Vibe coding riziká: keď nikto nevie, čo AI napísala
Rýchle prototypovanie s AI je lákavé, no bez inžinierskej disciplíny sa technický dlh a bezpečnostné diery presúvajú priamo do produkcie.

Vibe coding?Písanie softvéru tak, že človek v prirodzenom jazyku popíše zámer a AI vygeneruje kód, ktorý autor často do detailu nechápe. riziká sa vo firme prejavia až vtedy, keď treba kód, ktorý AI vygenerovala za jedno popoludnie, opraviť, rozšíriť alebo zabezpečiť. Na prototyp metóda funguje výborne. V produkcii však prináša tri konkrétne problémy: nikto presne nevie, čo kód robí, ťažko sa udržiava a nesie vyššie riziko zraniteľností. Nie sú to teoretické obavy, ale opakujúci sa vzorec.
Pojem „vibe coding“ spopularizoval Andrej Karpathy začiatkom roka 2025. Podstata je jednoduchá: človek v prirodzenom jazyku popíše, čo chce, a jazykový model vygeneruje kód. Autor ho spustí, a ak to funguje, ide ďalej. Anglická Wikipédia to opisuje ako prístup, pri ktorom vývojár prijme výstup bez toho, aby mu do detailu rozumel.
Presne túto skúsenosť opísal používateľ na fóre r/ClaudeAI. Označil sa za „vibe codera“ bez akéhokoľvek vývojárskeho zázemia, ktorý sa dostal do bodu, keď má strach, lebo už netuší, čo vlastne robí. To je jadro problému, keď sa vibe coding presunie z hobby do firmy.
Čo sú vibe coding riziká v produkcii?
Tri hlavné: neudržateľnosť, bezpečnosť a zodpovednosť. Kód, ktorému autor nerozumie, sa nedá spoľahlivo opraviť ani rozšíriť. AI generuje riešenia, ktoré fungujú v šťastnom scenári, no zlyhajú na okrajových prípadoch. A keď sa v produkcii niečo pokazí, chýba človek, ktorý vie povedať, prečo je kód napísaný tak, ako je.
- Udržateľnosť: pri prvej zmene požiadavky sa ukáže, či niekto rozumie štruktúre. Ak nie, každá úprava je hádanie.
- Bezpečnosť: AI ochotne vygeneruje aj kód s dierami, ak ju o to nepožiadate správne.
- Zodpovednosť: pri incidente treba vedieť, kto rozhodnutie urobil a prečo. Pri vibe codingu často nikto.
Prečo AI generovaný kód nesie viac zraniteľností?
Model sa učí z verejného kódu, kde je bezpečných aj nebezpečných vzorov dosť. Bez výslovnej požiadavky na bezpečnosť vyberie to, čo je najčastejšie, nie to, čo je najsprávnejšie. Cloud Security Alliance v roku 2026 opísala jav, ktorý nazýva „security debt?Nahromadené bezpečnostné zraniteľnosti v kóde, ktoré treba neskôr odstrániť. Pri AI generovanom kóde ich pribúda rýchlejšie.“ z AI generovaného kódu, teda hromadenie zraniteľností v commitoch s AI asistenciou.
Materiály z prvej polovice roka 2026 sa v jednom odporúčaní zhodujú: autentizáciu, platby a prácu s osobnými údajmi nepúšťať do produkcie bez striktných hraníc a kontroly. Red Hat Developers vo februári 2026 v texte s názvom „The uncomfortable truth about vibe coding“ rozobral práve rozpor medzi rýchlosťou prototypu a nákladmi na neskoršiu údržbu.
Riziko je aj v tom, že AI review nemusí chybu odhaliť. Ukazuje to napríklad útok, pri ktorom škodlivý obsah v PNG obíde AI kontrolóra kódu. Spoliehať sa, že to za nás skontroluje iná AI, teda problém sám osebe nerieši.
Kedy má vibe coding zmysel a kedy ho zastaviť?
Má zmysel tam, kde je cieľom rýchlo overiť nápad a chyba nič nestojí. Interný nástroj, jednorazový skript, prototyp na demo. Zastaviť ho treba pred hranicou, za ktorou kód beží v produkcii, spracúva reálne dáta alebo peniaze, prípadne ho po vás bude niekto udržiavať.
Z vlastnej praxe pri stavbe produkčných systémov mám jednoduché pravidlo. Kým dáme AI napísať časť, ktorá pôjde ku klientom, zvážime, čo sa stane, keď to napíše zle. Pri prototype nič. Pri autentizácii alebo zápise do databázy potenciálne veľa. Podľa toho sa rozhodujeme, kde stačí „vibe“ a kde treba review, testy a človeka, ktorý kódu rozumie.
Ak vaša firma dostala AI do prototypu a teraz rieši, ako z toho spraviť udržateľnú produkciu, oplatí sa pozrieť na dvojdňový workshop o vedení AI inžinierskych tímov s reálnym nasadením Claude Code a QA AI systémov. Vedú ho ľudia, ktorí AI v produkcii prevádzkujú denne, nie o nej len prednášajú. Pre firmu, ktorej stačí prototyp, nie je určený; tam by boli peniaze zbytočné.
Ako obmedziť riziká, ak už vibe coding používate?
