingesetzten GenAI überwiegen die Qualitätsdefizite des erzeugten Codes den vermeintlichen Produktivitätsgewinn.

Die Verlockung der Geschwindigkeit – Jede:r kann jetzt entwickeln(?)

Das Vibe Coding-Versprechen ist groß: Mit einfachen Anweisungen in natürlicher Sprache (Prompting) lassen sich in kürzester Zeit ganze Anwendungen erstellen, ohne dass man selbst Wissen über die Software-Entwicklung besitzen muss. Möglich machen sollen dies immer leistungsfähigere GenAIs mit entsprechenden Large Language Models wie bspw. Claude, Gemini oder GPT. Mit überschaubaren Kosten und einer wachsenden Auswahl an Agenten, Werkzeugen und Plattformen stellt sich die Frage, ob nun jede:r produktive Software umsetzen kann und Entwickler:innen sich auf kurz oder lang neue Tätigkeiten suchen müssen?

Mit dieser Frage waren wir konfrontiert, als wir kürzlich einen vollständig mit Vibe Coding erstellten Prototypen einer SPaaS-Plattform im Kundenauftrag reviewen durften. Die Plattform wurde ohne Programmiererfahrung innerhalb weniger Wochen mit einer überschaubaren Anzahl von Prompts und unter Einsatz eines spezialisierten Vibe Coding-Portals entwickelt. Neben der Kernfunktionalität, dem Angebot und der Buchung von Orten, integriert die Plattform weitere komplexe Funktionen wie User Management, Chat und Payment in einer modernen UI. Trotz des prototypischen Charakters und des relativ geringen Umfangs (ca. 50.000 Lines of TypeScript Code) zeigten erste Tests, dass die Anwendung grundsätzlich lauffähig ist.

Ziel des beauftragten Architektur- und Code-Reviews war nun die Einschätzung, ob der per GenAI erzeugte Quellcode eine qualitativ gute Basis darstellt, um den Prototyp der SPaaS-Plattform mittelfristig zur Marktreife zu bringen.

Im Folgenden berichten wir von unseren Erkenntnissen aus dem Review und diskutieren die Chancen und Risiken der Realisierung von Softwareprodukten mit Vibe Coding, die trotz einer Vielzahl spezialisierter Anbieter nach wie vor bestehen.

Die Analyse – Was unser Review aufdeckte

Für das Review der KI-generierten SPaaS-Plattform haben wir auf etablierte Verfahren zur Architekturbewertung zurückgegriffen und Analyse-Tools für das Node.js-Ökosystem genutzt, auf dem die Anwendung letztlich aufsetzt. Die folgenden Absätze beschreiben unsere Erkenntnisse je aufgedecktem Qualitätsdefizit.

Vendor Lock-In: Für das Review haben wir den Quellcode der SPaaS-Plattform aus dem verwendeten Vibe Coding-Portal heruntergeladen und ihn standardmäßig auf möglichen Schadcode geprüft. Anschließend haben wir versucht, die Anwendung lokal auszuführen. Dabei folgten wir zunächst der KI-generierten Setup-Dokumentation, die sich jedoch als unzureichend erwies. Nach kleineren Anpassungen ließ sich die Plattform zwar lokal starten, allerdings waren Registrierung und Login nicht fehlerfrei ausführbar. Zudem blieb unklar, wie sich die von der Plattform benötigte Datenbank korrekt anbinden lässt. Benötigte Informationen fehlen in der Setup-Dokumentation. Da sich die Plattform auf Basis des Vibe Coding-Portals ohne Fehler und zusätzliche Konfiguration betreiben lässt, besteht hier also, bewusst oder unbewusst, die große Gefahr eines Vendor Lock-Ins.

