Een jaar Bolt, Lovable en Cursor: wat hebben we geleerd over vibecode-veiligheid?

Een jaar geleden was vibecoden voor de meeste ondernemers nog een vaag begrip. Nu spreken we mensen die in een weekend een SaaS hebben gebouwd, een klantenportaal hebben opgezet, of een intern dashboard hebben gemaakt zonder één regel code zelf te typen.

De tools zijn beter geworden. De snelheid is indrukwekkend. En de fouten zijn voorspelbaarder dan je zou verwachten.

Wat we steeds terugzien

Na tientallen controles op vibecode-apps vallen een paar patronen op:

Inloggen klopt, maar toegangsbeheer niet

De meeste apps hebben een inlogsysteem. Supabase, Clerk, NextAuth: de AI zet het er netjes in. Maar of gebruiker A ook de data van gebruiker B kan zien? Dat is zelden gecontroleerd. En in de helft van de gevallen: ja, dat kan.

Omgevingsvariabelen op de verkeerde plek

API-sleutels, databasewachtwoorden, geheime tokens: ze horen in omgevingsvariabelen. Dat weet de AI ook. Maar die variabelen belanden regelmatig in een .env-bestand dat wél in de repository staat, of worden per ongeluk doorgegeven aan de voorkant waar ze zichtbaar zijn voor iedereen.

Geen limieten op API-routes

Een contactformulier, een zoekfunctie, een e-mailbevestiging: stuk voor stuk routes die onbeperkt aangeroepen kunnen worden. Zonder limieten kan iemand jouw app misbruiken om duizenden verzoeken per minuut te versturen. Je rekening bij je e-mailprovider is dan de eerste plek waar je het merkt.

Foutmeldingen vertellen te veel

Als er iets misgaat in een vibecode-app, krijgt de gebruiker soms de volledige foutmelding te zien. Of de naam van een interne functie, een databasetabel of een bestandspad. Dat zijn gratis cadeaus voor iemand met kwade bedoelingen.

Wat wél goed gaat

HTTPS is bijna altijd aanwezig dankzij de hostingplatforms. Basale SQL-injectie wordt goed afgevangen door moderne frameworks. En de meeste apps slaan wachtwoorden niet meer op als gewone tekst, omdat de AI-tools standaard goede inlogbibliotheken gebruiken.

Wat dit betekent

De AI bouwt goed. Maar AI bouwt naar de vraag. Als je vraagt om een inlogpagina, krijg je een inlogpagina. Als je niet vraagt om te controleren of gebruikers elkaars data kunnen zien, doet de AI dat ook niet.

Vibecoden is geen excuus voor onveilige apps. Maar het vraagt wel om een andere manier van controleren: menselijk, gericht op wat AI snel over het hoofd ziet.

Benieuwd hoe jouw app scoort op deze patronen? Dat is precies wat we controleren.