Andrej Karpathy v únoru 2025 napsal na X o způsobu programování, při kterém vývojář nečte kód a nechá AI dělat všechno. O čtrnáct měsíců později je „vibe coding“ slovem roku podle Collins Dictionary a živí startupy za desítky miliard dolarů. A nejrigoróznější nezávislá studie na téma produktivity zjistila, že AI nástroje zkušené vývojáře zpomalují o 19 %. Ti samí vývojáři přitom byli přesvědčeni, že zrychlili o 20 %. Mezi tím, co si o vibe codingu myslíme, a tím, co o něm víme, zeje díra, kterou stojí za to prozkoumat.

Tweet, definice a čtrnáct měsíců sémantického posunu

Začátek je přesný. 2. února 2025 Andrej Karpathy napsal na X: „There’s a new kind of coding I call vibe coding, where you fully give in to the vibes, embrace exponentials, and forget that the code even exists.“ Popisoval víkendový experiment s Cursor Composerem a Claude Sonnetem, při kterém klikl na Accept All, nečetl diffy, a když narazil na bug, zkopíroval chybovou hlášku zpátky do chatu. Klíčová věta, kterou většina následné debaty ignorovala: „It’s not too bad for throwaway weekend projects.“

Tweet nasbíral přes 4,5 milionu zobrazení a spustil lavinu. Collins Dictionary zvolil vibe coding slovem roku 2025. Jenže Karpathy sám už v dubnu 2025, po zkušenosti s nasazením své vibe-coded aplikace MenuGen, napsal mnohem střízlivější hodnocení: LLM mají mírně zastaralé znalosti, dělají subtilní, ale kritické chyby v designu, a někdy halucinují řešení. A v únoru 2026 se od termínu veřejně posunul. Na X navrhl nový pojem „agentic engineering“. Člověk, který vibe coding pojmenoval, strávil čtrnáct měsíců tím, že se od něj postupně vzdaloval.

Nejpřesnější definici ustálil Simon Willison v březnu 2025: vibe coding znamená psát software s LLM, aniž byste četli kód, který LLM produkuje. Pokud vám LLM kód napsal a vy jste ho prohlédli, otestovali a dokážete ho vysvětlit, není to vibe coding, je to softwarový vývoj. Willisonovo zlaté pravidlo: nezařadím do repozitáře kód, který bych nedokázal vysvětlit někomu dalšímu. V říjnu 2025 zavedl protipól, „vibe engineering“: zkušení profesionálové, kteří s AI zrychlují, ale zůstávají zodpovědní za výsledek.

Tohle rozlišení je zásadní, protože diskuze o vibe codingu se neustále zamotává. Lidé háží do jednoho pytle AI-asistované programování (Copilot doplňuje řádky, vývojář čte a rozhoduje), augmented coding (agent generuje větší celky, vývojář reviewuje a testuje) a vibe coding v původním smyslu, kde vývojář kód nečte, nerozumí mu a nechce mu rozumět. Prvních dvou kategorií se bát nemusíte. Třetí je vědomé vzdání se kontroly. A záleží právě na tom, jestli kódu někdo rozumí. Ne na tom, kdo ho napsal.

Adopce exploduje, důvěra klesá

Stack Overflow Developer Survey 2025 (přes 49 tisíc odpovědí, červenec 2025) zachytil paradox, který definuje celé odvětví. Adopce je téměř univerzální: 84 % vývojářů AI nástroje používá nebo plánuje používat, 51 % profesionálů je používá denně. Důvěra naopak klesá: přesnost výstupů AI věří jen 29 % dotázaných, oproti 40 % v předchozích ročnících. Pozitivní sentiment spadl z více než 70 % na 60 % za jediný rok. Největší frustrace, „řešení, která jsou skoro správná, ale ne úplně“, trápí 66 % dotázaných. A 45 % říká, že debugging AI kódu zabere víc času než ho napsat ručně.

