Je vibe-coded app is live. Maar is ie ook veilig?

De drempel om iets te bouwen is nog nooit zo laag geweest. Met tools als Cursor, v0 en Bolt kun je in een middag van idee naar werkende app. Deploy naar Vercel, link delen, klaar.

Maar "het werkt" is niet hetzelfde als "het is veilig."

En dat is precies waar het misgaat.

// HET_PROBLEEM

Het onzichtbare probleem

Uit onderzoek van Snyk blijkt dat 7 op de 10 developers security issues vinden in AI-gegenereerde code. Niet omdat de AI slecht is, maar omdat security zelden de eerste prioriteit is bij het genereren van werkende code. De AI optimaliseert voor "het doet wat je vraagt", niet voor "het is dichtgetimmerd."

Wat betekent dat concreet? Denk aan:

API keys in frontend code

Zichtbaar voor iedereen die de browser console opent

Geen Row Level Security

Database queries zonder access control

Ontbrekende security headers

Geen bescherming tegen clickjacking, XSS, etc.

.env bestanden exposed

Credentials per ongeluk mee-deployed

Dit zijn geen edge cases. Dit zijn de dingen die standaard misgaan als je er niet expliciet op let.

// URGENTIE

Waarom dit nu urgent is

Vibe coding democratiseert software development. Dat is fantastisch: meer mensen kunnen hun ideeën realiseren. Maar het betekent ook dat meer apps live gaan zonder dat iemand met security-ervaring ernaar heeft gekeken.

100.000+

insecure deploys geblokkeerd door Vercel's automated guardrails. Goed nieuws? Ja. Maar het betekent vooral dat er 100.000 pogingen waren om onveilige code live te zetten.

En niet ieder platform heeft zulke vangnetten.

Recent onderzoek met een AI-written honeypot liet zien hoe snel kwaadwillenden onbeveiligde apps vinden. De les: als jouw app kwetsbaar is, wordt ie gevonden. Niet "misschien ooit", maar actief en snel.

// OPLOSSING

Wat kun je doen?

Het goede nieuws: je hoeft geen security expert te worden. Maar je moet wél weten waar je op moet letten en hoe je kunt checken of je de basis op orde hebt.

Daarom heb ik een security-sectie toegevoegd aan StackScout. Eén plek waar je:

Je app kunt scannen

Op veelvoorkomende kwetsbaarheden: HTTPS, headers, exposed API keys, CORS-configuratie

Checklists vindt

Specifiek voor vibe-coded apps, van de Vibe Security Checklist op GitHub tot Supabase's eigen hardening guide

Doorverwezen wordt

Naar gespecialiseerde tools als je dieper wilt graven

De scan is gratis en duurt een paar seconden. Geen account nodig, geen sales pitch. Gewoon een snelle check of de basis klopt.

// CONCLUSIE

De bottomline

Vibe coding is here to stay. En terecht: het verlaagt de drempel om te bouwen enorm. Maar met die nieuwe manier van bouwen hoort ook een nieuwe manier van checken.

Security hoeft niet ingewikkeld te zijn. Maar het moet wél gebeuren.

// CHECK_JE_APP

Scan je app op security issues

Gratis, geen account nodig. Binnen seconden weet je of de basis op orde is.

Check je app

// MEER_LEZEN

Gerelateerd

ARTIKEL

StackScout bouwen

Dezelfde app, twee AI-tools

ARTIKEL

LLM Coding Tools vergeleken

Claude Code, Codex, Antigravity & Vibe