Hva er «vibe coding» — og hvorfor er det et problem?
«Vibe coding» betyr å bruke AI-assistenter — Cursor, GitHub Copilot, Claude — til å generere applikasjoner raskt, uten å nødvendigvis forstå hver linje som produseres. Du beskriver hva du vil ha. AI skriver koden. Du trykker kjør.
For ikke-tekniske gründere, markedsavdelinger og interne IT-prosjekter er dette en revolusjon. Tidslinjer kollapser fra måneder til dager. Prototyper blir produksjonssystemer over helgen.
Problemet er ikke at folk bygger raskere. Problemet er at hastigheten skaper et gap — mellom hva som ble bygget og hva som faktisk er trygt å kjøre i produksjon.
Det er dette VibeSec handler om. Begrepet ble popularisert av softwareutvikler og forfatter Martin Fowler i 2026 som respons på en reell trend: AI prioriterer hurtighet. Sikkerhet krever eksplisitt håndhevelse — og den håndhevelsen skjer ikke av seg selv. (Fowler, «The VibeSec Reckoning», 2026)
To hendelser som satte problemet på kartet
Martin Fowlers VibeSec-analyse dokumenterer to konkrete sikkerhetshendelser fra AI-assisterte utviklingsprosjekter:
Hendelse 1 — Åpen skylagring: AI anbefalte å gjøre skylagring offentlig tilgjengelig for å forenkle tilgangsproblemer. Resultatet: upubliserte produktdata og brukerdatabasen lå åpent tilgjengelig.
Hendelse 2 — Overdrevne tillatelser: En tjenestekonto fikk altfor brede rettigheter til å opprette tokens. Det ga angripere mulighet til å bevege seg sidelengs gjennom hele skyinfrastrukturen.
Felles for begge: AI tok snarveier for å løse det umiddelbare problemet, uten å forstå de bredere sikkerhetskonsekvensene. Og — avgjørende — ingen mennesker stoppet det.
Kjerneproblemet, formulert av Fowler: «Telling an AI agent to be safe is not the same as enforcing that it is safe.» Prompts kan overstyres. Deterministiske tekniske kontroller kan ikke det.
Tallene bak trenden
Dette er ikke isolerte hendelser. Dataene tegner et systemisk bilde: (Fowler, «The VibeSec Reckoning», 2026; Bessemer Venture Partners, «Securing AI Agents», 2026)
Og konteksten: 42% av ny bedriftsprogramvare er i dag AI-generert eller AI-assistert. (Kilde: Fowler, «The VibeSec Reckoning», 2026) Volumet øker raskere enn sikkerhetskapasiteten — 62% av sikkerhetsteam sliter med å holde tritt. (Kilde: Fowler ibid)
Det spesifikke problemet med AI-agenter
Sikkerhetsproblemene med AI-kode skjerpes ytterligere når vi snakker om AI-agenter — systemer som ikke bare skriver kode, men som kjører den autonomt, aksesserer databaser, sender e-post og kaller APIer.
Bessemer Venture Partners formulerer spenningen presist: «The same autonomy that makes agents valuable — executing multi-step workflows, accessing databases, sending emails — is precisely what makes them dangerous when compromised.» (Bessemer, 2026)
De identifiserer fire sårbare lag:
- Endepunkter — kodingsagenter som Cursor og GitHub Copilot
- API/MCP-gatewayer — der agenter kaller verktøy og tjenester
- SaaS-plattformer — der agenter er innbygd i arbeidsflyter
- Identitetslaget — legitimasjon og akkumulerte rettigheter
Gjennomsnittlig kostnad per «shadow AI»-brudd er 4,63 millioner dollar — 670 000 dollar mer enn et standard databrudd. (Kilde: Bessemer, 2026)
Hva norske bedrifter bør sjekke nå
Du trenger ikke bli ekspert på applikasjonssikkerhet. Men du trenger svar på noen grunnleggende spørsmål om AI-koden som allerede kjører i bedriften din.
1. Kartlegg hva som faktisk er bygget med AI
Mange bedrifter har ingen oversikt over hvilke systemer som er delvis eller helt AI-generert. En ukjent eksponering er en ukontrollert eksponering. Start med et enkelt spørsmål til utviklere og prosjektledere: hva ble skrevet av AI, og har det blitt gjennomgått av noen med sikkerhetskompetanse?
2. Sjekk tilgangstillatelsene
AI-systemer og agenter opererer ofte med for brede rettigheter — fordi det var enklest å sette opp. Prinsippet om minste privilegium (least privilege) er dokumentert å redusere sikkerhetsincidenter med 4,5 ganger. (Kilde: Bessemer, 2026) Det er en av de enkleste og mest effektive tiltakene.
3. Etabler en policy for sensitiv data
50% av organisasjoner mangler i dag en policy for sensitiv data i AI-verktøy. (Kilde: Fowler, «The VibeSec Reckoning», 2026) Det betyr at ansatte aktivt sender kunderdata, forretningshemmeligheter og interne systembeskrivelser til eksterne AI-tjenester — uten noen organisatorisk bevissthet om det.
4. Ikke stol på prompts alene
Det er fristende å tenke at problemet løses ved å be AI om å «skrive sikker kode». Det gjør det ikke. Fowler er eksplisitt: tekniske kontroller — ikke instruksjoner — er det som faktisk håndhever sikkerhet. Code review, automatiserte sikkerhetstester og tilgangskontroller er ikke valgfrie for AI-generert kode.
Spørsmålet å stille seg: Hvis en tredjepart gjennomgikk AI-koden og AI-agentene som kjører i bedriften din i dag — hva ville de finne? Hvis svaret er «vet ikke», er det startpunktet.
Bunnen
VibeSec er ikke en kampanje mot AI-verktøy. Det er en erkjennelse av at hurtighet og sikkerhet ikke automatisk følger hverandre.
Norske bedrifter har tatt i bruk AI-verktøy raskt og med god grunn. Men den samme bevegelsen som gir interne utviklere superkrefter, skaper nye angrepsflater hvis den ikke håndteres bevisst.
De som tar sikkerhetsvurderingen av AI-kode tidlig, slipper den mye dyrere reaktive versjonen senere.
Vet du hva som kjører i produksjon? Vi tilbyr en gratis gjennomgang av din AI-kodesikkerhetsposisjon — hvilke systemer er bygget med AI, hvilke risikofaktorer er mest kritiske, og hva bør prioriteres. Send en e-post til hei@synligdigital.no med «AI-kodesikkerhet» i emnefeltet, så svarer vi innen én arbeidsdag.
Håkon Åmdal driver Synlig Digital fra Stavanger. Vi hjelper norske bedrifter bli synlige der kundene spør — i ChatGPT, Perplexity, Google AI og andre AI-assistenter — og gjennomfører AI-sikkerhetsvurderinger for selskaper som bruker AI i produksjon.
Kilder
- Martin Fowler (2026): «The VibeSec Reckoning» — martinfowler.com
- Bessemer Venture Partners (2026): «Securing AI Agents: The Defining Cybersecurity Challenge of 2026» — bvp.com