[English]Von Protagonisten wird gerade "Vibe Coding" als Stein der Weisen und Revolution in der Software-Entwicklung gefeiert. Entwickler braucht es keine mehr, jedermann lässt seinen Code von KI stricken. In Basilien zeigt dieser Trend seine böse Fratze. Eine populäre Dating-App für lesbische Frauen wurde mit Vibe Coding entwickelt. Was wie eine coole Sache ausschaut, entwickelt sich für Nutzerinnen zum GAU. Man konnte die persönlichen Daten der Nutzerinnen per GET-Befehl einfach so abrufen.
Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)
Was steckt hinter Vibe Coding?
Ich habe zur Sicherheit nochmals nachgesehen. Laut Wikipedia ist Vibe Coding die Bezeichnung für eine Art der Softwareentwicklung, bei der nahezu ausschließlich der Prompt eines großen Sprachmodells bedient wird, um den für die Software erforderlichen Quellcode zu generieren. Vibe Coding wird dort als eine Variante des Prompt Engineerings bezeichnet.
Der Begriff geht auf obigen Tweet von Andrej Karpathy, Mitbegründer von OpenAI und ehemaliger KI-Leiter bei Tesla, zurück. Karpathy schreibt, dass der KI generierte Code und die Methode besonders für "Wegwerf-Wochenendprojekte" geeignet sei. Dummerweise wurde Karpathys Tweet von der KI-muss-rein-Bubble aufgegriffen und hat einen Trend in der Diskussion um den Stand der Softwareentwicklung im Jahr 2025 gesetzt.
Im Merriam-Webster-Wörterbuch heiß es zu Vibe Coding mit Stand 8. März 2025: "Writing computer code in a somewhat careless fashion, with AI assistance." – also Programmiercode in nachlässiger (unkritischer) Weise durch KI erstellen lassen.
Bei t3n wird das Ganze im Mai 2025 im Beitrag Vibe-Coding: Wie KI das Programmieren revolutioniert – und warum das gefährlich sein kann aufgegriffen. Und es gibt eine Warnung vor den Risiken – ein Software-Entwickler berichtet, dass seine Software wegen zahlreicher Sicherheitslücken verstärkt angegriffen werde.
Ich bin da ein wenig bezüglich Vibe Coding unterbelichtet – konnte den Begriff also auch nicht "setzen". Aber ich hatte zum 24. November 2024 den Beitrag ChatGPT: Scam Crypto-API in Quellcode-Vorschlag schädigt Opfer um 2.500 US-Dollar hier im Blog. Würde heute als Vibe Coding-Fail in die Geschichte eingehen – damals etwas belächelt "wer ist schon so doof". Nun ist doof offenbar im Trend – zumindest, wenn man sich viele KI-Projekte anschaut. "Digialisierung first, Bedenken Second", ist der Schlachtruf, garniert mit "einfach mal machen, ist krasser als drüber reden".
Ein sehr erfahrener und umsichtiger Entwickler wird möglicherweise bei der Code-Entwicklung von großen Sprachmodellen (LLMs) profitieren können. Mein Postulat ist aber, dass die Masse der Entwickler eher schneller Mist produziert, der uns später (oder eher früher) auf die Füße fällt. Und die Leute ohne Erfahrung sind mit Vibe Coding auf dem Weg ins Desaster.
Vibe Coding-Desaster mit Dating App für Lesben
So richtig viele Informationen liegen mir nicht vor. In Brasilien gab es eine Dating-App für lesbische Frauen, die wohl stark im Trend lag und recht populär war. Muss wohl ein "Wegwerf-Wochenendprojekte" am Küchentisch gewesen sein, denn der Code der App wurde mit Vibe Coding erstellt.
Ich bin die Woche auf obigen Tweet gestoßen, der ein Drama für die Nutzerinnen offen legt. Ein einfacher GET-Befehl reicht, um die persönlichen Daten der Nutzerinnen (Name, Telefonnummer, E-Mail-Adresse, Fotos, ggf. Chats) abzurufen.