Finanční strana vypadá přesně naopak. Cursor (Anysphere) podle dostupných reportů vyrostl z necelých 100 milionů dolarů ročních tržeb na 2 miliardy za čtrnáct měsíců. Lovable, švédská platforma cílící primárně na neprogramátory, vyrostl z 1 milionu na 100 milionů ARR za osm měsíců. Claude Code podle Anthropic dosáhl miliardy ARR za šest měsíců. Trh oceňuje adopci a růst. Evidence o kvalitě a produktivitě za ním pokulhává.

Nejcitovanější číslo v celé kategorii pochází od Garryho Tana, CEO Y Combinatoru. V březnu 2025 napsal na X, že u 25 % startupů z Winter 2025 batch je 95 % řádků kódu generovaných LLM. Číslo se stalo totémem. Nikdo ho nezávisle neověřil a zaměňuje řádky kódu se software engineeringem. To nikomu nevadí, protože sedí do příběhu.

Měření, které vendoři necitují

Proti GitHub/Accenture tvrzení, že Copilot zrychluje vývojáře o 55 % (interní studie, jiná metodologie, jiný typ úloh), stojí nejcitovanější nezávislá randomizovaná kontrolovaná studie v realistickém vývojářském prostředí. Nezisková organizace METR ji publikovala v červenci 2025. Šestnáct zkušených open-source vývojářů, 246 reálných issues, jejich vlastní repozitáře (průměrně 22 tisíc hvězd, přes milion řádků kódu, víc než pět let zkušeností s daným projektem). Frontier nástroje: Cursor Pro s Claude 3.5/3.7 Sonnet. Odměna 150 dolarů za hodinu, aby se vyloučil efekt nedostatečné motivace.

Výsledek: úkoly s AI trvaly o 19 % déle než bez AI. To samo o sobě by stačilo. Ale percepční propast je ještě důležitější. Vývojáři před studií odhadovali zrychlení 24 %. Po ní, přestože byli fakticky pomalejší, stále věřili, že zrychlili o 20 %. Přibližně čtyřicetibodový rozdíl mezi subjektivním dojmem a naměřenou realitou. A 69 % z nich přesto po skončení studie u AI nástrojů zůstalo.

METR se pokusil studii zopakovat na podzim 2025 s větším vzorkem a novějšími modely. Nepovedlo se. Příliš mnoho vývojářů odmítlo pracovat v kontrolní skupině bez AI. Odměnu museli snížit ze 150 na 50 dolarů za hodinu, což zkreslilo vzorek. METR sám říká, že novější data považuje za nespolehlivá.

Studie má ale důležitá omezení. Měřila zkušené vývojáře v jejich vlastních, zralých repozitářích. Prostředí, kde je člověk přirozeně rychlý a prostor pro AI zrychlení malý. U greenfield projektů, neznámých codebase nebo rutinního boilerplate může rovnice vypadat jinak. Pozdější modely pravděpodobně pomáhají víc než ty z jara 2025. Ale nikdo to zatím rigorózně nezměřil a firemní tvrzení o 55% zrychlení by měla zůstat v kategorii marketingu, dokud neexistuje nezávislá replikace.

Jak vypadá vibe-coded kód zevnitř

Kvalitativní data se shodují napříč třemi nezávislými zdroji, i když žádný z nich není peer-reviewed akademická práce. Jde o observační analýzy, které indikují trend.

GitClear ve své firemní analýze zpracoval 211 milionů změněných řádků kódu z let 2020–2024, z privátních i velkých open-source repozitářů. Refaktorovaný kód (řádky přesunuté a reorganizované) spadl z asi 25 % všech změn v roce 2021 pod 10 % v roce 2024. Copy-paste kód naopak vyrostl z 8,3 % na 12,3 % a poprvé v historii datasetu překonal refaktoring. Duplicitní bloky pěti a více řádků narostly zhruba osminásobně oproti roku 2022. Krátkodobý churn, tedy kód přepsaný do dvou týdnů po napsání, se téměř zdvojnásobil. Korelace mezi adopcí Copilotu a kódovým churnem vyšla 0,98, což je silná indikace, ne důkaz kauzality.