Nemusíte ho zakázať. Stačí okolo neho postaviť hranice, ktoré zachytia najdrahšie chyby skôr, než sa dostanú k používateľom.
- Definujte zóny. Kde smie AI generovať voľne (prototypy, interné nástroje) a kde nie (auth, platby, PII?Personally Identifiable Information, teda osobné údaje, podľa ktorých sa dá identifikovať konkrétny človek. Vyžadujú zvýšenú ochranu.).
- Zaveďte review. Každý kus AI kódu do produkcie prechádza cez človeka, ktorý mu rozumie a preberá zaň zodpovednosť.
- Pýtajte si testy. AI vie napísať aj testy; požadujte ich k logike, nielen k šťastnému scenáru.
- Merajte, čo vás to stojí. Rýchlosť prototypu proti nákladom na neskoršiu údržbu a opravy.
Pre softvérové firmy, ktoré chcú tento rámec zaviesť naprieč tímom vrátane architektúry a governance, existuje aj inhouse program o prechode od pilotu k produkcii pre softvérové firmy, postavený na skúsenosti z bezpečnostne kritických systémov.
Poznámka k dátam: väčšina serióznych analýz vibe codingu vrátane citovaných zdrojov pochádza z rokov 2025 a prvej polovice 2026. Nové overiteľné incidenty ani štúdie z posledných dní k dispozícii nie sú, preto článok vychádza z tohto kontextu a nešpekuluje o novšom vývoji.
Moje triezve odporúčanie. Vibe coding je dobrý nástroj na overenie nápadu a zlý spôsob, ako stavať to, na čom firma stojí. Rozdiel nie je v tom, či AI použijete, ale v tom, či za výsledný kód niekto ručí.
Kde vo vašej firme povolíte vibe coding?
Výsledky uvidíte po hlasovaní.
Časté otázky
Kedy je vibe coding v poriadku a kedy sa mu radšej vyhnúť?
Na prototypy, interné nástroje a rýchle overenie nápadu funguje výborne: rýchlosť preváži nad dokonalosťou. Problém nastáva pri presune do produkcie, kde kód musí niekto udržiavať, rozširovať a zabezpečiť. Ak riešenie spracúva citlivé údaje alebo beží dlhodobo, výstup treba dôkladne prejsť a rozumieť mu, nie len spustiť a ísť ďalej.
Ako znížiť bezpečnostné riziko AI generovaného kódu?
Model bez výslovnej požiadavky ochotne vygeneruje aj kód s dierami, lebo sa učil z verejných zdrojov, kde je nebezpečných vzorov dosť. Pomôže explicitne žiadať bezpečné postupy v prompte, spúšťať code review človekom, používať statické analýzy a testovať okrajové prípady, nie len šťastný scenár. Automatické kontroly navyše nemusia zachytiť všetko.
Kto nesie zodpovednosť, keď kód od AI zlyhá v produkcii?
Formálne stále firma a vývojár, ktorý kód nasadil, aj keď ho nenapísal. Práve to je jadro problému: pri incidente treba vedieť, prečo je kód napísaný tak, ako je, a pri vibe codingu to často nevie nikto. Zodpovednosť sa nedá delegovať na model, preto by mal každý produkčný kód mať ľudského vlastníka.
Dá sa už existujúci vibe-coded projekt zachrániť?
Áno, ale vyžaduje to prácu. Prvý krok je zdokumentovať, čo kód naozaj robí, doplniť testy na kritické cesty a postupne prepisovať časti, ktorým nikto nerozumie. Skúsený vývojár dokáže z chaotického základu spraviť udržateľný systém. Nie je to zadarmo: čím dlhšie sa čaká, tým drahšia je oprava technického dlhu.
Prečo je udržateľnosť taký problém, keď kód predsa funguje?
Funguje pri prvom spustení, no pri prvej zmene požiadavky sa ukáže, či niekto rozumie štruktúre. Ak nie, každá úprava je hádanie a riziko, že sa rozbije niečo iné. Kód, ktorému autor nerozumie, sa nedá spoľahlivo opraviť ani rozšíriť. Náklady tak nerastú pri písaní, ale neskôr pri každej ďalšej zmene.
Nahradí vibe coding profesionálnych vývojárov?
Zatiaľ nie. Metóda zrýchľuje tvorbu prototypov a sprístupňuje programovanie ľuďom bez zázemia, čo dokazuje aj používateľ na fóre r/ClaudeAI, ktorý sa označil za vibe codera. Lenže produkčný softvér potrebuje niekoho, kto rozumie štruktúre, bezpečnosti a rozhodnutiam. AI je tu skôr nástroj, ktorý mení náplň práce vývojára, nie jej náhrada.
Diskusia
Zatiaľ tu nie sú žiadne komentáre. Buďte prvý.
Čítajte ďalej
Viac zo sekcie Vývoj & inžinierstvo →
Únik kódu cez AI nástroj: Grok Build nahrával repozitáre
Výskumníci ukázali, že Grok Build ticho zabalil a nahral celé Git repozitáre vrátane histórie a secrets do cloudu. SpaceXAI upload pozastavil. Je to lekcia o tom, ako auditovať AI nástroje pred nasadením do produkcie.

