Vibe Coding: Wie KI-Agenten die Softwareentwicklung verändern

Veröffentlicht am 15. Jan. 2026 | ca. 8 Min. Lesezeit |
ki vibe-coding tools claude-code sicherheit

Im Januar 2026 habe ich angefangen, ernsthaft mit KI-Coding-Tools zu arbeiten — nicht als Spielerei, sondern als Teil meines normalen Workflows. Was ich dabei erlebt habe, hat mich überrascht: nicht weil die Tools so gut sind, sondern weil sie einem Einzelentwickler erlauben, Dinge zu tun, die früher ein ganzes Team erfordert hätten.

Dieser Artikel ist ein ehrlicher Erfahrungsbericht — mit konkreten Werkzeugen, konkreten Ergebnissen und einem kritischen Blick auf die Sicherheitsrisiken.

Was ist Vibe Coding?

Den Begriff hat Andrej Karpathy geprägt — KI-Forscher, OpenAI-Mitgründer und ehemaliger Tesla-AI-Lead. Im Februar 2025 beschrieb er eine neue Art zu programmieren: Man gibt der KI eine Absicht, eine Idee, ein "Vibe" — und die KI generiert den Code. Man liest den Code kaum noch; man schaut, ob er das tut, was man wollte.

Collins English Dictionary hat "Vibe Coding" zum Wort des Jahres 2025 gekürt. Die Definition: Softwareentwicklung durch natürlichsprachliche Anweisungen an KI-Systeme, bei der der Entwickler die Ausgabe bewertet, anstatt den Code selbst zu schreiben.

Die Kernidee ist verlockend: Als einzelner Entwickler kannst du Ideen umsetzen, für die du früher ein Team gebraucht hättest. Du bist nicht mehr durch Tippgeschwindigkeit oder Sprachkenntnisse limitiert, sondern durch die Qualität deiner Gedanken.

Ergebnisse können nur so genau sein, wie die Eingaben detailliert sind.

Das klingt banal, ist aber der wichtigste Satz beim Vibe Coding. Wer vage Prompts schreibt, bekommt vagen Code. Wer präzise beschreibt, was er will — inklusive Kontext, Einschränkungen und Randbedingungen — bekommt überraschend gute Ergebnisse.

Tool-Überblick: Was es gibt und was es kostet

Tool Preis Stärken
Cursor $20/Mo Pro, ~$200 Enterprise Populärster KI-Editor, Multi-File, Agent Mode
Claude Code $20/Mo Pro, $100 Max Terminal-nativ, hohe Token-Effizienz, stark bei komplexen Refactorings
Windsurf Free bis $15/Mo Cascade-Agent, 800.000+ Nutzer, nach gescheiterter OpenAI-Übernahme von Google lizenziert ($2,4 Mrd.) und teilweise von Cognition übernommen
GitHub Copilot $10–39/Mo Direkt in VS Code integriert, gut für Einsteiger
Lovable / Bolt.new $25–50/Mo No-Code/Low-Code, gut für Prototypen
Devin ~$500/Mo (Team) Vollautonomer Agent für komplexe Aufgaben

Warum ich auf Claude Code setze

Nach Tests mit mehreren Tools bin ich bei Claude Code gelandet — dem Terminal-nativen Agenten von Anthropic. Die Gründe:

  • Token-Effizienz: Claude Code ist laut unabhängigen Analysen etwa 5,5× token-effizienter als Cursor bei vergleichbaren Aufgaben. Das schlägt sich direkt in den Kosten nieder.
  • Aufgaben-Erfolgsrate: In Benchmarks erreicht Claude Code eine Erfolgsrate von ~93% bei klar definierten Coding-Aufgaben.
  • Terminalnähe: Als jemand, der ohnehin auf der Kommandozeile arbeitet, ist ein Terminal-Agent natürlicher als ein eigener IDE-Fork.
  • Kontext-Management: Über CLAUDE.md-Dateien im Projektverzeichnis kann man Projektkontext, Coding-Standards und Verhaltensregeln dauerhaft hinterlegen — der Agent liest sie bei jedem Start.

Cursor ist trotzdem ein hervorragendes Tool, besonders wenn man lieber im Editor bleibt und die visuelle Diff-Ansicht schätzt.

KI-Agenten richtig einsetzen: Methoden und Tipps

1. CLAUDE.md / Custom Instructions: Kontext ist alles

Das Wichtigste beim Arbeiten mit KI-Agenten ist dauerhafter Kontext. Für Claude Code bedeutet das eine CLAUDE.md-Datei im Projektroot:

# Projektname - KI-Kontext

## Tech Stack
- Symfony 6, PHP 8.2, Bootstrap 5.3
- DDEV für lokale Entwicklung
- MariaDB 10.11, keine Raw SQL

## Coding-Standards
- PSR-12, declare(strict_types=1) immer in eigener Zeile
- Keine magic strings, Enums bevorzugen
- Kommentare auf Englisch

## Verboten
- Keine direkten DB-Queries außerhalb von Repositories
- Keine var_dump() im Code lassen

Cursor nutzt .cursor/rules/ mit ähnlichem Prinzip. Wer diese Dateien pflegt, spart bei jedem Gespräch mit dem Agenten Zeit, weil er nicht mehr erklärt werden muss, was schon immer gilt.

