Oplever du netop nu, at alle AI eksperter her på Linkedin opfordrer dig til, at du skal igang med vibecoding? Det er der også en god grund til - det er nemlig vildt fedt, hvad du kan skabe hurtigt. Men det har også en bagside. Derfor vil je gerne udstille mine egne fejl først, så du ikke ryger i de samme fælder, som jeg har gjort - det kan nemlig koste dig penge.
Vibecoding: En hurtig måde at lave programmer eller kode på, fordi du får AI (som ChatGPT) til at skrive det for dig.
API: En smart måde at hente og dele data med andre services. Du kan f.eks. bruge et API til at hente virksomhedsoplysninger ud fra cvr.dk
Lovable: Et værktøj til at lave hurtige hjemmesider, webapps etc., blot ved at skrive hvad du ønsker.
...Sådan starter mange vibecoding projekter. Jeg har også selv fra start været fuldstændig grebet af vibecoding, hvor jeg har lavet alt fra Python til AI flows.
Jeg har selvfølgelig tænkt på, at der kan være en risiko ved det, men har måske affejet det og i stedet fokuseret på glæden ved at kunne skabe sine egne programmer på rekordtid.
Men der er en risiko! Her er mine erfaringer.
Min dyreste lærestreg:
Den første og dyreste fejl, jeg har lavet til dato, var i forbindelse med en app, hvor jeg med AI ville beregne den optimale kørselsrute for en række chaufører. Super smart tanke. Før det kan lade sig gøre, foreslog ChatGPT mig, at jeg skulle bruge Google Maps Distance Matrix API, der kan måle afstand mellem mange adresser.
Efter lidt ChatGPT frem og tilbage, fandt jeg ud af, hvordan jeg kunne forbinde til Google Cloud Platform, og satte straks i gang med at finde afstanden fra 180 hoteller. Koden lavede ChatGPT for mig på relativt kort tid. Udfordringen med arkitekturen er, at Google Distance måler begge veje fra og til 180 destinationer - så med denne lille forespørgsel kom jeg til at sende ca. 32.000 forespørgsler afsted. Det gjorde jeg en del gange... Problemet var bare, at hver forespørgsel koster penge, og da jeg sidst på dagen tjekkede min saldo på Google Cloud, fik jeg nærmest et chok!
JEG HAVDE BRUGT FOR KR. 12.378!! Jeg har dog sjældent følt mig så idiotisk.
Det lærte mig følgende tre ting:
-
SÆT ALTID en daglig budgetgrænse, hvis du bruger betalte API’er og vær sikker på, at du får en advarsel, når budgettet overskrides.
-
Hold øje med din konto løbende, så du ikke får trælse overraskelser - det kan koste dig dyrt
-
Vær meget opmærksom på, hvor mange requests du sender afsted pr. gang
Du har en lemfældig omgang med data
Denne her synes jeg er skræmmende. Da det er blevet så nemt at lave sine egne programmer, dukker der alverdens software op i danske virksomheder, som er vibecoded. Alt fra CRM-systemer, formularer, tilbudssystemer etc. bliver pludselig skabt og lanceret – ofte med et logo eller en web-adresse, som ofte nævner ordet Lovable.
Lad os forestille os en tilfældig virksomhed, som ønsker at lave et tilbudssystem. Virksomheden får på rekordtid lavet en webapp, hvorefter de ukritisk hælder kunder, prislister og andet data ind - som muligvis både er GDPR kritisk og fortroligt. De har nu det perfekte system - lavet på rekordtid.
Der er bare en række problemer:
-
Det hele er gået så stærkt, at ingen andre i organisationen er blevet orienteret. Dermed bliver systemet aldrig rigtig forankret, fordi der ikke er noget ejerskab. Sådan et system vil ofte have kort levetid i organisationerne.
-
Hvad sker der, hvis systemet af en eller anden grund fejler – hvad er planen så? Især hvis systemet på et tidspunkt bliver forretningskritisk. Du er pludselig gået fra at være medarbejder til at skulle stå 24 timer til rådighed for at sikre systemets drift. Det er ikke det du ønsker.
-
Hvad med sikkerheden? Hvordan har du sikret dig, at ingen andre kan få adgang?
-
Hvad med at det data du har hentet ind. Hvordan får du det beskyttet, løbende opdateret etc.
Personligt synes jeg, at værktøjer som Lovable er fantastiske – men at nogle virksomheder bruger det.... med hovedet oppe et vist sted uden tanke for drift, oppetider, sikkerhed etc. - Det mener jeg personligt at vi skal have sat en stopper for hurtigst muligt.