CodeRabbit ve svém firemním reportu z prosince 2025 analyzoval 470 reálných pull requestů na GitHubu (320 AI-coauthored, 150 čistě lidských). AI pull requesty měly podle reportu 1,7× více problémů celkem a 2,74× více bezpečnostních zranitelností. CodeRabbit je firma prodávající AI-review nástroj, takže má přímý komerční zájem na tom, aby problém existoval. Čísla ale uvádí s transparentní metodologií a jako datový bod mají váhu, i když nejde o nezávislý výzkum.

Akademický základ položila studie ze Stanfordu (Perry, Srivastava, Kumar, Boneh; prezentováno na ACM CCS 2023): 47 účastníků, pět bezpečnostně citlivých úloh. Účastníci s přístupem k AI napsali nezabezpečený kód častěji ve čtyřech z pěti úloh, a zároveň si byli jistější, že je jejich kód bezpečný. Kombinace horší kvality a vyšší sebedůvěry je vzorec, který se od té doby opakovaně potvrzuje.

Selhání, která vytvořila vzorec

Replit v červenci 2025 předvedl nejcitovanější případ. Jason Lemkin, zakladatel SaaStr, devátý den vibe-coding experimentu zjistil, že Replit Agent smazal jeho produkční databázi. Záznamy 1 206 manažerů a 1 196 firem. Během explicitního code freeze. Agent pak vygeneroval falešné uživatele, aby zakryl škodu, a tvrdil, že rollback není možný. CEO Replitu Amjad Masad reagoval veřejně: smazání produkčních dat agentem je nepřijatelné a nikdy by nemělo být možné. Replit do 48 hodin nasadil automatické oddělení vývojové a produkční databáze.

Lovable měl problém jiného druhu. Podle investigace The Next Web a bezpečnostních výzkumníků se při skenování 1 645 showcase aplikací na platformě ukázalo, že 170 z nich (přes 10 %) leakuje osobní data přes 303 zranitelných endpointů, a to kvůli chybějícím Row-Level Security pravidlům v Supabase. Asi 70 % Lovable aplikací mělo RLS vypnuté úplně. V únoru 2026 výzkumník Taimur Khan identifikoval v jedné Lovable-showcase aplikaci 16 zranitelností (šest kritických) a exponovaná data 18 697 uživatelů včetně studentských účtů z UC Berkeley a UC Davis. Lovable HackerOne report uzavřel bez vyjádření. Krátce poté uzavřel kolo za 330 milionů dolarů při valuaci 6,6 miliardy.

Bezpečnostní firma Escape Tech v říjnu 2025 proskenovala přes 5 600 vibe-coded aplikací napříč platformami Lovable, Base44, Bolt.new a dalšími. Výsledek podle jejich reportu: přes 2 000 zranitelností, více než 400 exponovaných secrets a 175 případů leaku osobních dat včetně zdravotních záznamů a IBAN.

Tři případy, jeden vzorec. Vibe coding platformy optimalizují na rychlost prvního nasazení. Bezpečnost, izolace dat a autentizace jsou v LLM kontextu obtížně řešitelné problémy. Model generuje funkční kód, ale ne bezpečný kód, a uživatel, který kód nečte, nemá jak rozdíl poznat.

Nový druh supply chain útoku

Specifický bezpečnostní problém vibe codingu pojmenoval Seth Larson z Python Software Foundation v dubnu 2025: „slopsquatting“. LLM při generování kódu doporučují balíčky, které neexistují. Prostě halucinace. Studie Spracklen et al. pro USENIX Security 2025 analyzovala 576 tisíc vzorků kódu z šestnácti LLM a zjistila, že 19,7 % doporučených balíčků neexistuje. Komerční modely halucinují asi 5 % názvů, open-source modely přes 21 %. A 58 % halucinací se opakuje napříč běhy, takže jsou předvídatelné a zneužitelné.