2. MCP-Server: Den Agenten mit Werkzeugen ausstatten

MCP (Model Context Protocol) ist ein offener Standard, mit dem KI-Agenten externe Werkzeuge nutzen können: Datenbankzugriff, API-Calls, Browser-Steuerung, Dateisystem-Operationen.

Für lokale Entwicklung nützliche MCP-Server:

  • Filesystem MCP: Direkter Lese-/Schreibzugriff auf das Projektverzeichnis
  • GitHub MCP: Issues lesen, PRs erstellen, Code-Reviews kommentieren
  • Browser MCP: Automatisiertes Browsing für Recherche oder Screenshot-Vergleiche
  • Database MCP: Schema-Abfragen, Query-Generierung mit echtem Schema-Kontext

3. Detaillierte Prompts: Qualität vor Geschwindigkeit

Der häufigste Fehler beim Vibe Coding: zu kurze Prompts. "Bau mir ein Kontaktformular" ist kein guter Prompt. Ein guter Prompt gibt an:

  • Welche Felder das Formular haben soll
  • Welche Validierungsregeln gelten
  • Welches Framework/welche Patterns verwendet werden sollen
  • Was danach passiert (Mail, Datenbank, Redirect)
  • Welche Fehlerbehandlung gewünscht ist

Der Zeit-Invest in einen guten Prompt amortisiert sich sofort: weniger Nacharbeiten, weniger Missverständnisse.

4. Code-Review bleibt Pflicht

Vibe Coding bedeutet nicht, dass man den generierten Code nie liest. 45% des KI-generierten Codes enthält OWASP-Top-10-Schwachstellen — das ist kein Ausreißer, das ist der aktuelle Stand der Technik. LLMs priorisieren lauffähigen Code über sicheren Code, weil ihre Trainingsdaten das widerspiegeln.

Was man immer prüfen sollte:

  • SQL-Queries: Parameterization statt String-Concatenation?
  • Benutzereingaben: Werden sie validiert und escaped?
  • Secrets: Hat der Agent zufällig API-Keys hardkodiert?
  • Dependencies: Wurden neue Pakete hinzugefügt, die nicht geprüft wurden?

openClaw: Warum ich es nicht empfehle

openClaw (ursprünglich ClawDBot, mehrfach umbenannt wegen Markendruck) ist ein Open-Source-KI-Agenten-Framework, das seit Ende Januar 2026 viral gegangen ist: über 180.000 GitHub-Sterne und mehr als zwei Millionen Besucher in einer einzigen Woche. Das Tool verbindet ein LLM mit einer persistenten Ausführungsumgebung — der Agent führt Shell-Befehle aus, liest und ändert Dateien, sendet E-Mails, browst im Web und verwaltet OAuth-verbundene Dienste.

Die Popularität hat allerdings massive Sicherheitsprobleme ans Licht gebracht:

CVE-2026-25253: One-Click Remote Code Execution

Im Januar 2026 wurde eine kritische Schwachstelle (CVSS 8.8) entdeckt: Ein manipulierter Link reichte aus, um die vollständige Kontrolle über eine openClaw-Instanz zu erlangen. Die Angriffskette:

  1. Token-Exfiltration über gefälschte gatewayUrl-Parameter im Link
  2. Cross-Site WebSocket Hijacking — der WebSocket-Server validierte keine Origin-Header
  3. Gateway-Übernahme mit gestohlenen Tokens — voller Zugriff auf alle Agenten-Funktionen

Localhost-Binding allein schützt nicht — der Exploit nutzt den Browser des Opfers als Pivot-Punkt.

ClawHavoc: Supply-Chain-Angriff auf den Skills-Marktplatz

Eine Analyse des Skills-Marktplatzes ClawHub (vergleichbar mit einem Plugin-Store) durch Sicherheitsforscher von Koi Security ergab alarmierende Zahlen: Von ursprünglich 2.857 Skills waren 341 bösartig — ca. 12% des gesamten Registrys. Bis Mitte Februar 2026 wuchs die Zahl bestätigter bösartiger Skills auf über 824 von 10.700+ (rund 20%).

Ein einzelner Nutzer ("hightower6eu") lud 354 bösartige Pakete in einem automatisierten Blitz hoch. Die Tarnung: gefälschte "Prerequisites"-Abschnitte, die Nutzer zur Ausführung von Shell-Befehlen anleiteten. Zielkategorien waren Krypto-Wallets, YouTube-Tools, Finanz- und Social-Media-Utilities.

Die primäre Payload: Atomic macOS Stealer (AMOS) — ein Commodity-Infostealer, der iCloud-Keychain-Passwörter, Browser-Cookies, Krypto-Wallets (60+ Typen), SSH-Keys und Telegram-Sessions stiehlt. Auf Windows wurde ein VMProtect-geschützter Stealer mit Keylogger und RAT-Funktionalität verteilt.

