Die rasante Entwicklung und Verbreitung von Vibe Coding revolutioniert die Softwareentwicklung. Diese neue Methode ermöglicht es auch unerfahrenen Nutzern, mit Hilfe von künstlicher Intelligenz und natürlichen Sprachbefehlen eigene Websites und Apps zu erstellen. Lovable, ein schwedisches Startup, gilt als einer der Vorreiter dieser Bewegung und bezeichnet sich selbst als das am schnellsten wachsende Unternehmen in Europa im Bereich Vibe Coding. Doch diese Innovation bringt auch neue Gefahren mit sich, wie verschiedene Studien und Berichte beweisen. Trotz der großen Chancen offenbart die Technologie erhebliche Sicherheitslücken, die dazu führen können, dass Nutzer- und Kundendaten öffentlich zugänglich werden und Angreifer Möglichkeiten zur Ausnutzung bekommen.
Diese Bedrohungen verdeutlichen, wie risikoreich die Entwicklungen im Bereich Vibe Coding aktuell sind und wie wichtig ein grundlegend neues Sicherheitsdenken ist. Lovable ermöglicht es Kunden ohne IT-Hintergrund, ohne Programmierkenntnisse Webanwendungen oder Webseiten sekundenschnell mithilfe von KI-gestützten Tools zu erstellen. Dabei setzt das Startup auf einfache Bedienbarkeit und schnelle Ergebnisse. Die Grundlage bilden optimale AI-Modelle, die Programmiercode basierend auf sprachlichen Eingaben generieren. Doch wer jetzt denkt, dass die Technik allein eine sichere Anwendung garantiert, irrt gewaltig.
Ein Mitarbeiter des Mitbewerbers Replit, der ebenfalls KI-gestützte Softwarelösungen anbietet, entdeckte im März 2025 eine kritische Schwachstelle in Lovables System. Er sah sich eine Vielzahl von Anwendungen an, die von Lovable-Kunden erstellt wurden, und fand heraus, dass etwa 170 von über 1600 Apps eklatante Sicherheitsmängel aufwiesen. Diese Mängel ermöglichten Dritten den Zugriff auf empfindliche Nutzerdaten wie Namen, E-Mail-Adressen, Finanzinformationen – teilweise sogar geheime API-Schlüssel, mit denen Angreifer teure KI-Dienste missbräuchlich nutzen konnten. Ein besonders kritischer Punkt war die Art und Weise, wie Lovable seine Nutzer direkt mit Datenbankdiensten von Drittanbietern – konkret Supabase – verbindet. Supabase stellt die notwendige Infrastruktur zur Datenspeicherung bereit, allerdings lag das Problem darin, dass die Bediener der Datenbank oft falsche oder zu lockere Sicherheitskonfigurationen wählten.
Die Datenbanken waren offen zugänglich, sodass unbefugte Personen problemlos auf geschützte Informationen zugreifen konnten. Dass diese Lücken jederzeit von böswilligen Hackern ausgenutzt werden können, ist offensichtlich. Ein anderer Entwickler berichtete sogar öffentlich, wie er innerhalb weniger Minuten persönliche Schulden, Wohnadressen und weitere private Daten von Nutzern ermitteln konnte. Lovable reagierte zwar und implementierte eine Sicherheitsprüfung für Apps, die jedoch nur minimal überprüft, ob Supabase-Zugangskontrollen aktiviert sind. Diese Prüfung erkennt jedoch nicht, ob diese Kontrollen korrekt konfiguriert sind, was selbst erfahrenen Entwicklern schwerfällt.
Die brisante Situation verdeutlicht eines der größten Probleme des Vibe Codings: die fehlende Expertise seiner Anwender im Bereich IT-Sicherheit. Viele, die mit dieser neuen Methode Anwendungen erstellen, verfügen kaum oder keine Erfahrung mit gängigen Sicherheitsstandards und verstehen nicht die Risiken, die eine falsche Konfiguration ihrer Webanwendung mit sich bringt. Dadurch entsteht ein enormer Angriffsvektor, den Hacker bereits heute mit automatisierten Werkzeugen anvisieren. Die Gefahr, dass unausgereifte Anwendungen durch Sicherheitslücken zu OPferzahlreichen Angriffen werden, wächst rasant. Simon Willison, erfahrener Softwareentwickler und Unternehmer im Bereich AI-Tools, weist auf die Problematik hin und warnt vor einer bevorstehenden „rüden Wachsamkeit“, wenn die erste Welle von Vibe-Coded-Produkten die Verbraucher erreicht.