The Record hat die Geschichte inzwischen in diesem Beitrag mit einigen zusätzlichen Informationen angereichert. Es wird bestätigt, dass Nutzer auf die Schwachstelle stießen und am 8. September 2025 auf X angaben, auf alle persönlichen Daten zugreifen zu können. Einer der Entdecker gab an, er könne alle Fotos aus der Datenbank der App herunterladen, darunter Namen, Geburtsdaten und Selfies zur Identitätsprüfung.
Das Unternehmen Sapphos, welches die App entwickelte – laut Eigenaussage ein kleines, von Frauen geführtes Team – gab wohl an, dass keine Verifizierungsdokumente offengelegt worden seien. Die in sozialen Medien geposteten Screenshots widersprechen aber dieser ursprünglichen Aussage von Sapphos.
Spannend ist die gesamte Historie des Vorfalls, die The Record offen gelegt hat: In einer Reihe ursprünglicher Stellungnahmen haben die Entwicklerinnen von Sapphos die Offenlegung zunächst als "versuchten Angriff böswilliger Akteure" bezeichnete. Es heißt bei The Record, dass von den Entwicklerinnen angedeutet worden sei, dass dies von einer Gruppe von Männern orchestriert worden sei. Also abwiegeln und die Schuld bei bösen Dritten suchen bzw. zuweisen.
Einer der Sicherheitsforscher erklärte dann, seine Absicht sei es nicht gewesen, den Nutzerinnen zu schaden, sondern das Unternehmen auf die Schwachstelle hinzuweisen, die als unsichere direkte Objektreferenz (IDOR) klassifiziert wurde. Die Entwicklerinnen mussten später ein Sicherheitsversäumnis einräumen. Sie gaben an, Anzeige bei der brasilianischen Cyberkriminalitätspolizei erstattet zu haben, und versprachen, den Dienst mit strengeren Sicherheitsvorkehrungen neu zu starten.
Aktuell ist der Dienst, der der Dating-App die API bereitstellt, seit Dienstag (9. September 2025) offline genommen worden. Laut Entwicklerinnen, "um sich auf die Cybersicherheit zu konzentrieren". Zudem wurde geschrieben, dass die gesamte Benutzerdatenbank gelöscht worden sei (so einfach ist das, Datenbank wohl geleakt, dann löschen wir die Daten einfach mal).
Rund 17.000 Nutzer(innen) wurden per E-Mail darüber informiert, dass ihre Daten gelöscht worden seien, und es wurden Rückerstattungen für Premium-Abonnements in Höhe von bis zu 500 brasilianische Reais (etwa 90 US-Dollar) gewährt.
Die Entwicklerinnen planen, das Ganze "von Grund auf neu zu strukturieren", das Team zu vergrößern und das Projekt vor einem Neustart strengeren Sicherheitstests zu unterziehen. Happy Vibe Coding die nächste?
Das sind genau die Fälle, vor denen ich immer warne. Versprochen wird, dass jeder Dödel ohne Kenntnisse seine Software selbst generieren könne. Die Katastrophen, die sich daraus ergeben, werden wir künftig täglich feststellen dürfen.
Und ich bin auch skeptisch, dass es besser bei Leuten läuft, die sich mit Software-Entwicklung etwas auskennen. Aktuell geht der Hype ja dahin, dass frische Nachwuchs-Entwickler Mühe haben, erste Stellen zu finden. Wir laufen Gefahr, in wenigen Jahren auf eine Fähigkeitslücke hinzulaufen.
Und die verbleibenden Entwickler werden vom Druck, möglichst viel wegzuschaffen und Aufgaben an die KI auszulagern, zerrieben. Hinzu kommt die menschliche Neigung des "wird schon stimmen, was da generiert wurde, muss ich nicht mehr genau überprüfen". Das wird mit Sicherheit schief gehen.
MVP: 2013 – 2016
Naja weisste, App und privatssphäre, heh. Wir sind von EDV zu IT zu KI-Promptern. Sitzt du auch schön im Schein des PC-Lichts, es nützt dir nichts, Gen-Z, du lernsts nichts!
Vielleicht mal genauer und mit weniger Vorurteilen auf Dinge sehen?