Architektonische Schwächen

  • Klartext-Credentials: API-Keys und OAuth-Tokens werden in Plaintext-Dateien unter ~/.openclaw/ gespeichert — ein gefundenes Fressen für Infostealer
  • Prompt Injection: Der Agent verarbeitet inhärent unvertrauenswürdige Inhalte (E-Mails, Webseiten). Versteckte Anweisungen manipulieren das LLM
  • Memory Poisoning: Die Kampagne zielte auch auf die persistenten Speicherdateien (SOUL.md, MEMORY.md), um das Agentenverhalten dauerhaft zu verändern
  • 42.665 exponierte Instanzen im Internet, davon 5.194 aktiv verwundbar (93,4% mit Authentication Bypass)

Palo Alto Networks hat openClaw auf jede Kategorie des OWASP Top 10 für Agentic Applications gemappt. Kaspersky identifizierte 512 Schwachstellen, davon acht als kritisch.

Einordnung: Flare Threat-Intelligence-Analyse

Eine im Februar 2026 veröffentlichte Analyse der Threat-Intelligence-Plattform Flare auf Basis von 2.764 Datensätzen aus Underground-Foren und Telegram-Kanälen zeigt: Die Sicherheits-Community diskutiert openClaw derzeit weitaus mehr, als es tatsächlich von Bedrohungsakteuren ausgenutzt wird. Es gibt reale Supply-Chain-Risiken, aber noch keine massenhafte kriminelle Operationalisierung.

Die wichtigste Warnung: Historisch gesehen geht diese Phase einer tatsächlichen Weaponisierung oft nur Wochen oder Monate voraus. Automatisierungsplattformen mit Plugin-Ökosystemen werden zu hochrangigen Zielen, lange bevor Organisationen realisieren, dass ihre Mitarbeiter diese Tools bereits im großen Maßstab einsetzen ("Shadow AI").

Falls man openClaw trotzdem nutzen will

Wer openClaw unter kontrollierten Bedingungen testen möchte, sollte mindestens:

# Nur auf localhost binden, nie auf 0.0.0.0
openclaw --bind 127.0.0.1 --port 18789

# Netzwerk-Segmentierung: nur im lokalen Dev-Netz
# Keine Produktion, kein Server mit echten Daten

Weitere Maßnahmen:

  • Credential-Rotation für alle verbundenen Dienste nach jeder Session
  • Skills als Drittanbieter-Code behandeln: Quellcode manuell lesen vor der Installation
  • Isoliertes Deployment in VM oder Container, niemals auf dem Hauptentwicklungsrechner
  • ~/.openclaw/-Verzeichnisse regelmäßig auf verdächtige Änderungen prüfen

Mein Fazit nach den ersten Wochen

Vibe Coding ist kein Hype, der wieder vergeht. Es verändert fundamental, was ein Einzelentwickler leisten kann. Die Qualität der Ergebnisse hängt direkt von der Qualität des Kontexts und der Prompts ab — wer das versteht, kann die Tools sinnvoll einsetzen.

Was mich am meisten überrascht hat: Die größten Produktivitätsgewinne entstehen nicht bei neuen Features, sondern bei Routinearbeiten — Tests schreiben, Refactorings durchführen, Dokumentation erstellen, Bugs in fremdem Code verstehen. Dinge, die vorher viel Zeit gekostet haben, weil sie wichtig aber unspannend waren.

Was sich nicht geändert hat: Die Verantwortung für den Code liegt weiterhin beim Entwickler. KI-Agenten sind mächtige Werkzeuge — aber Werkzeuge, keine Kollegen. Den Unterschied zu kennen, ist der wichtigste Teil des Handwerks.

Teilen
LinkedIn Klicken zum Aktivieren Mastodon Klicken zum Aktivieren Reddit Klicken zum Aktivieren WhatsApp Klicken zum Aktivieren Telegram Klicken zum Aktivieren

Erst nach dem Aktivieren werden Daten an die jeweilige Plattform übertragen.

Thomas Wunner

Thomas Wunner

Fachinformatiker für Anwendungsentwicklung mit Ausbildereignungsprüfung und über 14 Jahre Erfahrung im Aufbau skalierbarer Webanwendungen mit Symfony und Shopware. Abseits der Tastatur ist Thomas als Rettungsschwimmer in der Wasserwacht aktiv, legt als DJ auf und erkundet die Umgebung auf dem Motorrad.

Verwandte Beiträge

20. Apr. 2026
Mein Claude Code Setup ist jetzt Open Source: 40+ Skills, 18 Regeln, Safety Hooks
ki tooling open-source
17. Apr. 2026
Claude Opus 4.7: Benchmark-Realität vs. Marketing-Versprechen
ki meinung
12. Nov. 2025
Bun als Node.js-Ersatz: Schneller, einfacher, kompatibel?
javascript tools

Kommentare

Kommentare werden von Remark42 bereitgestellt. Beim Laden werden Daten an unseren Kommentar-Server übertragen.