Vibe coding: in een paar dagen een app bouwen, zonder ook maar één regel code te schrijven

Onlangs werd ik uitgenodigd door Nieuwsuur voor een item over vibe coding, de nieuwste manier om software te maken waar je geen programmeur meer voor hoeft te zijn. Je kunt het hier terugkijken. In zo'n item krijg je maar beperkt de tijd om alles uit te leggen, dus in deze blog neem ik je mee in het grotere plaatje. Wat is vibe coding eigenlijk, welke kansen biedt het ondernemers en bedrijven, en welke risico's sluimeren er onder de motorkap?

Wat is vibe coding?

Een programmeertaal is uiteindelijk gewoon een taal. Modellen als ChatGPT en Claude begrijpen Nederlands, Frans en Chinees omdat ze patronen en grammatica leren. Voor Python of JavaScript is dat niet anders. Zodra AI goed genoeg werd in die formele talen, gebeurde er iets bijzonders: je hoeft niet meer zelf te programmeren. Je beschrijft in gewone taal wat je wilt, de AI zet het om naar programmeertaal en bouwt een applicatie voor je.

Dat is vibe coding. De term werd begin 2025 geïntroduceerd door Andrej Karpathy, medeoprichter van OpenAI, en is datzelfde jaar door Collins Dictionary uitgeroepen tot woord van het jaar. Je stuurt niet op code, je stuurt op gevoel (de ‘vibe’). Werkt de app? Voelt het goed? Zo niet, dan geef je een nieuwe instructie. Code bekijken hoeft niet meer.

Tot voor kort was er een duidelijk onderscheid tussen vibe coding en agentic coding. Vibe coding was voor de niet-programmeur met een idee, agentic coding voor de professionele ontwikkelaar die een AI-agent zelfstandig code laat schrijven, testen en verbeteren. Inmiddels groeien die werelden naar elkaar toe. Lovable heeft een ‘agent mode’ en steeds meer programmeurs die met Claude Code of Cursor werken, kijken nauwelijks nog naar de code die hun agent produceert. Je zou kunnen zeggen dat bijna alles vibe coding aan het worden is.

De gebruikers zijn al net zo divers: vogelaars die een interactieve soortenlijst bouwen, een personal trainer met een app voor trainingsschema's, een horecaondernemer die zijn eigen bestelsysteem in elkaar zet, maar ook productmanagers bij grote bedrijven die in een middag een prototype maken. In theorie kan iedereen nu maken wat hij bedenkt. In de praktijk gaat het je wel makkelijker af als je snapt wat er onder de motorkap gebeurt.

Voor programmeurs verandert het werk ingrijpend. 'Code kloppen' was voor de meeste programmeurs naar schatting zo'n 30 tot 40 procent van hun tijd, de rest ging al naar architectuur, overleg en nadenken. Nu verschuift ook dat eerste deel. Het werk gaat van code kloppen naar AI-output reviewen, systemen op elkaar afstemmen en de veiligheid bewaken. Een programmeur die daarin meebeweegt, wordt vele malen productiever en dus waardevoller. Wie dat niet doet, krijgt straks een probleem op de arbeidsmarkt.

En dat nieuwe werk is mentaal zwaar. Boston Consulting Group en Harvard Business Review publiceerden dit voorjaar onderzoek over wat zij ‘AI brain fry’ noemen, een vorm van cognitieve uitputting die ontstaat wanneer je AI-tools gebruikt of aanstuurt voorbij je eigen verwerkingscapaciteit. Code verschijnt sneller dan je brein het kan volgen, context-switches stapelen zich op, en je wordt tegelijk reviewer, regisseur en verkeersagent op een druk kruispunt. Programmeurs melden meer fouten, slechter slapen en een soort zoem in hun hoofd. Brain fry lijkt hier de juiste term, want dit is geen gewone vermoeidheid, het is een nieuw soort overload waar ons brein nog niet op is toegerust.

Welke kansen biedt dit voor bedrijven en ondernemers?

De aantrekkingskracht zit in snelheid en toegankelijkheid. Heb je een idee voor een app of tool? Dan bouw je vandaag nog een eerste versie, in plaats van weken op een ontwikkelteam te wachten. Voor startende ondernemers betekent dat ze een marktvalidatie kunnen doen zonder eerst tienduizenden euro's aan ontwikkelkosten uit te geven. Je test, je leert, je stuurt bij. Voor startups is dat een enorme versneller.

Er hangt wel een bijsluiter aan, en die heet ‘technical debt’. Als je code razendsnel genereert zonder goed na te denken over architectuur, bouw je feitelijk op los zand. Elke nieuwe feature komt er bovenop te staan, en op een gegeven moment wordt het bouwwerk zo wankel dat elke aanpassing ergens anders een scheur veroorzaakt. Voor een eerste versie (in jargon een Minimal Viable Product, of MVP) is dat prima. Voor een product dat moet schalen betekent het later een herbouwoperatie.