Risikobehaftete Dependencies: Für die überwiegende Mehrzahl sicherheitskritischer Funktionen, bspw. User Management und Payment, wurden seitens der verwendeten GenAI korrekterweise etablierte, externe Bibliotheken und Frameworks eingebunden. Allerdings waren diese teilweise redundant oder konkurrierend, wie z. B. bei der Verwendung verschiedener Hash-Verfahren für denselben Zweck, was zu schwer lokalisierbaren Laufzeitproblemen führen kann. In anderen Fällen referenzierte die KI Versionen von Dependencies, die veraltet sind oder deren Produktionsreife unklar ist. In einem besonders schwerwiegenden Fall wurde für bestimmte Funktionen zum User Management auf eine externe Abhängigkeit zurückgegriffen, für die seit 2014 keine signifikante Weiterentwicklung mehr stattgefunden hat. Aufgefallen war dies nur, weil die Versionsnummer kleiner 1.0 verdächtig erschien und infolgedessen das zugehörige GitHub-Repository von uns überprüft wurde. Gerade für sicherheitskritische Aspekte einer Webanwendung, welche Benutzer-Sessions und Kund:innendaten verarbeitet, ist die Einbindung veralteter Abhängigkeiten und damit einhergehend das große Risiko von Sicherheitslücken sehr problematisch.

Fehlende architekturbezogene Sicherheit: Während bestimmte Sicherheitsfunktionen wie etwa Passwort-Hashing erfolgreich von der GenAI codiert wurden, fehlen sie auf architektonischer Ebene völlig. So wird die Kommunikation zwischen Frontend und Backend als wesentliche Bestandteile der Drei-Schichten-Architektur der SPaaS-Plattform nicht verschlüsselt. Alle Aufrufe der Backend-API durch das Frontend finden im Klartext per HTTP statt. Sie können somit vglw. einfach abgefangen und manipuliert werden, was Man-in-the-Middle-Angriffen, Session Hijacking und Credential Theft Tür und Tor öffnet.

Verbesserungswürdige Code-Qualität: Zur Beurteilung der Code-Qualität haben wir marktübliche Tools zur statischen Analyse eingesetzt. Die hierbei aufgedeckten Defizite sind, anders als die zuvor beschriebenen Sicherheitsrisiken, für eine prototypische Anwendung wie die SPaaS-Plattform zunächst weniger gravierend. Dennoch werden sie spätestens nach erfolgreicher Marktvalidierung relevant, wenn die mittel- bis langfristige Sicherstellung der Qualität der angebotenen Software und insbesondere ihre Wartbarkeit in den Fokus rückt. Einige der codebezogenen Mängel können aber auch schon in einer früheren Phase zum Tragen kommen, wenn sie Laufzeitfehler zeitigen, die den Plattformbetrieb in unvorhergesehener Weise beeinträchtigen. Tatsächlich birgt der gereviewte Quellcode großes Verbesserungspotenzial, da eine Vielzahl von Smells aufgedeckt wurde – angefangen bei einer sehr hohen kognitiven Komplexität einzelner Methoden über unbenutzte oder fehlerhafte import-Statements bis hin zu falsch umgesetzter Nebenläufigkeit. Hinzu kamen eine starke Kopplung durch fehlende Separation of Concerns und damit einhergehendem Spaghetti-Code, zahllose unbenutzte Code-Fragmente und eine Aufteilung von Quellcode-Modulen in Ordner, die nicht den üblichen Best Practices folgt. Zusammengenommen legen alle genannten Erkenntnisse den Verdacht nahe, dass die eingesetzte GenAI in Verbund mit unstrukturiertem Vibe Coding Schwächen bei der Erweiterung der Codebasis aufweist: Die Integration neuer Features scheint nicht hinreichend mit qualitätsorientiertem Refactoring einherzugehen, das bspw. sinnvolle Modularisierung, Herstellung von Wiederverwendung oder Entfernung obsolet gewordenen Codes mit einbezieht.

Mangelhafte Testabdeckung: Das Risiko einer stark verringerten Wartbarkeit wird durch die mangelhafte Testabdeckung erhöht. Zwar hat die eingesetzte GenAI im Laufe der Entwicklung auch ohne explizites Prompting selbständig Tests erzeugt. Allerdings fokussieren diese nicht die Validierung der fachlich relevanten Abläufe wie etwa die Zahlungsabwicklung oder das Erstellen von Inseraten und deren Buchung. Stattdessen wird die technische Verbindung zur Datenbank geprüft, indem INSERT-Statements abgesetzt und auf korrekte Ausführung geprüft werden.

