Wat is een vibe-hacker eigenlijk?
Een vibecoder is iemand die met een AI-tool, zeg ChatGPT of Claude, snel een scriptje in elkaar knutselt zonder enige programmeerervaring. Op zich is daar niks mis mee: AI democratiseert het bouwen van software, en dat is ook mooi. Maar diezelfde toegankelijkheid geldt ook voor mensen met minder goede bedoelingen. Wanneer een vibecoder zijn skills inzet om systemen te misbruiken, noemen we dat vibe-hacking. Stel: een webshop gebruikt numerieke of voorspelbare kortingscodes. Een vibe-hacker bouwt een scriptje dat ze allemaal langsloopt en de geldige codes eruit filtert. Binnen een uur heeft hij een stapel gratis tegoed.
Iedereen heeft weleens "Korting15" ingetypt in de hoop op 15% korting. Dat is eigenlijk hetzelfde principe, alleen dan geautomatiseerd en op grote schaal. Het is precies waarom je gerandomiseerde codes wil, iets als "X7$kQ2#mP9" is een stuk lastiger te raden dan "ZOMER2025".
Het speelveld is veranderd
Het AI-gebruik in development neemt flink toe en dat brengt drie nieuwe uitdagingen mee.
Ten eerste
Pusht (laten we hem voor het gemak even Freek noemen) jouw collega Freek ineens drie keer zoveel code als vorig jaar. Waar jij eerst 100 regels moest reviewen, zijn dat er nu 300. En eerlijk is eerlijk: 300 regels code check je niet even zo nauwkeurig als 100.
Ten tweede
Maakt AI van iedereen een developer. Zonder opleiding, zonder ervaring, zonder dat iemand ze tegenhoudt. Dat betekent dat het aantal mensen dat jouw applicatie op onverwachte manieren kan bevragen enorm is gegroeid. Soms zijn het kwaadwillenden, soms gewoon nieuwsgierige mensen die niet doorhebben wat ze doen. En soms zijn het AI-bots die het web crawlen voor trainingsdata en daarbij onvoorspelbare traffic-pieken veroorzaken.
Ten derde
Ontstaan er meer kwetsbaarheden dan ooit, én worden ze sneller misbruikt. In 2024 werden er al 40.000 nieuwe CVE's (bekende beveiligingslekken in software) geregistreerd, tegenover 25.000 een paar jaar eerder. Maar wat nog alarmerender is: waar het in 2018 gemiddeld nog 771 dagen duurde voordat een kwetsbaarheid actief werd misbruikt, was dat in 2024 al teruggebracht naar 4 uur. In 2025 werden de meeste kwetsbaarheden al misbruikt vóórdat ze publiek bekend waren gemaakt. Volgens zerodayclock.com past die data op een exponentiële curve. Dit stabiliseert niet. Het gaat alleen maar sneller.
Binnenuit of buitenaf: waar zit het echte risico?
Je kunt een applicatie op twee manieren bekijken: van binnenuit en van buitenaf. Veel teams focussen op de buitenkant: wie kan er überhaupt bij mijn systeem komen? Maar de aanvalsoppervlakte aan de binnenkant is vaak véél groter.
Denk aan rollen en rechten die niet kloppen. Aan validatie die ergens ontbreekt. Aan een token die net iets langer geldig is dan verstandig. Dat zijn de gaatjes in jouw huisje, gebouwd op een verder solide fundament.
Onze digitale vastbijters beginnen daarom altijd met een veilig fundament. Wij bouwen in Laravel, een framework dat al veel beveiligingsmaatregelen ingebouwd heeft. Daarmee vang je een hoop af voordat je ook maar één eigen regel hebt geschreven. Maar een fundament is pas het begin. Wat jij er bovenop bouwt, daar gaan de schuurtjes in zitten, de gaatjes, het slot dat net niet goed doordacht is. En dat is precies waar bad actors op mikken.
Wacht niet op een pentest
Een jaarlijkse pentest is goed. Maar wacht er niet op. De tools om zelf continu te testen zijn er al, en ze worden steeds toegankelijker.
Wat wij concreet doen:
AI security requirements meegeven
Zet in je prompt dat gegenereerde code ook rekening moet houden met Zero Trust, validatie en logging. AI doet dat namelijk niet automatisch als je het niet vraagt.
AI code reviews
Wij gebruiken CodeRabbit, een tool die bij elke code-push automatisch een analyse doet en comments plaatst. Fight AI with AI, zeg maar.
SCA (Software Composition Analysis)
Dit checkt of de packages die je gebruikt bekende kwetsbaarheden bevatten. In Composer en NPM zit al een basisversie. Gebruik die.
SAST (Static Application Security Testing)
Dit analyseert jouw eigen broncode op beveiligingsproblemen. Wij gebruiken SonarQube, dat ook Infrastructure as Code kan checken. Zo controleer je niet alleen je app, maar ook je hosting-omgeving.
DAST (Dynamic Application Security Testing)
Dit test je draaiende applicatie van buitenaf, zoals een aanvaller dat zou doen. Wij draaien wekelijks een volledige OWASP-scan op onze testomgeving en krijgen automatisch een rapport.
Monitoring en anomaly detection
Stel alerts in op afwijkend gedrag. Een firewall die traffic-pieken herkent en automatisch blokkeert, houdt vibe-hackers ook van buitenaf op afstand.
Automatiseer het, want jij vergeet het
Hier zit de kern van de boodschap. Je kunt alle bovenstaande maatregelen handmatig uitvoeren, maar dan doe je het nooit consequent. Bouw het in je pipeline. Zorg dat het bij elke code-push automatisch gebeurt, zonder dat het van jouw discipline afhangt.
Freek pusht meer code dan ooit. Jij hebt niet meer uren in de dag gekregen. Dus maak het jezelf makkelijk en laat de tooling het werk doen.
De vibecoders gaan niet weg. Maar jij kunt ze wel buiten de deur houden.