Het Zweedse Lovable, het grootste Europese vibe coding platform, haalde in iets meer dan een jaar 400 miljoen dollar aan jaaromzet. Anthropic bouwde zijn product Cowork in ongeveer anderhalve week, grotendeels door Claude Code aan het werk te zetten. En begin april kondigde Cloudflare EmDash aan, een opensource-alternatief voor WordPress dat in ongeveer twee maanden is gebouwd door developers met AI coding agents. Dat is Pijnlijk voor WordPress, waar zo'n 40 procent van alle websites ter wereld op draait. EmDash is nog een developer preview zonder volwassen plug-in-ecosysteem, dus WordPress ligt niet meteen op zijn gat. Maar het laat wel zien dat zelfs dominante, gevestigde softwareplatforms binnen enkele maanden een serieuze tegenhanger kunnen krijgen wanneer iemand met de juiste expertise AI-agents gericht inzet. Zulke verschuivingen zullen we steeds vaker zien.

Bij grote bedrijven zie je de impact vooral intern: dashboards, interne tools, offerteprocessen, planningssystemen, customer service-oplossingen. Allemaal dingen die sneller en flexibeler gemaakt kunnen worden dan vroeger. Bedrijven zullen veel meer zelfgebouwde applicaties ontwikkelen, die ook allemaal beheerd moeten worden.

Dat roept de vraag op wat dit betekent voor de grote SaaS-bedrijven. Beleggers worden er zichtbaar zenuwachtig van. De aandelen van softwarereuzen als Adobe en Salesforce daalden dit jaar op momenten abrupt na aankondigingen van nieuwe AI-ontwikkelingen.

Als je als HR-afdeling relatief eenvoudig je eigen tool kunt laten maken door je interne ICT-afdeling, waarom zou je dan honderdduizenden euro's per jaar betalen voor een log, inflexibel softwarepakket? Op korte termijn verwacht ik overigens niet meteen een aardverschuiving, want die SaaS-bedrijven bouwen zelf AI-features in waarmee klanten hun software kunnen personaliseren. Maar op langere termijn is de spanning reëel.

Welke risico's zitten eraan vast?

De grootste kopzorg op dit moment is veiligheid. Studies van Veracode, de Cloud Security Alliance en Georgia Tech laten zien dat ruim 45 procent van de door AI gegenereerde code beveiligingslekken bevat. Dat is ruim twee keer zoveel als bij code die mensen schrijven. Bij een scan van 5.600 vibe-coded apps vond securitybedrijf Escape zo'n 2.000 ernstige kwetsbaarheden, 400 blootgestelde sleutels en 175 gevallen van persoonsgegevens die open op internet stonden.

De vijf klassiekers komen steeds terug: ontbrekende toegangscontroles, hardgecodeerde wachtwoorden en API-sleutels, SQL-injectie, cross-site scripting en blootstelling van gevoelige data. Vooral die eerste is hardnekkig. Bij het merendeel van de Lovable-apps staat de row-level security standaard uit, wat betekent dat elke ingelogde gebruiker zomaar bij de data van alle anderen kan.

In januari lanceerde iemand het sociale netwerk Moltbook voor AI-agents. De maker zei trots dat hij geen regel code had geschreven. Binnen drie dagen lagen 1,5 miljoen API-sleutels, 35.000 e-mailadressen en duizenden privéberichten op straat. En hackers zetten inmiddels zelf AI in om geautomatiseerd naar dit soort lekken te zoeken, iets dat vibe hacking heet.

En dit is pas het begin. Begin april kondigde Anthropic Claude Mythos aan, een nieuw model dat zo goed is in het vinden en exploiteren van beveiligingslekken dat het bedrijf het niet publiek durft uit te brengen. Dat is misschien gedeeltelijk marketing, maar het is onmiskenbaar dat AI-modellen steeds beter in staat zijn om kwetsbaarheden te vinden én te benutten. In de meeste gevallen schreef het Mythos model meteen een werkende exploit erbij. Voorlopig is Mythos alleen beschikbaar voor een select gezelschap zoals Amazon, Apple en JP Morgan, onder de naam Project Glasswing. Maar Anthropic zelf verwacht dat vergelijkbare capaciteiten binnenkort ook bij andere AI-labs opduiken. Dezelfde kracht die verdedigers helpt om kwetsbaarheden sneller te dichten, maakt aanvallers ook veel sneller en effectiever. Voor iedereen die software bouwt betekent dat: het kat-en-muisspel gaat in de komende jaren radicaal versnellen.

Het goede nieuws is dat de tools zelf ook volwassener worden. Lovable werkt samen met AI-securitybedrijven voor automatische pentests, geeft waarschuwingen als het API-sleutels in je code ziet staan, en bouwt scanners in om kwetsbaarheden te vinden. De vraag is alleen of een gebruiker zonder technische achtergrond die waarschuwingen begrijpt en opvolgt. Wie met vibe coding iets serieus wil bouwen, kan eigenlijk niet zonder enige programmeerkennis, of zonder iemand die over zijn schouder meekijkt.

Tot slot

Vibe coding is geen hype die overwaait. Het is een fundamentele verschuiving in wie software kan maken en hoe snel dat kan. Voor investeerders betekent het nieuwe vragen over hun portfoliobedrijven, voor softwarebedrijven een herschikking van businessmodellen, en voor developers een nieuw soort werk waarvoor niemand is opgeleid.

Ik geef hier regelmatig presentaties over, voor investeerders die zich afvragen wat dit betekent voor hun portfoliobedrijven, voor softwarebedrijven die nadenken over hun toekomstige positie, en voor developer communities die het grotere plaatje willen zien.

Benieuwd naar zo'n sessie bij jullie? Neem gerust contact op, ik denk graag mee.