Die Bilanz – Konsequenzen unstrukturierten Vibe Codings

Zusammenfassend führte die Nutzung von Vibe Coding im Falle der analysierten SPaaS-Plattform zu einer Reihe von Qualitätsdefiziten unterschiedlicher Kritikalität. Trotz des Prototypen-Stadiums sollten die aufgedeckten Sicherheitsprobleme kurzfristig und insbesondere vor Beginn der Marktvalidierung der Anwendung behoben werden. Bei absehbar erfolgreicher Validierung am Markt sollten Vendor Lock-In und die mangelhafte Wartbarkeit bei der Weiterentwicklung der Plattform angegangen werden, da beide Defizite technische Schulden darstellen, die mittelfristig zu erheblichen Folgekosten führen und so die Wettbewerbsfähigkeit beeinträchtigen können.

Die Entwicklung von Softwaresystemen wird häufig mit dem Bau eines Hauses verglichen. Bleibt man bei diesem Bild, kann der Einsatz unstrukturierten Vibe Codings zum Bau eines Hauses mit brüchigem Fundament führen: Die Fassade sieht schnell gut aus und einzelne Räume sind auch nutzbar, andere aber wiederum nicht und bei der ersten Belastung ist unter Umständen das gesamte Haus einsturzgefährdet. Die anfängliche Zeitersparnis führt zu einer Hypothek mit aus unserer Sicht untragbar hohen Zinsen, sodass die Kosten für die Renovierung schlimmstenfalls die einer kompletten Neuentwicklung übersteigen. Für vermeintlich fertige Häuser bzw. produktive Anwendungen sind diese Kosten in der Regel jedoch hoch und es braucht Expert:innen, die die Probleme nach und nach aufdecken und beheben. Dementsprechend etablieren sich im Kontext des Vibe Codings gerade neue Berufsbilder wie das des “Vibe Coding Cleanup Specialists”.

Abschließend können wir, ausgehend von unserem Review der KI-generierten SPaaS-Plattform, festhalten, dass Vibe Coding und zugehörige Portale Personen ohne Erfahrung in der Softwareentwicklung in die Lage versetzen, schnell erste nutzbare Prototypen zu generieren. Diese Anwendungen stellen jedoch ohne besondere Vorkehrungen keine nachhaltigen, sicheren und wartbaren Produkte dar. Der Traum des “Citizen Developer” wird auch im KI-Zeitalter nicht automatisch wahr, weil er die Komplexität professioneller Softwareentwicklung vernachlässigt.

Unsere Empfehlung – Wettbewerbsvorteile durch strukturiertes Vibe Coding

Lässt man unsere Findings außer Acht, beschleunigt der Einsatz von GenAI die Entwicklung von Softwaresystemen – zumindest kurzfristig. Es stellt sich daher die Frage, wie sich dieser Geschwindigkeitsvorteil auch mittel- bis langfristig verstetigen lässt, indem der produzierte Code und seine Integration in eine bestehende Codebasis qualitativ möglichst hochwertig ist und bleibt? Der Schlüssel liegt hier in der Kombination von KI-Werkzeugen mit menschlicher Expertise und strukturierten Methoden.

Anstatt ausschließlich auf den Vibe zu vertrauen, sollte man der GenAI Leitplanken setzen, etwa mit Ansätzen wie Product Requirements Prompts, Context Engineering oder BMAD (Breakthrough Method of Agile AI-Driven Development). Diese strukturierten Methoden haben gemein, dass die Produktidee zusammen mit grobgranularen technischen Vorgaben, bspw. dem anvisierten Architekturstil, sowie präzisen Anforderungen für die technische Implementierung definiert werden. Zusammen ergeben diese strukturierten Informationen dann den Kontext und einen Plan für die Entwicklung, dem die GenAI bzw. ihre Agenten folgen können. Dies lässt sich sehr gut an der BMAD-Methode und folgender Mnemonik illustrieren:

