Zum Inhalt springen
KISoftware·

Vibe Coding und die Open-Source-Krise durch KI-Code

Jamin Mahmood-Wiebe

Jamin Mahmood-Wiebe

Editorial photo illustration for Vibe Coding und die Open-Source-Krise durch KI-Code
Artikel
1,7×mehr Bugs in KI-generiertem Code — CodeRabbit-Studie, Dez. 2025
20 %der cURL-Einreichungen waren KI-Müll — Daniel Stenberg, Jan. 2026
80 %Umsatzrückgang bei Tailwind CSS — InfoQ, Feb. 2026

AI Slopageddon: Wenn Open Source unter KI-Beiträgen erstickt

Im Januar 2026 schloss Daniel Stenberg das Bug-Bounty-Programm von cURL — nach sechs Jahren. Das Projekt, dessen HTTP-Bibliothek in praktisch jedem vernetzten Gerät auf dem Planeten läuft, konnte den Ansturm nicht mehr bewältigen. Laut Stenberg waren 20 Prozent der eingereichten Bug-Reports KI-generierter Müll. Die Validitätsrate lag bei nur 5 Prozent. Freiwillige verbrachten Stunden damit, halluzinierte Sicherheitslücken zu widerlegen, die nie existiert hatten.

Stenberg war nicht allein. In den Wochen danach eskalierte die Situation in mehreren prominenten Projekten gleichzeitig.

Ghostty, der Terminal-Emulator von Mitchell Hashimoto (Gründer von HashiCorp), führte eine explizite Richtlinie ein: KI-generierte Beiträge werden sofort geschlossen. Hashimoto erklärte die Unterscheidung zwischen der Nutzung von KI als Werkzeug und dem blinden Einreichen von KI-Output ohne Verständnis des Codes.

tldraw, die Open-Source-Zeichenbibliothek, ging einen radikaleren Weg. Gründer Steve Ruiz schloss sämtliche externen Pull Requests — nachdem er entdeckte, dass seine eigenen KI-gestützten Skripte schlechte Issues erzeugt hatten. Wenn selbst der Maintainer KI-generierten Müll produziert, welche Chance haben dann externe Beitragende?

Godot Engine, die Open-Source-Spieleengine, kämpft mit 4.681 offenen Pull Requests. Maintainer Remi Verschelde beschrieb die Situation als „draining and demoralizing". Die Überprüfung eines einzigen Pull Requests dauert Stunden. Die Erstellung mit KI dauert Sekunden.

Kate Holterhoff, Analystin bei RedMonk, gab dem Phänomen einen Namen: AI Slopageddon.

"Das Problem ist nicht, dass KI Code schreibt — das Problem ist, dass niemand die Verantwortung für diesen Code übernimmt. Bei IJONIS in Hamburg sehen wir täglich, wie produktiv verantwortungsvolle KI-Entwicklung sein kann. Aber genau deshalb wissen wir auch, wie gefährlich das Gegenteil ist." — Jamin Mahmood-Wiebe, Gründer von IJONIS


Was ist Vibe Coding — und warum ist es explodiert?

Der Begriff „Vibe Coding" geht auf Andrej Karpathy zurück, der ihn im Februar 2025 prägte. Gemeint ist eine Programmierweise, bei der Entwickelnde in natürlicher Sprache beschreiben, was sie wollen — und die KI den Code schreibt. Eine detaillierte Erklärung mit Tools, Workflows und Praxiserfahrungen finden Sie in unserem Beitrag Vibe Coding 2026: Anleitung für KI-gestütztes Programmieren.

Was sich seit 2025 verändert hat: Die Barriere für Code-Einreichungen ist auf null gesunken.

Cursor Cloud Agents, veröffentlicht am 24. Februar 2026, können eigenständig virtuelle Maschinen hochfahren, Code schreiben, Tests ausführen und merge-fähige Pull Requests abliefern. 10 bis 20 parallele Agenten pro Nutzerkonto. Kein lokales Setup nötig. Dieselbe Agenten-Architektur, die wir in KI-Agenten einführen: Leitfaden für den Mittelstand als Produktivitätshebel beschreiben, wird hier zur unkontrollierten Massenwaffe.