Lokálne embeddingy a rerankery: kedy sa oplatia viac
Ak už platíte za ChatGPT alebo iné LLM API, lokálny jazykový model málokedy dáva zmysel. Lokálne embeddingy a rerankery v RAG architektúre áno: šetria peniaze, chránia dáta a zlepšujú kvalitu vyhľadávania.

Claude Code v produkcii: cloud VM a súboj s Codexom
Anthropic pridal do Claude Code cloud VM bez samostatného poplatku za compute, kým Codex od OpenAI rýchlo rastie. Rozoberám, čo to mení pre reálne produkčné nasadenie.

Optimalizácia nákladov na AI agentov: kde miznú
Väčšina zbytočných nákladov na AI agentov nevzniká pri výbere modelu, ale pri neefektívnej práci s kontextom, cache a paralelizáciou agentov. Praktický pohľad na to, kde peniaze reálne unikajú.

Ghostcommit: útok cez PNG obchádza AI kontrolórov kódu
Výskumníci ukázali útok Ghostcommit: pokyny skryté v PNG obrázku obídu AI code reviewery a prinútia kódovacieho agenta exfiltrovať obsah súboru .env. Rozoberám, ako funguje a čo s tým.

Claude Code vývoj softvéru: 7 vecí z 245 sedení
O produktivite nerozhodla architektúra promptov, ale správa kontextu. Prehľad praktík, ktoré fungujú v reálnej práci, a čo si na nich treba overiť samému.