All vibbekode hadde svakheter – advarer mot katastrofe
Nytt eksperiment viser at samtlige KI-verktøy skaper svakheter, og nå advares det mot at vi kan få vår første "Challenger"-katastrofe i 2026.
kode24 har den siste tida hatt overskrifter som "Gir ut app, uten å kunne apputvikling" og "100 prosent KI-generert kode? Ja, hvis du tåler å gjøre forarbeidet!".
Men det å la KI stå for all koding, såkalt vibbekoding, har sine nedsider: For vi har også hatt overskrifter som "Digga vibbekoding – så ble hele databasen sletta" og "40 prosent av KI-genererte apper lekker sensitive data".
At det å la KI stå for all koding kan være en dårlig idé, blir understreket av et nytt eksperiment fra selskapet Tenzai, omtalt av blant annet Devclass:
Utvikleren Ori David lot KI-verktøyene Cursor, Claude Code, Open AI Codex, Replit og Devin kode tre applikasjoner hver med den samme, detaljerte instruksjonen, og melder at samtlige apper inneholdt svakheter.
Nå advarer flere mot at en vibbekoda katastrofe kan være nært forestående.
Alle verktøy ga feil
David hos Tenzai ga altså de samme instruksjonene ("promts") til alle verktøyene, som han har delt på GitHub.
Etter at applikasjonene var ferdig generert, lot han deres eget KI-verktøy gå løs på dem for å finne svakheter. Så ja – de har en åpenbar egeninteresse her, som i å reklamere for sitt eget KI-verktøy de mener kan løse problemene andre KI-verktøy skaper.
De KI-genererte appene inneholdt totalt 69 svakheter, men ikke alle hadde like mange, og ikke alle var like alvorlige:
Appene skal ha hatt overraskende få klassiske "injection"-svakheter, men:
– Samtidig som agentene var ganske flinke til å unngå svakheter som har klare og generiske løsninger, sleit de med det som ikke har dem, skriver David.
Spesielt å håndheve autorisasjon – altså hvorvidt en bruker er logga inn og har riktige tillatelser – var KI-ene dårlige på.
Og aller verst var var koden ingen av verktøyene i det hele tatt skrev, som kode for å sikre seg mot Cross-Site Request Forgery (CSRF) og ha riktig sikkerhets-headere.
Advarer mot katastrofe
At vibbekoding kan produsere usikker programvare, spesielt om den som vibbekoder ikke veit hva hen driver med, har lenge vært en bekymring. Samtidig ser man at jo flinkere verktøyene blir, jo mer vibbekoda koda blir dytta ut i produksjon.
Dette fører til at flere nå advarer mot en nært forestående katastrofe.
– I 2026 forventer jeg at flere og flere vibbekoda applikasjoner i produksjon, i stor skala. Det kommer til å være topp for fart, men du må fortsatt være oppmerksom. Det kommer til å bli noen store eksplosjoner! skriver David Mytton i Arcjet på LinkedIn.
Overfor The New Stack sier han at han er enig med Django-skaper Simon Willisons spådom om at vi kommer til å få en katastrofe på linje med Challenger-eksplosjonen; romferga til NASA som for ganske nøyaktig 40 år siden eksploderte og drepte alle ombord.
– Utviklere skriver mer kode og ruler den ut raskere, uten å fullt ut forstå hva den gjør, sier Mytton til The New Stack.