Claude Code hat nach Angaben von Anthropic einen Umsatz-Run-Rate von über 2,5 Milliarden US-Dollar erreicht — mehr als verdoppelt seit Januar 2026. Multi-Agent-Teams koordinieren sich, teilen Aufgaben auf und arbeiten parallel an Codebases.

Die Konsequenz: Eine einzelne Person kann in einer Stunde Dutzende Pull Requests an verschiedene Open-Source-Projekte senden — ohne eine einzige Zeile des generierten Codes gelesen zu haben. Das Erstellen dauert Sekunden. Das Überprüfen dauert Stunden. Diese Asymmetrie ist der Kern des Problems.


Die Zahlen: KI-Code ist messbar schlechter

Die Behauptung, maschinell erzeugter Code sei qualitativ schlechter, ist keine Meinung — es gibt belastbare Daten. Zwei unabhängige Studien aus dem Jahr 2025 liefern messbare Belege: eine Analyse von 470 Pull Requests durch CodeRabbit und eine Langzeitstudie mit erfahrenen Open-Source-Entwickelnden durch METR.

CodeRabbit-Studie (Dezember 2025)

CodeRabbit analysierte 470 Pull Requests und verglich maschinell erzeugten Code mit menschlich geschriebenem Code:

MetrikKI vs. MenschBedeutung
Schwerwiegende Probleme1,7× häufigerLogikfehler, falsche Annahmen
Kritische Probleme1,4× häufigerFehler, die Systeme zum Absturz bringen
Sicherheitslücken2,74× häufigerSQL-Injection, XSS, fehlende Validierung
Performance-Probleme8× häufigerExzessives I/O, Memory Leaks, N+1-Queries

METR-Studie: Die Wahrnehmungslücke

Die METR-Studie aus dem Juli 2025 untersuchte erfahrene Open-Source-Entwickelnde und lieferte ein ernüchterndes Ergebnis: Entwickelnde, die KI-Tools nutzten, waren 19 Prozent langsamer als ohne KI — obwohl sie selbst glaubten, 20 Prozent schneller zu sein.

Die Wahrnehmungslücke ist das eigentliche Problem. Wer überzeugt ist, produktiver zu sein, hinterfragt die Qualität des Outputs nicht. Das Ergebnis: mehr Code, weniger Kontrolle, schlechtere Ergebnisse.

⚠️

Die Qualitätslücke in Zahlen

Laut der CodeRabbit-Studie enthält maschinell erzeugter Code 1,7-mal mehr schwerwiegende Fehler als menschlich geschriebener Code. Sicherheitslücken treten 2,74-mal häufiger auf. Performance-Probleme sogar 8-mal häufiger. Und laut der METR-Studie überschätzen Entwickelnde ihre Produktivität um fast 40 Prozentpunkte.


Das eigentliche Problem: Unkontrolliertes Vibe Coding

Lassen Sie mich etwas klarstellen: Das Problem ist nicht das Programmieren mit KI-Unterstützung. Wir bei IJONIS nutzen diese Tools täglich — für Prototyping, Refactoring, Feature-Entwicklung. Die Produktivitätsgewinne sind real. Das Problem ist unkontrolliertes Vibe Coding: Prompt eingeben, Output akzeptieren, einreichen — ohne den Code zu verstehen, ohne ihn zu testen, ohne den Kontext des Zielprojekts zu kennen.

Warum Spray-and-Pray-KI-Beiträge Open Source schaden

Die Kosten für das Erstellen einer Einreichung sind auf null gefallen. Die Kosten für das Überprüfen sind konstant geblieben. Diese Asymmetrie erzeugt ein System, in dem die Last vollständig bei den Maintainenden liegt.

GitHub hat das Problem erkannt und die Situation als „Eternal September of Open Source" bezeichnet — eine Referenz an das Usenet-Phänomen der 1990er, als die Öffnung des Internets für AOL-Nutzende die bestehende Community mit unerfahrenen Beitragenden überflutete. Die Parallele ist treffend: Die Barriere sinkt, das Volumen steigt, die Qualität fällt.