Die einfache Handhabung von Vibe Coding täuscht über die Komplexität hinaus, die sichere Softwareentwicklung eigentlich erfordert. Viele der aktuell veröffentlichten Anwendungen ähneln sicherheitstechnisch eher den unsicheren Webseiten der 1990er Jahre als modernen Standards. Lovable selbst ist sich der Schwachstellen bewusst und betont kontinuierliche Verbesserung der Sicherheitsmaßnahmen. Dennoch geben sie ihre Kunden teilweise in die Verantwortung, eigene Anwendungen auf Sicherheitsmängel zu prüfen und „menschliche Sicherheitsreviews“ durchzuführen. Diese Haltung stößt in der Fachwelt auf Kritik, da die Sicherung von Online-Diensten traditionell beim Anbieter liegt.
Tools zum Erstellen von Software dürfen nicht die Haftung für mangelnde Sicherheit von Anwendungen auf die User abwälzen. Erfahrene IT-Sicherheitsexperten empfehlen, den direkten Zugriff von Nutzern auf Datenbanken grundsätzlich zu vermeiden. Stattdessen solle der Anwendungscode kontrollieren, welche Daten angezeigt oder verändert werden dürfen. Dies erfordert eine präzise Zugriffskontrolle und ein ausgefeiltes Berechtigungssystem, dessen Entwicklung jedoch sehr anspruchsvoll ist und viel Leistung beansprucht. Im Falle von Lovable ist gerade diese komplexe Komponente problematisch, weil das Startup die Verantwortung für die Sicherheit größtenteils an unerfahrene Nutzer überträgt.
Die Folge: Die erstellten Apps sind vielfach ein leichtes Ziel für Hacker, die mit ausgeklügelten automatisierten Tools nach Schwachstellen suchen und so persönlichen oder geschäftlichen Schaden anrichten können. Neben den direkten Folgen für die betroffenen Nutzerunternehmen wirft die aktuelle Situation auch eine grundlegende Frage auf: Wer trägt die Verantwortung für die Sicherheit von Software in einer Ära, in der völlig unerfahrene Menschen mit KI-Unterstützung Anwendungen innerhalb von Minuten erstellen können? Replit, einer der Konkurrenten von Lovable, verfolgt einen anderen Ansatz: die Einführung sogenannter Sandboxes. Diese isolieren die erstellten Anwendungen, begrenzen deren Zugriffsmöglichkeiten und damit mögliche Schäden im Falle einer Kompromittierung. Ein solcher Weg könnte im Vibe-Coding-Bereich neuen Standards setzen und klare Haftungsgrenzen definieren. Wie sich die Szene weiterentwickelt, ist auch von der Entwicklung automatisierter Sicherheitstools abhängig.
Firmen wie Semgrep arbeiten bereits daran, Sicherheitslücken in Code automatisch zu erkennen und Entwickler auf potenzielle Risiken hinzuweisen. Solche Technologien könnten zukünftig Bestandteil von Vibe-Coding-Tools werden und so die Sicherheit deutlich erhöhen. Sieht man jedoch die derzeitige Lage, so ist die Euphorie über die Demokratisierung von Softwareentwicklung durch Vibe Coding gebremst durch die ernste Problematik mangelnden Schutzes vor Cyberangriffen. Selbst ausgereifte KI-Modelle, die hochwertigen Code schreiben können, sind noch nicht in der Lage, die gesamte Komplexität von Sicherheitsfragen zu überblicken oder Entscheidungen für sichere Anwendungskonfigurationen zu treffen. Lovables Fall belegt eindrucksvoll, dass Sicherheit kein Zusatzfeature sein darf, sondern integraler Bestandteil jeder Plattform und Anwendung sein muss.
Nur so kann die Vision, Software für alle zugänglich und nutzbar zu machen, ohne gravierende Risiken für Nutzerdaten und Geschäftsmodelle zu schaffen, erfolgreich umgesetzt werden. Bis dahin bleiben Vibe-Coding-Startups wie Lovable potenzielle „Sitting Ducks“ – leichte Ziele für Hackerangriffe in einer Welt, die zunehmend von digitalen Technologien abhängt. Die Zukunft der Vibe-Coding-Technologie steht und fällt mit der Fähigkeit der Anbieter, Sicherheit automatisiert, umfassend und zuverlässig zu gewährleisten. Es ist an der Zeit, diesen Bereich nicht nur als technologische Innovation zu begreifen, sondern auch als eine Herausforderung, die das Software-Ökosystem und die Sicherheit im Internet grundlegend neu gestalten wird.