• Big Picture: Das Big Picture erklärt der GenAI das Gesamtziel des Projekts (“Wir bauen eine webbasierte SPaaS-Plattform für…”).
• Methodology: Mit der Methodology setzt man klare Regeln und Leitplanken (“Verwende React im Frontend, Express.js im Backend und schreibe sämtlichen Code in TypeScript.“).
• Action: Die Action formuliert präzise, atomare Handlungsanweisungen (“Erstelle eine Express-Route in der Datei routes.ts, die…”).
• Details: Die Details liefern weitere Informationen zur Implementierung der Action (“Definiere die API-Endpunkte mittels OpenAPI”).

Diese Informationen werden i. d. R. in dedizierten Dateien und im Markdown-Format im Repository der betreffenden Anwendung abgelegt. Die Dateien folgen dabei einem bestimmten Namensschema, damit die GenAI sie automatisch als Kontext nutzt. Angaben zum Verwendungszweck der Anwendung, ihrer Architektur und der für die Implementierung zu verwendenden Frameworks müssen so nicht wiederholt für jeden Codegenerierung durch die KI angegeben werden und unterliegen bei Verwendung eines Revision Control Systems wie Git zudem der Versionierung. Für Prompts wie “Integriere einen Login-Button” berücksichtigt die GenAI demnach den bereitgestellten Kontext, was bei unstrukturiertem Vibe Coding nicht der Fall ist. Hier fehlen genaue Leitplanken, um die Freiheitsgrade der GenAI zu begrenzen, sodass die Wahrscheinlichkeit der Produktion defizitären Codes ungleich höher ist als bei Einsatz einer strukturierten Methode.

Der Nutzen solcher Methoden für KI-gestütztes Coding liegt damit auf der Hand: Mit klarem Zielbild und eindeutigen Regeln kann eine GenAI aus Prompts in natürlicher Sprache mit hoher Geschwindigkeit qualitativ guten, sicheren und wartbaren Code erzeugen, während die technischen Schulden relativ niedrig bleiben. Dies gilt insbesondere in Kombination mit deterministischen Ansätzen zur Sicherstellung einer hohen Softwarequalität, etwa Testautomatisierung und Infrastructure as Code, sowie der Einbeziehung menschlicher Expertise, die im Zweifelsfall KI-Entscheidungen beurteilen, redigieren und kontextualisieren kann.

Fit werden für die KI-gestützte Zukunft der Softwareentwicklung

Was bedeutet dies nun konkret für unseren Kunden? In einem nächsten Schritt enablen wir ihn mit unserem AI-Assisted Coding Workshop, in dem wir die praktischen Grundlagen strukturierter KI-gestützter Softwareentwicklung vermitteln, sodass er selbständig die Qualität seiner SPaaS-Plattform mit GenAI erhöhen und bei Markteintritt nachhaltig sicherstellen kann. Wer noch unsicher ist, wie man die richtigen Anwendungsfälle für GenAI findet, für den empfiehlt sich ein KI Use-Case Workshop zur Identifizierung und strategischen Priorisierung vielversprechender KI-Anwendungsfälle.

Fazit

KI ist kein Autopilot, der aus einfachen Anweisungen in natürlicher Sprache komplexe, produktionsreife Anwendungen erzeugen kann. Vielmehr ist KI in den richtigen Händen ein extrem leistungsfähiger Copilot, der Softwareentwicklung beschleunigen kann. Der Vibe Coding-Ansatz ist nützlich für schnelle Experimente wie bspw. klickbare Prototypen. Für den Aufbau robuster Plattformprodukte, die gängige Sicherheitsanforderungen erfüllen und langfristig wartbar sind, braucht es jedoch mehr: Eine strukturierte Vorgehensweise für den Einsatz von KI-Werkzeugen sowie geschulte Entwickler:innen. Daher ist es wichtig, nicht nur in KI-Werkzeuge zu investieren, sondern auch in den Aufbau von Wissen, um diese effektiv einzusetzen. Dies macht den Unterschied zwischen teurem Experiment und echtem Wettbewerbsvorteil.