Jeg vil personligt anbefale, at vibecoding-projekter i f.eks. ClaudeCode eller Lovable primært bruges til prototyper eller ikke-forretningskritiske projekter. Derudover at du får en second opinion på sikkerheden. Der findes mange dygtige folk, som kan hjælpe dig med at vurdere de systemer, du har lavet.
Du beskytter ikke din API-nøgle godt nok
En af de helt store problematikker ved f.eks. at få ChatGPT til at vibecode for dig er, at den ofte har en meget lemfældig tilgang til sikkerhed. Det oplever jeg både i forbindelse med Python og ved automatiseringsflows.
En klassisk sikkerhedsfejl er, når du vil kommunikere med API’er. En API nøgle eller adgang vil du typisk bruge, hvis du vil danne billeder, tekster eller lignende i dine egne programmer. I de tilfælde får du en API-nøgle, som du skal beskytte godt.
Men netop det med at beskytte din API nøgle, oplever jeg, at ChatGPT ofte tilsidesætter. Derfor kommer der ofte API-nøgler direkte i kildekoden. Men hvad tror du, der sker, hvis andre får fat i din kildekode? Ja, så kan de udnytte den til at skabe indhold på din regning.
Derfor er det altafgørende, at du får gemt dine API-nøgler sikkert og ikke eksponerer dem i din kode. Du må heller aldrig kopiere din API nøgle ind i ChatGPT, ClaudeCode eller lignende medmindre du selvfølgelig er klar til at løbe risikoen.
Du tænker for meget på udviklingsfasen – og ikke den senere vedligeholdelse
Du er stolt. Du har lige fået udviklet et fedt CRM-projekt med vibecoding, som nu er tilgængeligt for medarbejdere i virksomheden.
4 måneder efter kommer der nye behov. Men du står med 6.000 linjer kode og kan ikke huske, hvad du har gjort, eller alle detaljer i projektet.
Problemet er, at i mange tilfælde bliver al kode struktureret i én fil fremfor en ordentlig struktur. Derfor bliver det vanskeligere at vedligeholde, når tiden går, og du har glemt, hvad du oprindeligt har lavet.
Det andet problem er: Hvem redder systemet, hvis det fejler - og du ikke er der? Virksomheder risikerer at blive for afhængige af enkelte medarbejdere.
Så husk en god struktur og dokumentation på, hvad systemet gør. Det er nemmere at lave, når du sidder med det første gang, fremfor når det skal vedligeholdes. Samt hav en driftsplan.
Når du vibecoder, er du ublu med, hvad der installeres på din computer
Tidligere havde du selv mere kontrol med, hvad der blev afviklet på din computer. Men efterhånden som OpenClaw, ClaudeCode og lignende bliver mere udbredt, bliver der installeret alt muligt på din computer, som du måske ikke har fuldt overblik over.
Det har to ulemper:
Den ene er, at hvis du på et tidspunkt skifter computer, er det umuligt at huske, hvilke moduler og funktioner du havde installeret. Derfor virker dine vibecode-programmer ikke længere, og det tager tid at genskabe det.
Den anden – og mere alvorlige – er, at noget af det, du installerer, ikke nødvendigvis er sikkert. Du ved ikke, om der er sikkerhedshuller, og hvis du ukritisk siger ja til alt, er der også en risiko for, at du ikke får opdateret til nye versioner. Så bliver du endnu engang et mål for hackere.
Du lægger dine programmer på din egen server uden at kende til sikkerhed
Du køber en lille server og får hjælp af en LLM som ChatGPT til at sætte den op. Der bliver foreslået, at du åbner nogle porte, så serveren har adgang til nettet osv. Men de mest basale sikkerhedsindstillinger bliver aldrig sat op.
Det betyder, at din server nu er fuldt eksponeret for hackere.
Tvivler du på, hvad jeg siger? Så prøv at gå ind på https://www.shodan.io/ og lav en søgning på f.eks. Synology. Så får du mange tusinde servere, hvor der ikke er opsat HTTPS, eller hvor alt for mange usikre porte er åbne – det er et paradis for hackere.
Så hvis du vælger at anskaffe dig en server selv – så husk sikkerheden!
_____________
Jeg hedder Kristian Bluhme og er E-commerce- og AI-rådgiver i virksomheden DCEO (https://www.dceo.dk). Jeg har blandt andet bygget min egen webshop Officely.dk med salg af kontorartikler og møbler, som styres af 31 automatiseringsrobotter. I 2025 var jeg i top 10 i AI Award kategorien under Dansk Industri.
Vil du connecte, så glæder jeg mig til at høre fra dig 🙂