Nu toți cei care construiesc software ar trebui să și livreze software.
Există un moment care apare în fiecare sesiune de vibe coding. Scrii ceva de genul „construiește-mi un sistem de autentificare cu plăți Stripe" în Cursor sau Lovable, AI-ul generează o aplicație funcțională și te simți invincibil. Codul rulează. Butoanele funcționează. Plățile trec. Ești dezvoltator acum.
Doar că nu ești. Iar oamenii care vor folosi aplicația ta sunt pe cale să afle asta pe pielea lor.
Ce este, mai exact, Vibe Coding?
Termenul a fost inventat de Andrej Karpathy la începutul lui 2025 și a devenit rapid Cuvântul Anului în dicționarul Collins. Ideea e simplă: descrii ce vrei în limbaj natural, un AI generează codul și îl livrezi fără să citești fiecare linie. „Lasă-te purtat complet de vibrație," cum a spus Karpathy, „și uită că acel cod măcar există."
Până în 2026, 92% dintre dezvoltatorii din SUA folosesc zilnic instrumente de programare cu AI. GitHub raportează că 46% din tot codul nou este acum generat de AI. Dintre startup-urile din seria Winter 2025 a Y Combinator, unul din cinci avea o bază de cod generată de AI în proporție de peste 91%.
Accelerarea este reală. Problema e cine accelerează — și încotro se îndreaptă.
Cei care suferă nu sunt cei care scriu prompt-urile
Iată ce greșesc majoritatea discuțiilor despre vibe coding: se concentrează pe dezvoltator. „Vor învăța vibe coderii să programeze cum trebuie?" este întrebarea greșită. Întrebarea corectă este: ce se întâmplă cu oamenii care descarcă aplicația, își introduc cardul de credit și îi încredințează datele lor?
Pentru că, în acest moment, răspunsul este: nimic bun.
În ianuarie 2026, o platformă numită Moltbook s-a lansat ca rețea socială pentru agenți AI. Fondatorul a declarat public că nu a scris nicio linie de cod — totul a fost realizat prin vibe coding. În trei zile, cercetătorii de securitate au descoperit că aplicația expusese 1,5 milioane de tokenuri de autentificare API, 35.000 de adrese de email și mii de mesaje private pe internetul deschis. Cauza principală nu a fost un hack sofisticat. A fost o bază de date configurată greșit, pe care AI-ul o setase cu acces public în timpul dezvoltării, iar nimeni nu a schimbat-o vreodată.
Acesta nu este un caz izolat. Un studiu realizat de Escape.tech a scanat 5.600 de aplicații realizate prin vibe coding și a găsit peste 2.000 de vulnerabilități, mai mult de 400 de secrete expuse (chei API, credențiale, tokenuri vizibile în codul sursă) și 175 de cazuri în care informații personale identificabile se scurgeau prin endpoint-urile aplicațiilor. Aproape jumătate din toate mostrele de cod generat de AI pică la testele de securitate de bază.
Utilizatorii acestor aplicații nu s-au înscris pentru a fi beta testeri ai experimentului de weekend al cuiva. S-au înscris să folosească un produs. Iar datele lor au plătit prețul.
Cum creează AI cod care funcționează, dar nu e sigur
Pentru a înțelege de ce se întâmplă asta, trebuie să înțelegi pentru ce sunt optimizate instrumentele de programare cu AI: să facă lucrurile să funcționeze. Nu să le facă sigure. Nu să le facă ușor de întreținut. Doar să facă mesajul de eroare să dispară.
Când îi spui unui AI „primesc o eroare Permission Denied la baza de date", el nu se gândește la implicațiile de securitate. Se gândește la cum să facă eroarea să dispară. Așa că ar putea genera o politică de bază de date care acordă acces public la tot. Eroarea a dispărut. Aplicația funcționează. Iar întreaga ta bază de date cu utilizatori este acum accesibilă oricui are un browser.
Iată tiparele care se repetă în aproape fiecare dezastru de vibe coding:
Secrete hardcodate. Asistenții AI generează în mod obișnuit cod cu chei API, parole de bază de date și tokenuri scrise direct în fișierele sursă. Când acel cod ajunge într-un repository — chiar și unul privat — acele secrete sunt la o scurgere distanță de a fi exploatate. Breșa de la Moltbook a început exact în acest fel.
Controale de acces lipsă. Într-un caz documentat, codul generat de AI pentru peste 170 de aplicații în producție a inversat complet logica de control al accesului: utilizatorii autentificați erau blocați, în timp ce vizitatorii neautentificați aveau acces complet. Codul a trecut de o verificare vizuală. Arăta corect. Doar un test de securitate adecvat l-ar fi depistat.
Securitate pe partea de client. Un startup numit Enrichlead și-a construit întreaga platformă cu instrumente AI. Interfața era rafinată și profesională. Dar toată logica de securitate trăia în browser. La 72 de ore de la lansare, utilizatorii au descoperit că puteau ocoli abonamentul plătit schimbând o singură valoare în consola de dezvoltator a browserului. Proiectul s-a închis complet.
Configurări implicite periculoase. Modelele AI sunt antrenate pe un corpus masiv de cod și gravitează spre tot ce face lucrurile să funcționeze cel mai rapid. Asta înseamnă utilizarea dangerouslySetInnerHTML fără sanitizare, dezactivarea verificării SSL sau setarea CORS să accepte orice. Aceste scurtături sunt acceptabile într-un tutorial. Sunt catastrofale în producție.