– Apps sind nicht per se schlecht oder gegen die Privatspähre – wie jede Software.
– "Von EDV zu IT zu KI-Promptern" – was soll das für eine Entwicklungskette darstellen? Was meinst du mit der Entwicklung von "EDV zu IT"?
– "Gen-Z, du lernst es nie". Mehr verallgemeinern kann man wohl nicht. Wirklich eine haarsträubend dumme Aussage. (Nein, ich bin eher Boomer, als Gen-Z). Jede Generation hat doofe, weniger doofe und schlaue Leute.
Wo genau bist du zeitlich stehen geblieben?
Auf welche der Fragen soll ich genau antworten? Muss weiter arbeiten.
Betr. "Wir sind von EDV zu IT zu KI-Promptern."
Und von C zu Rust. Man nennt es Fortschritt, merkste selber?!
Machmal ist Fortschritt auch Rückschritt, merkste selber?!
"Told you so". Hilft den Betroffenen leider nicht mehr.
Die Lektion hier ist: Traue nur etablierten und großen Firmen und Apps. Die versagen auch, aber weniger spektakulär. Das hier war ja ein Feuerball.
Bist du der gleich "Karl" wie oben?
"Traue nur etablierten und großen Firmen und Apps. Die versagen auch, aber weniger spektakulär."
Noch ein Quatsch Kommentar.
Wenn du regelmäßig und aufmerksam Güßnthers Blog lesen würdest, könntest du niemals zu solch einer sinnfreien und total falschen Aussage kommen. Günther greift wöchentlich berichte von extremem Versagen von großen Firmen auf. Ob von Micxrosoft oder anderen GRößen. Dagegen ist dieser Vorfall vergleichsweise Kindergarten…
Wäre toll, wenn du den Namen des Blog-Betreibers schreiben könntest.
Mit so privaten Themen würde ich mich niemandem in der digitalen Welt anvertrauen. Viele Menschen sind inzwischen komplett desensibilisiert, posten alles Mögliche, melden sich überall an, laden jede App, die gerade angesagt ist, Smartphoneeinstellungen dabei offen wie ein Scheunentor… gruselig.
Die Firma und App-Markenname sind fertig….
Da braucht niemand mehr auch "das Team zu vergrößern" oder "von Grund auf neu zu strukturieren"..
Weg damit und den Verantwortlichen nie mehr irgendwas mit Tastatur oder Internetzugang in die Hand geben.
Es gibt nicht nur den DAU = "Dümmster Anzunehmender User", sondern auch den DAP = "Dümmster Anzunehmender Programmierer"!
Naja ich würde erst gar nicht so weit gehen und nen Vibe Code Schubser als Programmierer zu bezeichnen! Ganz sicher nicht!
Ich würde sagen,
ein Vipe Code kommt vom "Vipe Coder" ;) was zwar zu Programmierer (als Oberbegriff) gehört, aber halt spezielle Unterart. ist.
Also kurz gesagt: Es gibt "Java Coder", "C++ Coder" usw. aber ein "Vipe Coder" hat keine Sprache als Expertise, sondern die Nutzung des Werkzeugs KI (wenn überhaupt)
"Vibe Coding soll keine Vorkenntnisse oder Ausbildung erfordern"
> Zudem wurde geschrieben, dass die gesamte Benutzerdatenbank gelöscht worden sei (so einfach ist das, Datenbank wohl geleakt, dann löschen wir die Daten einfach mal).
Ach nee, daß eventuell *ein Böswilliger vielleicht einzelne Datensätze oder gar die ganze Datenbank bereits kopiert haben kann*, auf diese Idee kommen die Entwicklerinnen nicht!
Das sind diletantisch dämliche Vollpfosten!
Personen, welche solche Überlegungen schlimmer noch Aktionen (löschen wir einfach die Datenbank und gut ist) durchführen gehört lebenslanges Verbot von Smartphones, Tastatur, Maus, Internetzugang – besser jegliches modernes Kommunikationsmittel.