Útočníkovi stačí zaregistrovat halucinovaný název na npm nebo PyPI a čekat. Výzkumník z Lasso Security to demonstroval registrací balíčku huggingface-cli (halucinovaná varianta reálného huggingface_hub[cli]), který za tři měsíce nasbíral přes 30 tisíc stažení a dostal se do oficiální dokumentace Alibaby.

Vibe coding tento vektor zesiluje ze dvou stran. Modely mají tendenci přidávat závislosti, které nejsou nutné: používají knihovny pro úkoly řešitelné standardní knihovnou. A vývojář, který kód nečte, neprojde ani package.json.

Co říká řemeslo

Addy Osmani, engineering lead v Googlu, popsal v prosinci 2024 „70% problém“: neprogramátoři s AI se dostanou k 70 % výsledku překvapivě rychle, ale posledních 30 % se stane cvičením v klesajících výnosech. Přirovnání, které se chytlo: vibe coding bez review je jako elektrikář, který protáhne kabely zdmi a doufá, že to celé bude fungovat. Osmaniho esej Beyond Vibe Coding kodifikuje rozdíl mezi vibe codingem a „AI-assisted engineering“.

Kent Beck, autor Test-Driven Development, přeformuloval pozitivní variantu jako „augmented coding“: vývojář si kódu všímá, kontroluje složitost, píše testy, udržuje pokrytí. V podcastu Pragmatic Engineer demonstroval, jak agent smazal testy, aby „prošly“. To je přesně druh chyby, kterou bez review nikdy neodhalíte.

Zajímavější než individuální kritiky je ale shoda na filozofické rovině. Martin Fowler napsal, že halucinace nejsou bug LLM. Jsou to feature, protože všechno, co LLM produkuje, jsou halucinace, jen některé uznáváme za užitečné. Z toho plyne, že software engineering se musí naučit pracovat s nedeterminismem, s tolerancemi a bezpečnostními marginy. DHH z opačného konce přidal přirovnání: přestat číst kód je jako uklízet pokoj cpáním nepořádku pod postel. V rozhovoru s Lexem Fridmanem popisoval, jak při delegování na AI cítí úbytek vlastních dovedností. V nedávném postu ale přiznává, že agenti pod dohledem zvládají produkční příspěvky. Žádný z těchto hlasů neříká „nepoužívejte AI“. Všichni říkají „čtěte kód“.

Co říká Thoughtworks Radar

Thoughtworks Technology Radar systémově sleduje rizika AI-generovaného kódu od podzimu 2024 a v posledních svazcích publikoval několik relevantních „Hold“ blips.

„Complacency with AI-generated code“ (Hold, od Vol. 31): jak AI coding agenti generují větší sady změn, riziko nekritického přijímání roste. Microsoft Research na knowledge workers ukazuje, že AI-driven sebedůvěra často přichází na úkor kritického myšlení. „AI-accelerated shadow IT“ (Hold, Vol. 32): bez kontroly vede vibe coding k množení neřízených, potenciálně nezabezpečených aplikací, které rozhazují data do nových systémů. „Replacing pair programming with AI“ (Hold, Vol. 31–32): rámovat AI asistenta jako parťáka ignoruje hlavní přínos párového programování, totiž že posiluje tým, ne jen jednotlivce.

A ve Vol. 34 (duben 2026) přibyl nový koncept: „codebase cognitive debt“, tedy rostoucí propast mezi implementací systému a sdíleným pochopením týmu, proč a jak systém funguje. S rostoucí rychlostí změn se ztrácí designový záměr a skryté vazby. Pro vibe coding je to fatální. Technický dluh v klasickém smyslu znamená, že víte o kompromisu a plánujete ho splatit. Kognitivní dluh znamená, že nikdo neví, co systém dělá, protože kód nikdo nepsal a nikdo nečetl.

Ve stejném svazku Thoughtworks posunul Claude Code do kategorie „Adopt“, ale explicitně to podmínil disciplinovanými provozními praktikami a varoval, že zvyšuje riziko complacency.

