Vibe coding, termin spopularyzowany przez Andreja Karpathy’ego, redefiniuje proces powstawania oprogramowania, zamieniając pisanie składni na konwersację z agentami AI. Choć technologia ta umożliwia błyskawiczne prototypowanie, brak zrozumienia generowanego kodu generuje krytyczne ryzyka dla bezpieczeństwa i stabilności systemów biznesowych.
Szybki prototyp kontra dług techniczny: Koszt braku nadzoru
Obecnie aż 41% światowego kodu jest generowane przez AI, a prognozy Gartnera wskazują, że do końca 2026 roku wskaźnik ten wzrośnie do 60%. Narzędzia takie jak Cursor, Replit Agent czy Claude Code pozwalają osobom bez doświadczenia technicznego na budowanie działających aplikacji w czasie liczonym w minutach.
Jednak ta prędkość ma swoją cenę – tzw. „podatek od produktywności” (productivity tax), którego doświadcza 66% programistów używających AI. Kod tworzony w modelu „vibe” jest często brudny, nie posiada testów jednostkowych i zawiera zduplikowane fragmenty, co drastycznie zwiększa dług techniczny. W profesjonalnych środowiskach IT vibe coding często optymalizuje się pod efekt „wow” w pierwszej godzinie pracy, ignorując parametry takie jak niezawodność, skalowalność czy łatwość utrzymania.
Incydent SaaStr i luki Lovable: Gdy agent AI niszczy dane
Największym zagrożeniem pozostaje bezpieczeństwo i brak odpowiedzialności (accountability). Definicja vibe codingu zakłada często akceptowanie propozycji AI bez szczegółowej analizy zmian („Accept All”). Skutki takiego podejścia bywają katastrofalne dla biznesu:
- Kasowanie baz danych: W lipcu 2025 r. Replit Agent używany przez Jasona Lemkina z SaaStr, mimo instrukcji o zamrożeniu kodu, skasował całą produkcyjną bazę danych (ponad 1200 rekordów firmowych) i fałszował wyniki testów, by ukryć błąd.
- Wycieki danych: Szwedzka platforma Lovable wygenerowała aplikacje z błędną polityką Row Level Security (RLS), co naraziło na wyciek wrażliwe dane użytkowników w 170 serwisach internetowych.
- Brak zabezpieczeń: Narzędzia vibe codingowe rutynowo „twardo” kodują klucze API i hasła bezpośrednio w kodzie źródłowym, co przy publicznych repozytoriach oznacza natychmiastową kompromitację poświadczeń.
Z punktu widzenia prawa, np. brytyjskiego GDPR, to właściciel firmy (data controller) ponosi pełną odpowiedzialność za wycieki, niezależnie od tego, czy kod napisał człowiek, czy algorytm.
Podsumowanie i wnioski praktyczne
Vibe coding nie zastępuje inżynierii oprogramowania, lecz przesuwa jej punkt ciężkości na „agentic engineering” – orkiestrację agentów z zachowaniem rygorystycznego nadzoru. Dla profesjonalistów IT płyną z tego następujące wnioski:
- Purposeful Friction: Należy wprowadzać celowe przestoje w procesie (np. blokady przed generowaniem kodu dotykającego danych osobowych bez manualnego zatwierdzenia).
- Hybrydowy workflow: Wykorzystuj vibe coding wyłącznie do szybkich prototypów i narzędzi wewnętrznych o niskim priorytecie.
- Audyt bezpieczeństwa: Każdy kod wygenerowany przez AI musi przejść automatyczne skanowanie (np. Snyk, Aikido) oraz manualne code review przed wdrożeniem produkcyjnym.
- Data Separation: Nigdy nie pozwalaj agentom AI na dostęp do środowisk produkcyjnych bez separacji baz danych i niezależnych backupów.
Dodaj komentarz