Costul real: nu e datorie tehnică
Datoria tehnică este un termen pentru ingineri. Costul real al aplicațiilor nesecurizate construite prin vibe coding se măsoară în ceva mult mai tangibil: banii oamenilor, datele oamenilor și încrederea oamenilor.
Când un fondator solo livrează un SaaS construit prin vibe coding și cheia API Stripe a cuiva este expusă, carduri de credit reale sunt debitate de escroci reali. Când o aplicație de sănătate scurge informații despre pacienți pentru că AI-ul nu a implementat autorizarea corectă, oameni reali suportă consecințe reale. Când un instrument B2B expune întreaga bază de date cu clienți pentru că ruta de admin era „protejată" prin simpla ascundere a linkului în interfață, afaceri reale pierd informații competitive reale.
Fondatorul trece la următorul proiect. Utilizatorii se descurcă cu consecințele.
Un cercetător de securitate care a demonstrat o vulnerabilitate zero-click în platforma de vibe coding Orchids — una care i-a oferit acces complet de la distanță la laptopul unui jurnalist BBC — trimisese douăsprezece mesaje de avertizare companiei înainte de a face totul public. Compania a spus că „probabil a ratat" mesajele pentru că echipa lor era „copleșită."
Copleșită de a construi repede. Nu de a construi sigur.
„Dar o să-i cer AI-ului să repare"
Aceasta este cea mai periculoasă presupunere din vibe coding: că același instrument care a creat vulnerabilitatea o poate și repara. Dar asistenții de programare AI nu au context de securitate. Nu îți cunosc modelul de amenințări. Nu înțeleg ce date sunt sensibile în aplicația ta specifică. Sunt optimizați pentru un singur lucru: să facă codul să ruleze.
A cere unui AI să „securizeze asta" este ca și cum ai cere unui muncitor în construcții care știe doar să toarne beton să facă și instalația electrică. Va face ceva. Poate chiar va arăta bine. Dar probabil nu vrei să apeși pe întrerupător.
Cercetările confirmă asta. O analiză din decembrie 2025 a 470 de pull request-uri open-source a constatat că codul co-creat cu AI conținea de 1,7 ori mai multe probleme majore decât codul scris de oameni, iar vulnerabilitățile de securitate apăreau cu o rată de 2,74 ori mai mare. Codul compilează și rulează cu o rată de succes de 90% — dar securitatea acelui cod nu a progresat în același ritm.
Deci ce ar trebui să facă, de fapt, constructorii non-tehnici?
Nu am de gând să-ți spun să nu mai folosești AI pentru a construi lucruri. Acel tren a plecat, și sincer, nu ar trebui să se întoarcă. Instrumentele de programare cu AI sunt cu adevărat puternice și devin tot mai bune. Dar dacă construiești ceva ce alți oameni vor folosi — mai ales dacă le vor încredința datele sau banii — iată minimul necesar:
Nu livra ce nu înțelegi. Dacă nu poți explica ce face codul tău cu datele utilizatorilor, nu ești pregătit să livrezi. Folosește AI-ul pentru a construi. Folosește un om pentru a verifica.
Fă un scan de securitate înainte de lansare. Instrumente precum GitGuardian și TruffleHog pot detecta automat secretele expuse din cod. Nu sunt perfecte, dar prind cele mai evidente dezastre. Durează minute, nu zile.
Tratează-ți AI-ul ca pe un stagiar, nu ca pe un inginer senior. Scrie cod rapid. Nu scrie cod sigur. Fiecare output necesită verificare, în special orice implică autentificare, acces la baza de date sau procesare de plăți.
Plătește pentru o evaluare de securitate. Dacă aplicația ta gestionează date de utilizatori, un audit profesional de securitate nu este opțional — este costul de a face afaceri. Este mai ieftin decât o breșă de securitate.
Folosește variabile de mediu pentru secrete. Nu hardcoda niciodată chei API. Niciodată. Adaugă .env în .gitignore înainte de primul commit. Aceasta este igienă de bază pe care instrumentele AI o greșesc constant.
Concluzia
Vibe coding a democratizat crearea de software, și asta e cu adevărat entuziasmant. Dar democratizarea creării fără democratizarea responsabilității este felul în care ajungi la un milion de aplicații cu baze de date expuse, credențiale scurse și utilizatori care nu au consimțit niciodată să facă parte din curba de învățare a altcuiva.
AI-ul nu i-a trădat pe acești utilizatori. Oamenii care au livrat cod neverificat i-au trădat pe acești utilizatori.
Construiește rapid. Dar livrează responsabil. Oamenii care folosesc aplicația ta se bazează pe asta.
O notă din partea autorului: Cred că AI-ul este viitorul dezvoltării software. Aceste instrumente vor continua să evolueze, practicile de securitate se vor maturiza, iar multe dintre problemele descrise aici vor fi rezolvate în cele din urmă de un AI mai bun, instrumente mai bune și educație mai bună. Dar „în cele din urmă" nu ajută oamenii ale căror date sunt expuse astăzi. A fi optimist cu privire la direcția AI-ului nu înseamnă că ar trebui să ignorăm unde se situează acesta în prezent. Dacă e ceva, a fi sincer cu privire la limitările de azi este modul în care ajungem mai repede la un mâine mai bun.
Ion Anghel este fondatorul TEN INVENT, o companie de consultanță software și studio de produse specializată în Laravel, Next.js, AWS și aplicații bazate pe AI. Cu 20 de ani în tech, construiește lucruri care funcționează — și se asigură că sunt sigure înainte de a fi livrate.
Publicat inițial pe teninvent.ro