De risico's van vibe-coded software in een zakelijke omgeving en hoe je die beheert

Vibe-coding is geen hype meer. Het is een werkmethode. Ontwikkelaars, en steeds vaker ook niet-ontwikkelaars, gebruiken AI-tools zoals Cursor, Copilot of Claude om code te genereren op basis van intentie in plaats van precieze instructies. Je beschrijft wat je wilt, de AI schrijft het. Je corrigeert, stuurt bij, en herhaalt.

Dat werkt verrassend goed. Prototypes die vroeger weken kostten, zijn nu in dagen klaar. Interne tools die niemand ooit budgetteerde, worden gebouwd door teamleden die geen formele programmeeropleiding hebben gehad. Bij Livewall zien we dat zelf: AI versnelt onze productontwikkeling op manieren die een jaar geleden nog niet realistisch waren.

Maar er is een keerzijde. Vibe-coded software is niet hetzelfde als professioneel gebouwde software. En in een zakelijke context, waar beveiliging, schaalbaarheid en onderhoudbaarheid er echt toe doen, zijn de risico's concreet en te groot om te negeren.

Wat vibe-coding oplevert en wat het niet oplevert

De kracht van vibe-coding zit in de snelheid van exploratie. Je kunt hypothesen testen, interfaces bouwen, data verbinden en werkende prototypes tonen aan stakeholders, allemaal zonder dat elke stap door een developer-review hoeft te gaan. Dat is waardevol, zeker in de vroege fase van een product.

Wat het niet oplevert: code die iemand anders goed kan begrijpen, onderhouden of uitbreiden. AI-gegenereerde code is functioneel maar zelden elegant. Het volgt zelden de architectuurprincipes die een senior developer zou hanteren. Er is weinig rekening gehouden met edge cases, foutafhandeling of wat er gebeurt als het systeem schaalt van tien naar tienduizend gebruikers.

En dan zijn er de blinde vlekken rondom beveiliging. AI-tools genereren code op basis van patronen uit trainingsdata. Ze reproduceren ook kwetsbaarheden die in die data zaten. Een vibe-coded webapplicatie kan sql-injecties, onveilige authenticatieflows of verkeerde omgang met gebruikersdata bevatten, zonder dat de maker het doorheeft.

Bij Livewall werken we zelf intensief met AI in ons bouwproces. We weten precies welke output we kunnen vertrouwen en wat altijd door een senior developer gereviewed moet worden. Dat onderscheid is niet vanzelfsprekend voor teams die nieuw zijn met deze werkwijze.

De vier concrete risico's in een zakelijke context

1. Beveiligingskwetsbaarheden die niemand zag aankomen. Vibe-coded software bevat vaker onveilige patronen omdat de AI geen volledig begrip heeft van de beveiligingscontext waarin de applicatie draait. Input-validatie die ontbreekt, tokens die verkeerd worden opgeslagen, API-endpoints die te veel blootstellen: dit zijn risico's die pas aan het licht komen na een incident. In een zakelijke omgeving met klantdata, betalingssystemen of persoonlijke informatie zijn de gevolgen serieus.

2. Technische schuld die exponentieel groeit. Vibe-coded software werkt vandaag. Over zes maanden is het een ander verhaal. Als niemand de onderliggende architectuur begrijpt, wordt elke nieuwe feature een riskante operatie. Kleine wijzigingen breken onverwachte delen. De codebase wordt steeds moeilijker te debuggen. Teams gaan om de problemen heen werken in plaats van ze op te lossen.

3. Afhankelijkheid van de maker. Als de persoon die de vibe-coded tool heeft gebouwd het team verlaat, is de kennis weg. Niet alleen de kennis over hoe de code werkt, maar ook over de impliciete beslissingen die in de prompts zaten. Er is geen documentatie, geen architectuuroverzicht, geen testdekking. Wat overblijft is een zwarte doos.

4. Complianceproblemen die je niet ziet aankomen. GDPR, AVG, branchespecifieke regelgeving: dit zijn niet de eerste dingen waar AI aan denkt als het code schrijft. Data die onversleuteld wordt opgeslagen, logbestanden die persoonsinformatie bevatten, koppelingen met externe diensten zonder verwerkersovereenkomst: vibe-coded tools raken hier regelmatig aan zonder dat de maker zich daarvan bewust is.

