Vibecoding vanuit een technologisch perspectief

In onze vorige post over vibecoding voor marketeers deden we de opportuniteiten én struikelblokken vanuit een marketingperspectief uit de doeken: rommelige code, tokenlimieten, geen CMS, beperkte SEO en het ontbreken van een strategisch fundament.In dit artikel bekijken we de innovatie vanuit een technologisch perspectief: wat als mensen zonder technische achtergrond software bouwen die daadwerkelijk in productie gaat? Onze techstudio Studio Fledge gaat in haar blog ‘What could possibly go wrong?’ nog dieper in op de technische details. Hier beperken we ons tot de belangrijkste learnings.

De technologie evolueert razendsnel. Karpathy, die de term 'vibecoding' een jaar geleden bedacht, geeft intussen zélf al aan dat de term niet langer de lading dekt. Hij pleit nu voor "agentic engineering" als meer accurate omschrijving. Een signaal dat het domein volwassen aan het worden is, maar tegelijk ook complexer.

Die indrukwekkende evolutie zien we ook in het gebruik van de technologie. Platformen zoals Vercel en Netlify zagen hun gebruikersaantallen massaal stijgen in 2025, voornamelijk dankzij vibecoders. Grote techbedrijven zoals Google en Microsoft genereren al meer dan 20% van hun code via AI. Gartner voorspelt dat tegen 2028 maar liefst 75% van enterprise software engineers AI-codeassistenten zullen gebruiken, tegenover minder dan 10% begin 2023.

Vibecoding maakte de technologie om applicaties te bouwen toegankelijk voor iedereen. Maar terwijl we de technologische democratisering toejuichen, staan we graag ook even stil bij de risico’s. Wat kan er misgaan?

Veiligheid als eerste zorg

Uit het GenAI Code Security Report 2025 van Veracode, dat gebaseerd is op meer dan 100 LLM's en 80 codingtaken, blijkt dat 45% van AI-gegenereerde code beveiligingslekken introduceert. Bijna de helft van de tijd kiezen de modellen, bewust of onbewust, voor een onveilige methode. Op zich is dat niet onlogisch: LLM's die getraind zijn op publieke code leren zowel veilige technieken als wijdverspreide kwetsbaarheden. "Garbage In, Gospel Out": de modellen leveren dan wel functioneel correcte code, maar de beveiligingskwaliteit blijft structureel achter.

Authenticatie & identity management

AI-modellen bouwen standaard zelf een user management-systeem, maar doen dat zonder de correcte best practices. Ze kennen het concept van een Identity Provider (IdP), maar passen het zelden proactief toe. Een concreet voorbeeld: de startup Enrichlead, die volledig gebouwd werd via Cursor, zag hoe een gebrekkige IdP volledige gratis toegang gaf tot alle betalende features. En dat probleem kregen ze niet meer opgelost.

Hardcoded credentials & blootgelegde API-keys

Vibecoding kiest er dikwijls voor om API-keys, tokens of database-credentials te hardcoderen direct in de code. Iedereen met de developer tools kan die keys kopiëren. De 1,5 miljoen API-keys en 35.000 mailadressen die lekten bij het AI-gedreven sociaal netwerk Moltbook, bijvoorbeeld, waren geen gevolg van een hack, maar van vibecoding zonder de juiste reflexen.

OWASP Top 10

De OWASP Top 10 is een jaarlijkse lijst van de belangrijkste veiligheidsrisico’s voor webapplicaties. Een deel van deze risico’s, zoals Cross-Site-Scripting en Log Injection, groeit nu exponentieel. Toegegeven, ze bestonden al voor we massaal aan het vibecoden gingen, maar de schaal waarop dit misloopt is nu veel groter.

Juridisch kader: de EU Cyber Resilience Act

De EU Cyber Resilience Act verplicht fabrikanten van softwareproducten tot secure-by-design-principes, verplichte risicoanalyses en beveiligingsupdates voor minstens vijf jaar. Vibecoding die dit negeert, is niet alleen technisch riskant maar ook juridisch kwetsbaar met het risico op fikse boetes.

Architectuur & hosting

De kost van publiek draaiende AI agents

Iedereen heeft toegang tot AI-agents of backend-diensten die publiek worden gehost zonder authenticatie of toegangsbeperking. Vaak weet een vibecoder zelfs niet dat zijn applicatie publiek staat. Token- en computingkosten kunnen hierdoor exponentieel oplopen. In de marketingversie van deze blogpost hadden we het al over tokenlimieten, maar hier krijgt dat nog een volledig andere dimensie. Niet het gesprek met de AI, maar de draaiende applicatie zelf vreet budget weg.

Monoliet of microservices?