Nur noch Papier und Bleistift!
und damit praktisch alle Beweismittel vernichtet… den damit sind wohl auch alle Logs usw. weg… Also hier läuft sowas unter Strafvereitelung, jedenfall sicher unter Vertuschung.
Naja Brasilien… Bananenrepublik ;-P
Nicht auszudenken was los ist, wenn solche Daten an Extremisten gelangen, die auf Strassen gegen homosexuelle Paare pöbeln (oder gegen sie gewalttätig werden).
Das gern genutzte "von mir will doch keiner was, ich hab nix zu verbergen" kann in den aktuellen gesellschaftlichen Polarisierungen mal gehörig gefährlich werden.
Aktuell würde ich eine KI in meinem Code maximal nach while-Endlosschleifen suchen lassen, in denen ein mail()-Kommado steht.😅
Nicht kann, es ist schon höllisch gefährlich.
Wie Susanne Baer, Richterin am BVerfG und ebenfalls Feministin, so treffend geschrieben hat:
Quality is a myth.
wie ich immer sage: lern ertsmal alles über etwas,bevor du etwas benutzt… ;p
Nein! Nur weil du ein prompt bedienen kannst, kannst du eben noch lange nicht programmieren! Und KI sind nicht intelligent.
Tja dann ist das so, und?
No Mercy. Wer Dating Apps benutzt, hat es nicht besser verdient. Wer als Angehörige(r) einer – wie sagt man da korrekt? – sozial gefährdeten Gruppe nichts aus den Grindr-Fällen (u. a. (1)) gelernt hat, schon zweimal nicht.
_
(1) https://noyb.eu/de/eu10-mio-strafe-fuer-grindr-nach-dsgvo-beschwerde
Ich würde nicht über die Präferenzen der betreffenden Menschen urteilen wollen und kann auch die Intention der Dating-App nachvollziehen.
Das Problem fängt da an, wo der gesunde Menschenverstand aufhört und ein bestimmter Bias in den Vordergrund gerät. Möglicherweise hätten einige fähige Entwicklerinnen da was Gutes auf die Beine stellen können. So haben sich offenbar einige Menschen gefunden, die das notwendige Wissen vermissen ließen, auf Vibe Coding vertrauten, damit eine Menge Unsinn anstellten, andere Menschen potentiell in den Abgrund gerissen haben und dann auch noch meinten, Dritte als schuldig an den Pranger stellen zu müssen. Fall von geht gar nicht, der belegt, was passieren kann, wenn Ideologie vor Wissen gestellt wird.
vor allem this! Ist aber in der Szene ja so üblich, sich als Opfer darstellen und dann über die "white hetero men" herziehen.
Nein mir als white hetero men ist es vollkommen schice egal ob man lieber auf Pfirsiche steht, nur möchte ich das nicht jedesmal unter die Nase gerieben bekommen! Das ist Privat, das muss man nicht öffentlich breittreten.
auf den Punkt gebracht
Na ja, ist da nicht eher die stumpfe "Ideologie" einfach gewinnmaximiert zeitnähest unter geringstmöglichem Ressourceneinsatz Monetarisierung in dieser kapitalistisch-orientierten "Zivilisation" zu erreichen?
Natürlich entsteht dabei "Collateral Damage", was aber von allen Gesellschaftsparteien zugunsten des Monsters "Wirtschaft" billigend in Kauf genommen wird.
Wir sind auch alle Teil des Problems – IMMER! 🤷♂️
Nein. Ich habe diesbezüglich weiter oben Susanne Baer zitiert. Ideologie des (u.a.) Feminismus ist es das es keine objektive Qualität gibt und das "Feels" genauso wichtig oder sogar wichtiger sind. Harte Kriterien werden als "männlich" und ausgrenzend abgeleht.
So schauts nämlich aus.
"Fall von geht gar nicht, der belegt, was passieren kann, wenn Ideologie vor Wissen gestellt wird."
"Möglicherweise hätten einige fähige Entwicklerinnen da was Gutes auf die Beine stellen können."
