VibeCoding: Piękny sen, który stał się koszmarem bezpieczeństwa

Dlaczego programowanie “na czuja” może być najgorszą decyzją dla twojego biznesu

Cała prawda o tym, co dzieje się, gdy wszyscy myślą, że AI zastąpi programistów

Przez ostatnie miesiące obserwujemy prawdziwy szał na AI w kodowaniu. Startup’y chwalą się, że zbudowały całe aplikacje „w weekend”, influencerzy na LinkedIn pokazują, jak dzieci robią strony internetowe „jednym promptem”, a CEO korporacji zapowiadają, że już niedługo programiści będą zbędni. To miał być przełom – VibeCoding, czyli kodowanie na „fali”, gdzie wystarczy opisać co chcesz, a AI zrobi resztę.

Realia? 48% kodu generowanego przez AI zawiera podatności bezpieczeństwa. Firma za firmą odnotowuje wycieki danych związane z AI-generowanym kodem. A my dopiero zaczynamy rozumieć skalę problemu.

Kiedy „szybki prototyp” staje się katastrofą

Weźmy konkretny przykład. Firma z San Francisco pochwaliła się, że zbudowała „w pełni funkcjonalną platformę fintech” w 6 godzin używając tylko promptów AI. 
https://www.datapro.news/p/the-vibe-coding-headache

Trzy miesiące później została zhakowana przez „żenująco podstawowe” podatności, ujawniając tysiące rekordów użytkowników.

To nie jest przypadek. Badanie pokazuje, że z 12 startup’ów, które publicznie przyznały się do budowania platform głównie przez AI-generowany kod, siedem doświadczyło znaczących naruszeń bezpieczeństwa w ciągu pierwszego roku działania. Trzy musiały zamknąć działalność, cytując „wyzwania techniczne” – co w praktyce oznaczało, że ich kod był nie do utrzymania.

Jeden z założycieli, który zgodził się rozmawiać anonimowo, wyznał: „Zbudowaliśmy naszą aplikację w dwa tygodnie używając AI. Czuliśmy się jak bogowie. Ale potem musieliśmy dodać funkcje, naprawić błędy, zintegrować z innymi systemami. Kod generowany przez AI był jak domek z kart. Dotknij jedną rzecz, a wszystko się wali.”

Firma ostatecznie wydała 200 000 dolarów i 6 miesięcy na przepisanie całej platformy od zera.

Slopsquatting: Nowa era ataków na deweloperów

Podczas gdy świat odkrywał VibeCoding, hakerzy równolegle opracowywali nowe metody ataku. Poznajcie slopsquatting – technikę, która wykorzystuje halucynacje AI do rozprzestrzeniania malware’u.

Jak to działa? AI często wymyśla nieistniejące biblioteki i pakiety. Hakerzy to wykorzystują, tworząc fałszywe biblioteki o tych samych nazwach i umieszczają w nich złośliwy kod.

Eksperci z Sonar ostrzegają: „Jeśli możesz nakłonić aplikację korporacyjną do włączenia twojego publicznie opublikowanego złośliwego pakietu do swojej bazy kodu, to przepis na dowolne wykonanie kodu”.

Przykład z życia: Badacze z Netcraft odkryli co najmniej 17 000 stron GitBook-a naśladujących strony wsparcia technicznego, dokumentację i strony logowania – wszystko zoptymalizowane pod LLM-y zamiast tradycyjnego SEO Google. Pięć ofiar skopiowało złośliwy kod do własnych publicznych projektów, niektóre z nich pokazywały oznaki powstania z użyciem AI.

Lovable i 170 podatnych aplikacji

Platforma Lovable, jedna z najpopularniejszych do VibeCoding, stała się przypadkowym studium tego, jak bardzo źle może się to skończyć. Badacze bezpieczeństwa odkryli, że 170 z 1645 aplikacji stworzonych przez amatorskich deweloperów na tej platformie było podatnych na ataki.

