Mit Vibe-Coding verspricht die Tool-Generation um Cursor, Lovable und Replit Agent, dass auch Nicht-Programmierer per Prompt eigene Software bauen können. Ein Praxistest von t3n und ein realer Sicherheitsvorfall um eine Cursor-gebaute SaaS zeigen jetzt: Die ersten 70 Prozent gehen schnell, der Rest bleibt klassische Entwicklerarbeit. Für KMU-Geschäftsführer heißt das: Ideen schnell prototypen ja, eigene Kundensoftware damit launchen besser nicht.
Was ist Vibe-Coding überhaupt?
Der Begriff stammt aus einer Notiz von KI-Vordenker Andrej Karpathy: Man beschreibt der KI grob, was man möchte, übernimmt den Vorschlag, korrigiert per Folge-Prompt, ohne den Code im Detail zu prüfen. Die „Vibes” der App zählen, nicht die Implementierung. Tools wie Cursor, Lovable, Replit Agent, Bolt.new und die ChatGPT-Canvas haben das in den vergangenen Monaten in ein massentaugliches Erlebnis übersetzt. Mit Self-Service-Pricing zwischen 0 und 20 Euro im Monat (Cursor) ist die Einstiegshürde so niedrig wie nie. Wer einmal eine kleine HTML-App prompten lässt, fühlt sich kurz wie ein Entwickler, und genau hier setzt der nüchterne Realitätscheck an.
t3n-Praxistest: Bis die KI nicht mehr weiterkam
t3n-Redakteur Marvin Fuhrmann hat genau diesen Pfad ausprobiert: eine responsive To-do-App mit Dark Mode, Kalender, Export und Kategorien, gebaut in Cursor. Nach rund einer Stunde lief die Grundversion. Dann fingen die Probleme an: doppelte Wochentags-Abkürzungen im Kalender, abgeschnittene Tage nach Korrekturversuchen, falsch eingefärbte Bedienelemente. Auch nach mehrfachen, präzisen Anweisungen verstand die KI nicht, dass nur die Anzahl der Aufgaben farblich markiert werden sollte und nicht das gesamte Kästchen. Mit jedem Korrekturversuch tauchten neue Fehler an anderer Stelle auf. Der Eindruck: Nicht das grobe Konzept überfordert die KI, sondern die Details, in denen sie sich festfrisst.
Der reale Sicherheitsfall: Leos SaaS unter Angriff
Wer Vibe-Coding nicht als Spielerei betreibt, sondern eine echte Anwendung damit ins Netz stellt, fährt mit deutlich höherem Risiko. Ein viel zitiertes Beispiel aus diesem Frühjahr: Der US-Gründer Leonel Acevedo baute mit Cursor, ohne eine Zeile selbst geschriebenen Code, eine Lead-SaaS namens Enrichlead, feierte das öffentlich auf X und meldete zwei Tage später: „Guys, I’m under attack”. API-Keys lagen im Repository offen, die Paywall ließ sich umgehen, die Datenbank füllte sich mit Müll-Einträgen (Quelle: pivot-to-ai.com). Wenig später nahm er die App vom Netz. Die Lektion: Was ein erfahrener Entwickler ohne nachzudenken mitliest, Secrets-Management, Authentifizierung, Rate-Limits, fällt im Vibe-Coding-Flow leicht hinten runter.
Das 70-Prozent-Problem
Der Google-Entwickler Addy Osmani hat für dieses Muster einen Namen: das 70-Prozent-Problem. KI bringe einen sehr schnell auf 70 Prozent einer funktionierenden Anwendung, die letzten 30 Prozent (Edge-Cases, Security, Performance, Integration in bestehende Systeme) seien nach wie vor klassische Handarbeit (Quelle: zed.dev). Sein Bild dazu: Die KI ist ein fleißiger Junior-Entwickler, produktiv, motiviert, aber nicht senior genug, um allein eine Produktionsumgebung zu architektieren. Und je weniger man selbst vom Programmieren versteht, desto schwerer wird es, die KI-Vorschläge präzise zu lenken oder grobe Fehler zu erkennen.
Wo Vibe-Coding im KMU funktioniert, und wo nicht
Aus den drei Quellen lässt sich für die Praxis im Mittelstand ein klares Raster ableiten:
- Funktioniert gut: interne Mini-Tools, Excel-Ersatz-Skripte, einmalige Auswertungen, Marketing-Mockups, Prototypen für Kundenpräsentationen, Ergänzungen zu Zapier-/Make-/n8n-Workflows, einfache Landingpages.
- Funktioniert mit Aufsicht: kleine Erweiterungen bestehender Anwendungen (etwa eigene WordPress-Snippets oder ein internes Reporting), sofern jemand im Team die Outputs gegenliest.
- Funktioniert nicht ohne Entwicklerbegleitung: öffentlich erreichbare Web-Apps mit Login, Bezahlfunktionen, DSGVO-pflichtige Datenverarbeitung, und alles, was Bestandskunden-Daten anfasst.
Was das für KMU bedeutet
Für den 25-Personen-Pflegedienst, die Tanzschule oder die regionale Agentur ist die Botschaft gemischt, aber konkret nutzbar: Vibe-Coding ist keine Abkürzung zur eigenen Kundensoftware, aber ein realistisches Werkzeug, um intern schneller zu werden. Der pragmatische Pfad sieht so aus: einen klar abgegrenzten internen Anwendungsfall wählen (Belegerkennung, Schichtplan-Mockup, ein kleiner Dispo-Helfer), eine technisch interessierte Person im Team benennen, die Cursor oder ein vergleichbares Tool erkundet, Kostenrahmen 20 bis 50 Euro im Monat, und das Ergebnis bewusst nicht für externe Kunden, Logins oder Bezahlfunktionen einsetzen.
Sobald Externe darauf zugreifen sollen, gehört entweder ein erfahrener Entwickler in den Prozess oder ein etablierter Anbieter (No-Code-Plattformen mit Auth-/Hosting-Stack wie Bubble, eine fertige SaaS oder klassische Custom-Entwicklung). Wer dieses Risiko-Profil respektiert, gewinnt mit Vibe-Coding genau das, was KMU am meisten fehlt: die Fähigkeit, Ideen in Tagen statt Monaten zu testen, ohne sich zu überschätzen.