Fähige Entwicklerinnen hätten da STOP gesagt, nicht mit mir oder uns – aber so ist das halt, wenn heutzutage jeder, der nen Browser aufrufen kann mit rumpfuschen darf, KI sein Dank – am Ende muss es wieder jemand anderes fixen ;)
Geliefert wie bestellt :)
Hadmut, bist du es? ;-)
Ich sehe (mindestens) zwei Felder hier:
– Applikationssicherheit (aka Daten nicht per GET abschnorcheln) ist Sache der Entwickler.
– Datensparsam zu Arbeiten ist Sache des Managements.
Beides hat hier versagt.
Aus Interesse habe ich ChatGPT gerade mal folgende Frage gestellt:
> Stell dir vor, ich würde eine Dating-App für Lesben entwickeln wollte. Was wären die Do's and Don'ts aus technischer und organisatorischer Sicht?
Die Antwort gibt es hier:
https://chatgpt.com/share/68c42342-d134-8009-878a-757b907fa9f6
Das ist gar nicht so schlecht.
Man hätte es also auch leicht besser haben können (und ja, mir ist bewusst, dass "mein" ChatGPT u.U. anders antwortet als jede andere Instanz).
Wird der mutmaßliche Troll jetzt schon vom Blog-Betreiber persönlich gefüttert?
Ich sage es mal so, ist eine der letzten Warnungen, aber irgendwann setze ich einen Moderations- oder Löschfilter (was nur im äußersten Notfall passieren sollte).
Erinnert mich an den Fall "Tea"-App vor ca. 2 Monaten: Tea (app) – Data Leaks
—
GB: Es braucht kein Wikipedia – der Fall war mir noch im Kopf und hier im Blog unter Sicherheitssplitter zum 31. Juli 2025
Ich weiß nicht, warum ihr so auf Dating und sexuelle Orientierung aus seid.
So ein Problem kann doch unabhängig davon viele Leute treffen, wenn KI-Dilettanten am Werk sind und Schrott-Apps produzieren, vor allem da man ja heute Digitalisierung und Smartphone-App gleichsetzt.
Ich mit meinem beschränkten Horizont glaube, dass ich mit einem gut konfigurierten Browser tendenziell sicherer unterwegs bin, als mit einem Smartphone, wo ich nicht weiß, das die App unter der Haube anstellt. Bin aber offen für Aufklärung.
Naja wenn deine Kleintierzüchter App kompromitiert wird, weil der Hersteller Null Ahnung von Programmierung hat ist es eben nen Unterschied vom Schaden der dir entstehen kann als wenn deine persönlichen sexuelle Vorlieben öffentlich werden… so besser verstanden? Und der Kleintürzüchter wird wohl auch aus ideologischen Gründen nicht einfach andere Ideologien beschuldigen…
Was hat wohl mehr "Impakt" das alle Welt erfährt das dein Moppelchen nen Prreis gewonnen hat (oder eben nicht) oder was du so alles im Bett anstellst und wenn das nicht unebdingt Masenkonform ist und in einem Land das nicht eben aufgeschlossener ist?
> Ich weiß nicht, warum ihr so auf Dating und sexuelle Orientierung aus seid.
Weil das konservative Triggerpoints sind und die Mehrheit der Bevölkerung/Menschen aus gutem Grunde eher konservativ ist. Um genau zu sein sind sie sog. Liberal-Konservative, kurz LibKons, also Konservative, die immer genau das bewahren, konservieren, wollen, was ungefähr zu ihrer Pubertät "normal" war.
> So ein Problem kann doch unabhängig davon viele Leute treffen, wenn KI-Dilettanten am Werk sind und Schrott-Apps produzieren, vor allem da man ja heute Digitalisierung und Smartphone-App gleichsetzt.
Jein. Natürlich hast du per se Recht, dass das Problem für alle existiert, die nicht wissen, was sie tun, allerdings sind die relevanten Kontextinformationen, dass es ein "women-lead team" ist und die üblichen Beschuldigungen direkt gegen "a group of men" erhoben wurde (vermutlich weil die meisten, aber nicht alle, Sicherheitsforscher Männer sind und es schon statistisch wahrscheinlicher ist, dass Männer Lücken finden). Das sind alles so feministische talking points und Verhaltensweisen.