Junioři, kteří neumí programovat

Microsoft Research a CMU na konferenci CHI 2025 prezentovaly studii na 319 knowledge workers. Ne výhradně vývojářích, ale profesionálech pracujících s AI obecně. Zjištění: kdo víc důvěřuje AI, méně přemýšlí kriticky. Kdo víc věří sám sobě, přemýšlí kriticky víc. AI přesouvá kognitivní zátěž z produkce na verifikaci. Pokud se uživatel obtěžuje verifikovat.

Namanyay Goel to v únoru 2025 formuloval ostřeji: každý junior vývojář, se kterým mluvím, jede Copilot nebo Claude 24/7, kód dodává rychleji než kdy dřív, ale když se zeptám, proč to funguje zrovna takhle — ticho. Průzkum Qodo (vendor survey, 609 vývojářů) kvantifikoval příbuznou asymetrii: junioři (pod dva roky praxe) reportují nejnižší zlepšení kvality díky AI (51,9 %), ale nejvyšší ochotu pustit do produkce nezkontrolovaný AI kód (60,2 %). Senioři mají opačné poměry: 68,2 % zlepšení kvality, jen 25,8 % ochoty nasadit bez review.

Pro český trh, kde agentury a produktové týmy hledají juniorní vývojáře, je to praktická otázka. Pokud junior umí promptovat, ale neumí debugovat, code review AI výstupu se stává odpovědností seniora. A pokud senior sám přestane kód číst, kontrolní smyčka zmizí úplně.

Kdy vibe coding dává smysl a kdy ne

Tři pojmenování, o kterých šla řeč výš, nakonec vymezují i praktické doporučení. Vibe coding v původním smyslu je legitimní pro prototypování, MVP, jednorázové skripty, osobní automatizaci, učení, demo-ware, interní nástroje pro týmy, které je dokážou nahradit, když se rozbijí. Willison to opakovaně hájí: každý si zaslouží možnost automatizovat nudné věci v životě pomocí počítače.

Kde to selhává: produkční systémy s dlouhou životností, regulované domény (EU Cyber Resilience Act, GDPR, zdravotnictví), kódové základny s týmovým vlastnictvím. A kdekoli, kde bezpečnost není nice-to-have, ale tvrdý požadavek. Daniel Stenberg, autor cURL, uzavřel bug bounty program, protože 20 % hlášení tvořil AI slop (validita 5 %). Mitchell Hashimoto zakázal AI-kontribuovaný kód v Ghostty. Open-source maintaineři jsou na přijímacím konci externalizovaných nákladů vibe codingu.

Co s tím dělat v praxi

Thoughtworks ve Vol. 34 doporučuje měřit „collaboration quality with coding agents“: first-pass acceptance rate, iterační cykly na úkol, post-merge rework, selhané buildy, review burden. Jde o metriky procesu. Produktivitu jednotlivce měřit zatím neumíme spolehlivě, jak ukázal METR.

Několik pravidel, která se ustálila: AI-generované pull requesty zacházejte jako s příspěvky od externího kontributora, nikdy jako s důvěryhodným výstupem týmu. Autentizaci, autorizaci a práci s daty reviewujte ručně, bez výjimek. Mutation-testujte AI kód. Thoughtworks to explicitně doporučuje jako „putting coding agents on a leash“. Pinujte závislosti a skenujte je agresivně, slopsquatting je reálný vektor. Oddělte vývojovou a produkční databázi ve výchozím stavu, jak se Replit naučil za cenu klientských dat. A hlavně: dokumentujte záměr, ne jen kód. Kognitivní dluh klesá jen tehdy, když lidé stále píší architektonická rozhodnutí a jejich zdůvodnění, která agenti mohou zdědit.

Karpathyho posun od vibe codingu k agentic engineeringu v únoru 2026 je signál, ne rebranding. Průmysl zjistil, že vibes byly ta snadná část. Engineering je to, co má hodnotu.