Was der Tailwind-CSS-Vorfall über KI-Beiträge zeigt

Der vielleicht alarmierendste Fall ist Tailwind CSS. Das Utility-First-CSS-Framework wird von Claude.ai, Vercel, Shopify und OpenAI genutzt — es ist Infrastruktur-Level-Technologie. Laut InfoQ zeigen die Zahlen ein erschreckendes Bild:

  • Downloads: gestiegen — KI-Agenten installieren Pakete bei jeder Session
  • Dokumentations-Traffic: laut Wathan um 40 Prozent gesunken, weil KI-Agenten keine Docs brauchen
  • Umsatz: um 80 Prozent eingebrochen, da weniger Nutzende die Website besuchen
  • Team: 75 Prozent der Mitarbeitenden entlassen

Ein Projekt, das Millionen von Anwendungen nutzen, stand am Rand des Zusammenbruchs — nicht weil es technisch versagte, sondern weil KI den Aufmerksamkeitsstrom umlenkte, der zuvor zu den Maintainenden floss. Die KI kennt Tailwind. Die KI verweist nicht auf Tailwind. Das ist das gleiche Muster, das wir in SaaS ist tot — zumindest als Wettbewerbsvorteil beschrieben haben: Wenn die Technologie zur Commodity wird, bricht das bisherige Geschäftsmodell zusammen.


Für Unternehmen: Ihre Software-Lieferkette ist betroffen

Falls Sie denken, das sei ein Problem, das nur Open-Source-Maintainende betrifft — denken Sie weiter. Jede Unternehmensanwendung hängt von Dutzenden, oft Hunderten Open-Source-Paketen ab. Ihre interne Software steht auf einem Fundament, das Freiwillige in ihrer Freizeit warten.

Wenn diese Freiwilligen ausbrennen, die Mitarbeit schließen oder Projekte aufgeben, stellt sich eine einfache Frage: Wer patcht die Sicherheitslücken in Ihren Abhängigkeiten?

Der Tailwind-Fall zeigt die Eskalationsstufen:

  1. Maintainende werden überlastet — durch automatisierte Einreichungen niedriger Qualität
  2. Einnahmen brechen ein — weil KI den Traffic von den Dokumentationen und Websites abzieht
  3. Teams werden entlassen — weniger Einnahmen bedeuten weniger Kapazität
  4. Sicherheitsupdates verzögern sich — weniger Kapazität bedeutet langsamere Patches
  5. Ihre Anwendung wird verwundbar — weil eine Abhängigkeit drei Ebenen tief nicht mehr gewartet wird
ℹ️

Checkliste: Open-Source-Risiko durch KI-Code

  • Welche Ihrer kritischen Abhängigkeiten werden von Einzelpersonen oder kleinen Teams gewartet?
  • Haben sich die Release-Zyklen Ihrer Abhängigkeiten in den letzten 12 Monaten verlangsamt?
  • Finanzieren Sie Open-Source-Projekte, von denen Ihre Infrastruktur abhängt?
  • Haben Sie einen Notfallplan, falls eine zentrale Abhängigkeit nicht mehr gewartet wird?

KI-gestützt vs. KI-generiert: Der entscheidende Unterschied

Die gesamte Debatte lässt sich auf eine Unterscheidung reduzieren, die jedes Unternehmen in seine Entwicklungsprozesse einbauen sollte. Entscheidend ist: Nicht die Herkunft des Codes zählt, sondern ob ein Mensch die Verantwortung dafür übernimmt. Die folgende Tabelle zeigt die wesentlichen Unterschiede zwischen verantwortungsvoller und unkontrollierter KI-Nutzung in der Softwareentwicklung.

KriteriumKI-gestützt (AI-assisted)KI-generiert (AI-generated)
Code-VerständnisEntwickelnde verstehen jede ZeileKein Verständnis des Outputs
Review-ProzessKritisches Review vor EinreichungPrompt → Output → Submit
TestabdeckungGründliche Tests vor MergeKeine Tests durchgeführt
WartbarkeitLangfristig wartbar, dokumentiertTechnische Schulden von Tag eins
Wert für MaintainendeEntlastet das ProjektErzeugt Mehrarbeit ohne Nutzen

KI-gestützter Code (AI-assisted): Die Entwickelnden verstehen den Code. Sie nutzen KI als Werkzeug — für Vorschläge, Refactoring, Boilerplate. Sie reviewen kritisch, testen gründlich und kennen die Codebasis, in die sie eingreifen. Das Ergebnis ist menschlich verantworteter Code, der mit KI-Unterstützung entstanden ist.