AI genereert standaard een applicatiestructuur die bestaat uit één blok. Monolitisch, noemt dat dan. Dat is niet per se fout voor kleine projecten, maar moeilijk schaalbaar. Als je het verschil niet kent tussen verschillende applicatiestructuren, stelt vibecoding een architecturaal kader voor dat grote gevolgen zal hebben voor performantie, onderhoudbaarheid en hostingkosten.

Kubernetes

Vibecoded applicaties genereren automatisch complexe infrastructuurcode, en schuwen hierbij ook Kubernetes niet. Kubernetes is een extreem krachtig maar ook extreem complex platform, waarvoor je niet alleen een zware technische achtergrond nodig hebt, maar ook een stevig budget.

Technical debt op machinesnelheid

Traditionele technische schuld ontstaat wanneer ontwikkelaars snelheid boven onderhoud stellen. Dit bouwt een schuld die je later moet betalen, want het wordt moeilijk om code te wijzigen, uit te breiden of te debuggen. Vibecoding Debt is datzelfde fenomeen op AI-snelheid: kwetsbaarheden zitten ingebakken vanaf dag één, in codebases die niemand meer kan lezen of auditen.

Wat wél werkt: expertise-gedreven AI

Laten we vooral niet blijven hangen in gevaren. De kracht van vibecoding of agentic engineering zit in het feit dat het de drempel om te bouwen drastisch verlaagt. Wat vroeger weken of maanden kostte, kan nu in dagen of zelfs uren. Dat is geen bedreiging voor technologie, maar een uitnodiging om er slimmer en efficiënter mee om te gaan.

Want waar code zonder fundament drijfzand lijkt te zijn, kan je mét de juiste principes, keuzes en begeleiding diezelfde snelheid omzetten in een hefboom voor innovatie. Hoe pakken wij dat aan?

Blueprints & reusable components als fundament

Onze experts bouwen software op basis van een set bewezen bouwblokken. Even snel, want we gebruiken de technologie van agentic engineering, maar wel vanuit jarenlange expertise.

Het verschil zit niet in de tools, maar in het fundament: security defaults, architectuurkeuzes en infrastructuurstandaarden zitten al in onze blueprints en componenten. Wij geven de kaders, AI vult aan. Het resultaat? De snelheid van vibecoding, maar zonder risico's.

Expert-in-the-loop als principe

Karpathy waarschuwde al dat als we niet opletten, agents gewoon "slop" genereren. Zijn conclusie: de primaire taak van de ontwikkelaar verschuift van code schrijven naar code reviewen. Een beetje zoals een getalenteerde stagiair: zijn werk zou je toch ook niet zonder review naar productie sturen?

Een andere, veelgemaakte vergelijking: een tech expert die agentic coding gebruikt, is zoals een landbouwer die met zware machines werkt. De machine (AI) elimineert de boer niet, maar geeft hem exponentieel meer productiekracht als hij weet hoe hij de tractor bestuurt.

Wij gebruiken AI als turbomotor, niet als autopiloot. De architectuur, de securitykeuzes, de hostingstrategie blijven mensenwerk, maar dan gevoed door expertise en ervaring.

Waar kunnen wij helpen?

Wil je zelf aan de slag met vibecoding, maar wil je er zeker van zijn dat je niet in bovenstaande vallen trapt? Of heb je, met de hulp van vibecoding, al aan een applicatie gewerkt en wil je deze nu schaalbaar maken? Onze tech experts staan voor je klaar:

• Architecture review & begeleiding
  ‍We kijken mee vanuit technisch oogpunt, nog voordat je aan de slag gaat. Welke stack? Welke hosting? Hoe zit het met authenticatie, dataopslag en API-beveiliging? Zo zorgen we van in het begin voor de juiste keuzes.
• "Vibe beter" training
  ‍Wil je zelf experimenteren met agentic engineering, maar mis je de achtergrond? We leren je hoe je AI correct aanstuurt met de juiste architecturale context en security guardrails, zodat wat je bouwt ook veilig en schaalbaar is.
• Ondersteuning tijdens vibe-time
  ‍Liever een partner die je begeleidt terwijl je bouwt? Wij helpen je om klassieke valkuilen te vermijden op het moment dat ze nog goedkoop op te lossen zijn, in plaats van achteraf.
• Van vibed naar robust
  ‍Was je toch al aan het vibecoden geslagen, en stuit je nu op één van bovenstaande issues? We’ve got you. We nemen bestaande vibecoded applicaties over en transformeren ze naar productieklare software met correcte security, hosting best practices en onderhoudbare code.

Vibecoding en agentic engineering zijn hier om te blijven. De vraag is niet of we deze tools moeten gebruiken, maar hoe we dat verantwoord doen. Met de juiste expertise bouw je een AI-gedreven ontwikkeling op een stevig fundament, niet op drijfzand zonder draagkracht.

Wil je snel én veilig bouwen? Let's vibe together! Wij helpen je om het beste uit beide werelden te halen.

‍