Tatsächlich finde ich das "vibe coding" daran gar nicht so entsetzlich schlimm. Ich mache das auch jeden Tag – aber ich kann halt auch das Ergebnis besser einschätzen. Desaströs finde ich, dass es wieder so war, dass das Unternehmen sehr breit sehr sensible Daten eingesammelt hat für etwas, was nicht nötig war und sie dann auch noch nicht schützen kann. In einem brasilianischen Security-Subreddit las ich auch, dass es noch einen Premium-Zugang gab, wo man direkt auch Bankdaten abliefern musste. Natürlich hat sich das Unternehmen auch in ihre t&c geschrieben, dass man sie nicht verklagen darf (wohl auch in Brasilien illegal, laut Sub-Reddit).
> Ich mit meinem beschränkten Horizont glaube, dass ich mit einem gut konfigurierten Browser tendenziell sicherer unterwegs bin, als mit einem Smartphone, wo ich nicht weiß, das die App unter der Haube anstellt. Bin aber offen für Aufklärung.
Wie soll dir das helfen wenn dein Konterpart, also der Dienstebetreiber, ein ideologisch verblendeter Depp ist? Dein Browser oder eine App sind nur Darstellungsprogramme von Dingen, die ganz woanders berechnet werden. Sapphos wäre in einem "gut konfigurierten Browser" auf exakt die gleiche Weise angreifbar gewesen und vermutlich, so legen es die Screenshots nahe, wurde zum "Hacking" auch nicht die App verwendet, sondern irgendein API-Request-Tool wie Postman oder so.
Tatsächlich ist dein Browser, einfach weil er eine viel größere Codebasis hat als Apps, zumindest idR, tendenziell statistisch angreifbarer als der tatsächliche App-Code. Er hat ein Plugin-Konzept, muss Müll-Hypertext und noch viel mülligeres CSS parsen können, hat dazu Passwörter und Zertifikate gespeichert – und natürlich hat er praktischerweise mindestens eine Programmiersprache eingebaut (JavaScript), die ständig für Angriffe gebraucht wird.
dann machst du Vise Coding anstatt Vibe Coding
auch ich lasse mir kleine Programmteile oder Schleifen von der KI erstellen. Aber mehr als 20 Zeilen am Stück werden es nie. Und ich verstehe zumindest den Output. Wenn auch nicht jeden Zwischenschritt. Durch das testen kann ich aber sagen, dass der Code das gewünschte macht.
Fair point. Ich mache einfach beides. In der Regel aber eher visc coding.
Danke, wieder was gelernt.
Sorry Leute aber dieses ständige geplärre wegen Vipe Coding geht mir so dermassen auf die Nüsse.
Das hats schon immer gegeben nur noch viel schlimmer, man erinnernt sich zurück an die Zeit wo man php Scripts für jeden möglichen Einsatzzeck in einer der 100erten Plattformen wie Hotscripts unsw downloaden konnte, da hat man kostenlos Code für alles mögliche downloaden und nutzen können, glaubt ihr das waren alles professionelle Programmierer? Sicher nicht! Vermutlich laufen noch heute Seiten die auf solchen Scripts basieren.
Da ist doch ein Script aus einer KI mit aktuellem Knowloedge schon eine gewaltige Steigerung?
Und wennn ich mir ansehe was professionelle Programmierer teilweise für eienn Murks bauen dann…..würd ich den Ball einfach mal ein bisuchen flacher halten.
Na denne, müssen wir uns Sorgen machen, weil der Mann Entscheider ist? Frag für einen Freund. Ist oben im Text ja erklärt, was man unter Vibe Coding versteht und warum das keine gute Idee ist.
Sorry ich hab bei den Nüssen aufgehört zu lesen.
Etwas Niveau im Blog ist schon erlaubt und wird gern gesehen.
a) Es heisst Vibe Coding.
b) Es macht Leute zu "Programmierern", die keine einzige Zeile Code verstehen.
c) Es ist ein Rezept für absolutes Desaster.