KI-generierter Code (AI-generated): Prompt eingeben, Output akzeptieren, einreichen. Kein Verständnis des Codes. Kein Verständnis des Zielprojekts. Kein Test. Kein Review. Das Ergebnis ist ein Pull Request, der Arbeit für Maintainende erzeugt, ohne Wert zu liefern.

Die Frage „Mensch oder Maschine — spielt es eine Rolle?" hat sich in den letzten Monaten klar beantwortet: Ja, es spielt eine Rolle — nicht wer den Code geschrieben hat, sondern ob jemand die Verantwortung dafür übernimmt.

Wir kennen beide Seiten. Bei IJONIS nutzen wir KI-Tools in jedem Projekt. Gleichzeitig sind wir Maintainende eines Open-Source-Projekts: geo-lint, ein GEO-Linter mit 92 Regeln. Wir wissen, was es bedeutet, Issues zu sichten, Pull Requests zu bewerten und die Qualität einer Codebasis zu verteidigen.

Die wichtigste Erkenntnis: Die Zukunft gehört qualitativ hochwertiger Entwicklung mit KI-Unterstützung — nicht dem blinden Abfeuern ungeprüfter Beiträge.

"Wer KI als Werkzeug behandelt und den Output versteht, gewinnt einen enormen Hebel. Wer KI als Ersatz für Kompetenz behandelt, erzeugt technische Schulden in industriellem Maßstab." — Jamin Mahmood-Wiebe, Gründer von IJONIS

Die Forschungsarbeit „Vibe Coding Kills Open Source" von der arXiv-Plattform beschreibt das strukturelle Risiko und bestätigt, was Maintainende seit Monaten berichten.


Was Unternehmen jetzt tun sollten

Die Krise im Open-Source-Ökosystem betrifft jedes Unternehmen, das Software betreibt — unabhängig davon, ob Sie selbst Open-Source-Code beitragen oder nur darauf aufbauen. Wer jetzt nicht handelt, riskiert Sicherheitslücken in Abhängigkeiten, die niemand mehr wartet. Hier sind fünf konkrete Maßnahmen:

1. Open-Source-Abhängigkeiten auditieren

Identifizieren Sie, welche Pakete in Ihrem Stack von kleinen Teams oder Einzelpersonen gewartet werden. Tools wie npm audit, pip-audit oder trivy prüfen bekannte Sicherheitslücken. Aber prüfen Sie auch die Gesundheit der Projekte selbst: Wie häufig werden Updates veröffentlicht? Wie reagiert die Maintainenden-Community auf Issues?

2. Maintainende finanzieren

Remi Verschelde von Godot bringt es auf den Punkt: „More funding is the only viable solution." Wenn Ihre Anwendung auf Open-Source-Infrastruktur läuft, investieren Sie in deren Erhalt. GitHub Sponsors, Open Collective oder direkte Sponsoring-Vereinbarungen sind Optionen. Es geht nicht um Wohltätigkeit — es geht um die Absicherung Ihrer eigenen Lieferkette.

3. Interne KI-Code-Review-Standards etablieren

Definieren Sie klare Richtlinien: Kein automatisch erzeugter Code wird ohne menschliches Review eingereicht — weder intern noch an externe Projekte. Jeder Pull Request muss von einer Person verantwortet werden, die den Code versteht und getestet hat.

4. KI-gestützt und KI-generiert unterscheiden

Führen Sie in Ihren Entwicklungsprozessen eine explizite Unterscheidung ein. Code, bei dem Entwickelnde das KI-Werkzeug kontrollieren, ist erwünscht. Automatisch erzeugter Code ohne Verständnis und Review ist ein Qualitätsrisiko.

5. In qualitative KI-Workflows investieren

Die Lösung ist nicht weniger KI — sondern bessere KI-Nutzung. Context Engineering, strukturierte Prompts, iteratives Arbeiten mit Code Reviews. Das Trust Spectrum zeigt, wie Unternehmen Sicherheitsgrenzen für autonome KI-Agenten definieren — genau die Art von Kontrolle, die bei unkontrolliertem Vibe Coding fehlt. Investieren Sie in Workflows, die Produktivität und Qualität gleichzeitig liefern, statt auf Spray-and-Pray zu setzen. Bei IJONIS unterstützen wir Unternehmen dabei, genau diese Workflows aufzubauen — von der Tool-Auswahl bis zur Integration in bestehende Prozesse. Mehr auf unserer KI-Beratungsseite.


