„Vibe Coding" – mit KI-Assistenten wie ChatGPT, Claude oder Cursor schnell eine App zusammenbauen, ohne jede Zeile zu verstehen – ist zur Normalität geworden. Das Ergebnis steht oft in Stunden statt Wochen. Der Preis dafür ist selten sichtbar: Sicherheitslücken, die der generierte Code mitbringt und die niemand mehr prüft. Dieser Artikel zeigt die häufigsten Risiken – und wie du deine Seite in zehn Sekunden darauf testest.
Was „Vibe Coding" wirklich bedeutet
Beim Vibe Coding beschreibst du dem KI-Modell, was du willst, und übernimmst den Vorschlag, ohne ihn zu auditieren. Das Modell optimiert auf „funktioniert" – nicht auf „ist sicher". Es kennt deinen Kontext nicht: Es weiß nicht, ob ein Schlüssel in den Browser gehört, ob ein Endpoint öffentlich erreichbar ist oder ob du gerade ein Produktivsystem baust. Genau in dieser Lücke entstehen die Probleme – nicht aus bösem Willen, sondern weil niemand mehr hinschaut.
Die fünf häufigsten Sicherheitslücken in KI-Code
1. API-Keys landen im Frontend
Der Klassiker: Ein KI-Assistent baut den Stripe-, OpenAI- oder AWS-Schlüssel direkt in den React- oder Next.js-Code ein, „damit es läuft". Beim Build wandert der Key ins JavaScript-Bundle – und ist für jeden im Browser lesbar. Wer die Entwicklertools öffnet, hat deinen Schlüssel. Die Folge reicht von fremden Rechnungen über geleakte Kundendaten bis zum kompromittierten Konto.
2. Der Dev-Server läuft in Produktion
Vite, Next.js und Webpack haben einen Entwicklungs-Modus mit Hot-Reload, Source-Maps und ausführlichen Fehlermeldungen. Wird die Seite versehentlich mit dem Dev-Server statt einem echten Production-Build betrieben, gibt sie Innenansichten preis, die Angreifern die Arbeit abnehmen: Dateipfade, Stacktraces, teils ganze Quelltexte.
3. Security-Header fehlen komplett
Content-Security-Policy, HSTS und X-Frame-Options sind die erste Verteidigungslinie gegen Cross-Site-Scripting und Clickjacking. KI-generierte Setups liefern sie fast nie automatisch mit. Ohne sie genügt eine einzige eingeschleuste Skript-Zeile, um Sitzungen zu übernehmen oder die Seite in einen fremden Rahmen zu zwingen.
4. Eingaben werden nicht validiert
„Nimm das Formularfeld und schreib es in die Datenbank" – so entstehen SQL-Injection und gespeichertes XSS. KI-Code baut zuverlässig die Happy-Path-Logik; an die böswillige Eingabe denkt er selten. Validierung und parametrisierte Queries sind genau die Schritte, die beim schnellen Zusammenbauen wegfallen.
5. Verräterische KI-Spuren
Reste wie „TODO: Auth hinzufügen", „Get started by editing…", Default-Secrets aus Tutorials oder auskommentierte Test-Keys sind nicht nur unschön. Sie verraten Angreifern, dass hier ungeprüfter Code läuft – und sind oft selbst die Lücke, etwa wenn ein Tutorial-Passwort nie ersetzt wurde.
Warum klassische DSGVO- und Header-Checker das übersehen
Die gängigen deutschen Website-Checker prüfen Impressum, Cookie-Banner und eine Handvoll Header. Das ist sinnvoll, greift hier aber zu kurz: Sie suchen nicht nach geleakten Schlüsseln, nicht nach einem laufenden Dev-Server und nicht nach typischen KI-Code-Mustern. Genau diese blinde Stelle ist der Grund, warum „vibe-codete" Seiten durch jeden Standard-Check kommen und trotzdem offen wie ein Scheunentor sind.
Was du sofort tun kannst
- Keys gehören auf den Server (Umgebungsvariablen), nie ins Frontend-Bundle.
- Immer einen echten Production-Build deployen – nie den Dev-Server.
- Security-Header setzen (CSP, HSTS, X-Frame-Options).
- Jede Nutzereingabe serverseitig validieren und Queries parametrisieren.
- Vor dem Live-Gang die Seite von außen scannen.
In 10 Sekunden prüfen statt hoffen
Der Vibe Check scannt deine Seite auf genau diese Risiken: exponierte API-Keys, Dev-Server in Produktion, fehlende Security-Header und typische KI-Code-Spuren – über 55 Checks, Ergebnis in rund zehn Sekunden, ohne dass etwas gespeichert wird.
Vibe Coding ist nicht das Problem. Ungeprüftes Vibe Coding ist es.
Jetzt deine Seite in 10 Sekunden prüfen →