Typowe problemy to:

• Hardkodowane klucze API i hasła w kodzie
• Niezabezpieczone API ujawniające dane użytkowników
• Błędnie skonfigurowana logika uwierzytelniania
• Niezwalidowane wejścia prowadzące do ataków SQL injection i XSS

Oczywiście AI – może być z powodzeniem wykorzystywane np. do makietowania systemów czy realizowanie prototypów. W takich wypadkach aplikacje typu Lovable – sprawdzają się świetnie.

Kosztowna prawda o „darmowym” kodowaniu

Podczas gdy VibeCoding prezentuje się jako tańsza alternatywa, rzeczywistość jest inna. Narzędzia AI nie są darmowe – wiele z nich kosztuje 20-50 dolarów miesięcznie. Chcesz projektować z Lovable? To kolejna opłata. Narzędzia do deploymentu, hosting, platformy API – wszystko się sumuje.

Przypadek OpenVSX: Gdy marketplace staje się zagrożeniem

OpenVSX, marketplace rozszerzeń używany przez popularne AI-IDE jak Cursor i Windsurf, stał się targetem dla hakerów. Badacze odkryli złośliwe rozszerzenie pobrane 200 000 razy, które zamiast przydatnych funkcji uruchamiało skrypty PowerShell, dając atakującym zdalny dostęp do komputera.

Kluczowy problem: Brak podstawowego skanowania bezpieczeństwa.

W czerwcu 2025 roku odkryto krytyczną lukę w OpenVSX – atakujący mógł przejąć token super-admina i publikować lub nadpisywać dowolne rozszerzenia w marketplace. Jak podkreślają badacze: „Jeden prosty błąd naraził miliony deweloperów na niewiarygodne ryzyko w skali wcześniej niespotykanej.”

Microsoft i GitHub: Ostrożne dystansowanie

Podczas gdy startup’y gonią za VibeCoding, firmy korporacyjne są znacznie ostrożniejsze. Microsoft, mimo że promuje GitHub Copilot, ma wewnętrzne wytyczne wymagające ludzkiego przeglądu całego AI-generowanego kodu. Google ma podobne zasady.

Te firmy rozumieją to, czego wielu entuzjastów VibeCoding nie dostrzega: AI to potężne narzędzie, ale nie zastąpienie dla wiedzy inżynierskiej.

CTO jednej z firm z Fortune 500 powiedział: „Używamy AI do kodowania intensywnie, ale zawsze z ludzkim nadzorem. Wzrosty produktywności są realne, ale ryzyko też. Wdrożyliśmy wiele warstw code review i skanowania bezpieczeństwa specjalnie z powodu problemów z jakością kodu generowanego przez AI.”

Czy można to zrobić dobrze ?

Oczywiście dowodem niech będzie ten artykuł:

https://www.techmonitor.ai/digital-economy/ai-and-automation/vibe-coding-enterprise-use-cases?cf-view

Przykład  pokazuje, jak robić to dobrze. Firma używa Cursor i VS Code Agent, ale z rygorystycznymi zasadami użytkowania.

Podsumowanie: Piękny sen, brutalna rzeczywistość

VibeCoding obiecywał demokratyzację programowania. Rzeczywistość pokazuje, że dostaliśmy demokratyzację podatności bezpieczeństwa.

Dane nie kłamią:

• 40% AI-generowanego kodu zawiera podatności
• 30% naruszeń bezpieczeństwa w 2025 roku dotyczy komponentów trzecich
• 17% wzrost ujawnionych podatności CVE w 2025 roku

Czy to oznacza, że AI w kodowaniu to zło? Nie. Ale oznacza to, że technologia wyprzedziła nasze zrozumienie jej konsekwencji. Firmy, które traktują AI jak magiczną różdżkę, płacą za to realną ceną – w dolarach, reputacji i bezpieczeństwie.

Ostateczna prawda: AI może przyspieszyć kodowanie, ale nie zastąpi myślenia. Firmy, które to zrozumieją, będą bezpieczne. Te, które tego nie zrozumieją, staną się kolejnymi case study o tym, jak szybko można zniszczyć biznes jednym promptem.