Häufige Fragen zu Vibe Coding und Open Source

Was ist Vibe Coding?

Vibe Coding ist eine Programmierweise, bei der Entwickelnde in natürlicher Sprache beschreiben, was sie benötigen, und KI-Tools den Code generieren. Der Begriff wurde im Februar 2025 von Andrej Karpathy geprägt. Die Bandbreite reicht von verantwortungsvoller KI-gestützter Entwicklung bis zum unkontrollierten Einreichen von KI-Output ohne Review. Eine ausführliche Erklärung mit Tools, Workflows und Praxiserfahrungen finden Sie in unserem Beitrag Vibe Coding 2026: Anleitung für KI-gestütztes Programmieren.

Was bedeutet AI Slopageddon?

AI Slopageddon ist ein Begriff der RedMonk-Analystin Kate Holterhoff, der die Überflutung von Open-Source-Projekten mit minderwertigen KI-generierten Beiträgen beschreibt. „Slop" steht im englischen Sprachraum für qualitativ niedrigen, massenhaft produzierten KI-Output. Das Phänomen betrifft Bug-Reports, Pull Requests und Issues gleichermaßen und hat dazu geführt, dass Projekte wie cURL, Ghostty und tldraw ihre Beitragsrichtlinien drastisch verschärft haben. Holterhoffs vollständige Analyse beschreibt die strukturellen Ursachen und Konsequenzen.

Ist KI-gestütztes Programmieren schlecht für Open Source?

Nein. KI-gestütztes Programmieren, bei dem Entwickelnde die KI als Werkzeug nutzen und den Output kritisch prüfen, ist eine Produktivitätssteigerung — für interne Projekte und für Open-Source-Beiträge. Das Problem entsteht, wenn KI-generierter Code ohne Verständnis, ohne Tests und ohne Kontext des Zielprojekts eingereicht wird. Die Unterscheidung zwischen KI-gestützt (verantwortungsvoll) und KI-generiert (unkontrolliert) ist der Schlüssel. Projekte, die KI-Code pauschal verbieten, adressieren das Symptom. Projekte, die Review-Standards durchsetzen, adressieren die Ursache.

Wie schütze ich mein Unternehmen vor Open-Source-Risiken durch KI-Code?

Vier Maßnahmen sind entscheidend: Erstens, auditieren Sie Ihre Abhängigkeiten auf Projekte mit abnehmender Wartungsintensität. Zweitens, finanzieren Sie die Open-Source-Projekte, von denen Ihre Infrastruktur abhängt. Drittens, etablieren Sie interne Standards, die KI-generierten Code ohne menschliches Review verbieten. Viertens, investieren Sie in qualitative KI-Workflows mit Context Engineering und strukturierten Prompts statt Spray-and-Pray. Für die Umsetzung unterstützen wir Sie gerne — sprechen Sie mit uns.


Ihre Entwicklungsteams nutzen KI-Tools — aber ohne klare Qualitätsstandards? Wir helfen Unternehmen, produktive und sichere KI-Workflows aufzubauen. Von der Audit-Analyse Ihrer Open-Source-Abhängigkeiten bis zur Einführung interner Review-Standards. Jetzt Beratungsgespräch vereinbaren oder lesen Sie, wie wir KI-Entwicklung in der Praxis einsetzen: Vibe Coding Guide und GEO Lint — unser Open-Source-Beitrag.

Ende des Artikels

KI-Readiness-Check

Erfahren Sie in 3 Min., wie KI-bereit Ihr Unternehmen ist.

Jetzt starten3 Min. · Kostenlos

KI-Insights für Entscheidungsträger

Monatliche Einblicke in KI-Automatisierung, Software-Architektur und digitale Transformation. Kein Spam, jederzeit abbestellbar.

Lass uns sprechen

Fragen zum Artikel?.

Jamin Mahmood-Wiebe

Jamin Mahmood-Wiebe

Managing Partner

Termin buchen

Also available in English: Keith Govender

Nachricht schreiben

Diese Website wird durch reCAPTCHA geschützt und es gelten die Google Datenschutzbestimmungen Nutzungsbedingungen.