Hoe je de risico's beheert zonder de voordelen weg te gooien

De oplossing is niet om vibe-coding te verbieden. Dat is niet realistisch en ook niet verstandig. De oplossing is structuur aanbrengen rond de momenten waarop vibe-coded output de drempel overgaat van prototype naar iets wat echt gebruikt wordt.

Stel een duidelijke drempel in. Vibe-coding is prima voor verkenning, prototyping en interne experimenten die geen gevoelige data raken. Zodra software de productieomgeving ingaat, klantdata verwerkt of geintegreerd wordt in bedrijfssystemen, geldt een andere standaard. Maak dat onderscheid expliciet in je team.

Laat elke vibe-coded codebase reviewen voordat hij productie ingaat. Niet als formaliteit, maar als serieuze beveiligingscheck. Een senior developer met kennis van de betreffende stack kan in twee tot vier uur de meeste kritieke kwetsbaarheden identificeren. Die investering is altijd de moeite waard.

Schrijf altijd documentatie. AI-tools helpen hierbij. Laat de AI zelf uitleggen wat de code doet, welke aannames er zijn gemaakt en welke edge cases nog niet gedekt zijn. Dat is een halve dag werk die een toekomstig team maanden bespaart.

Bouw op bestaande, gecontroleerde infrastructuur. Vibe-coded applicaties die bouwen op bewezen platforms, standaard authenticatieoplossingen en bestaande beveiligde koppelingen lopen minder risico dan applicaties die alles vanaf scratch proberen te implementeren. Gebruik bestaande componenten en laat de vibe-coding de logica bovenop die basis schrijven.

Betrek digitale strategie vroeg. Wie is de eigenaar van dit systeem over twee jaar? Hoe wordt het onderhouden? Wat is het exitplan als de maker vertrekt? Dit zijn vragen die beantwoord moeten zijn voordat een vibe-coded tool een kritisch onderdeel van bedrijfsprocessen wordt.

Waar vibe-coding wél thuishoort in een zakelijke omgeving

Vibe-coding heeft een echte plek in professionele productontwikkeling. Het gaat erom waar je het inzet.

Rapid prototyping is de meest voor de hand liggende toepassing. Een klikbaar prototype dat aannames valideert bij stakeholders of gebruikers, hoeft niet van productiekwaliteit te zijn. Het hoeft te werken goed genoeg om te leren. Dat is precies het domein waarin vibe-coding uitblinkt.

Interne tools die geen gevoelige data raken en door een kleine, technisch onderlegde groep worden gebruikt, zijn eveneens goede kandidaten. Dashboards, planningstools, interne rapportages: hier zijn de risico's beheersbaar en de snelheidswinst reeel.

Exploratie van nieuwe technologie is een derde toepassingsgebied. Wil je begrijpen hoe een bepaalde API werkt, hoe een algoritme presteert op jouw data of hoe een interface aanvoelt voor gebruikers? Vibe-code het, kijk wat er uitkomt, en gooi het weg als je de vraag hebt beantwoord.

Wat we bij Livewall hebben geleerd: de projecten die het beste verlopen zijn de projecten waarbij vibe-coding de verkenningsfase versnelt, en professionele webapplicatieontwikkeling de productiefase invult. De twee sluiten elkaar niet uit. Ze vullen elkaar aan, als je de grens bewust trekt.

De rol van Mach8 en gestructureerde AI-integratie

Onze zusterlabel Mach8 houdt zich bezig met AI-first producten en geautomatiseerde workflows. Wat zij zien in organisaties die AI serieus nemen: de beste resultaten komen niet van ongefilterde vibe-coding, maar van AI die ingezet wordt binnen een gestructureerd framework.

Dat betekent: duidelijke afspraken over welke AI-tools gebruikt mogen worden, welke data die tools mogen zien, hoe output gereviewed wordt en wie verantwoordelijk is voor de kwaliteit van AI-gegenereerde code. Niet als bureaucratie, maar als volwassen omgang met een krachtige technologie.

Voor organisaties die serieus willen nadenken over hoe AI in hun interne systemen en productontwikkeling past, is dit precies het gesprek dat we voeren. Niet over het verbieden van AI, maar over het inrichten van een context waarin AI zijn waarde kan waarmaken zonder onbeheersbare risico's te introduceren.