În februarie 2025, Andrej Karpathy a postat pe X o expresie care avea să devină cea mai scumpă glumă a industriei software: vibe coding. Descrii ce vrei, lași modelul să livreze, ignori codul. Până în T4 2026, mii de startup-uri care l-au luat în serios plăteau în liniște agenții pentru a reconstrui rezultatul.
Aceasta este o analiză corectă și bazată pe date despre ce livrează de fapt AI coding, unde eșuează și când angajarea unei agenții de web development este încă cea mai inteligentă mișcare. Fără gatekeeping. Fără nostalgie. Doar cifrele și realitatea pe care o vedem în fiecare săptămână.
Pe scurt
- 01 Vibe coding este rapid, ieftin și cu adevărat util pentru prototipuri, demo-uri și instrumente de unică folosință.
- 02 45% din codul generat de AI pică testele de securitate OWASP Top 10 (Veracode 2025). Apărările XSS pică în 86% din cazuri.
- 03 Odată ce numeri reconstrucția, veniturile SEO pierdute și riscul de breach, vibe coding costă ~25.000 € pe 3 ani vs ~14.000 € pentru o agenție. Pare ieftin doar în prima zi.
- 04 Vibe coding nu poate livra deloc proiecte complexe — e-commerce multilingv, platforme LMS, marketplace-uri, ERP-uri și sisteme reglementate necesită o agenție. Întrebarea este doar care.
Ce este vibe coding și de ce a cucerit 2026?
Vibe coding este practica de a construi software prin prompt-uri către un AI și a lansa orice produce el, fără a revizui codul. Termenul a fost inventat pe 2 februarie 2025 de Andrej Karpathy, cofondator OpenAI și fost lider AI la Tesla. Descrierea sa originală: „Există un nou tip de programare pe care îl numesc vibe coding, unde te lași complet în vibe-uri, îmbrățișezi exponențialele și uiți că există cod."
Collins English Dictionary l-a numit Cuvântul Anului 2025. Merriam-Webster l-a adăugat ca slang. Până la mijlocul anului 2026, devenise descrierea implicită pentru oricine construiește software prin voice-prompting în Cursor, Claude Code, Lovable sau Bolt.new fără să deschidă vreodată un fișier.
Distincția importantă, făcută clar de Simon Willison, este că nu toată programarea asistată de AI este vibe coding. Un inginer senior care folosește Claude Code cu revizuire completă, teste și judecată arhitecturală nu face vibe coding. Un fondator care dă prompt în Lovable timp de o oră și deploy-ează rezultatul în producție face.
De ce a cucerit? Pentru că funcționează suficient de bine încât să pară magie, iar instrumentele au devenit cu adevărat bune la finalul lui 2025. Raportul GitHub Octoverse 2025 a numărat peste 20 de milioane de utilizatori Copilot și peste 1 milion de pull request-uri trimise de agentul Copilot într-un singur trimestru. AI coding a trecut de la noutate la standard.
Poți lansa cu adevărat un site de business prin vibe coding?
Da. Îl poți lansa într-o după-amiază. Întrebarea este dacă supraviețuiește contactului cu utilizatorii reali, traficul real și reglementatorii reali.
Site-urile vibe-coded ajung în producție în fiecare zi și unele dintre ele funcționează bine. Cele care funcționează sunt aproape întotdeauna cele unde nu există nimic în joc: un landing page pentru o singură campanie, un portofoliu, un blog personal, o pagină statică de marketing cu interactivitate minimă. Când suprafața este mică, raza de explozie a greșelilor este și ea mică.
Modul de eșec nu este imediat. Un site vibe-coded rareori se prăbușește în prima zi. Sângerează încet. Performanța SEO nu se materializează niciodată pentru că HTML-ul este încărcat și structura semantică este stricată. Formularele scurg date pentru că nimeni nu a verificat validarea. Vulnerabilitățile de securitate stau tăcute luni de zile până când un scanner automat le găsește. Core Web Vitals nu trec niciodată pentru că nimeni nu a profilat bundle-ul.
Am văzut exact această secvență în audit-uri de client. Fondatorul presupune că site-ul este ok pentru că este live. Șase săptămâni mai târziu, traficul nu a sosit și checkout-ul aruncă erori în tăcere. Costul lui „rapid și gratuit" vine la scadență, cu dobândă.
Ce spun datele despre calitatea codului generat de AI?
Cea mai citată descoperire a anului 2025 vine din raportul Veracode GenAI Code Security Report. Veracode a testat peste 100 de modele lingvistice mari pe 80 de task-uri de programare și a găsit că 45% din codul generat de AI a picat testele de securitate OWASP Top 10. Ratele de eșec pe categorii au fost brutale: 86% pentru apărări cross-site scripting, 88% pentru log injection, 72% pentru Java în ansamblu.
Cercetările GitClear 2025 au analizat 211 milioane de linii de cod și au găsit o creștere de 8× a blocurilor duplicate de peste 5 linii după ce asistenții AI au devenit comuni. Duplicarea este contabilul datoriei tehnice: fiecare copy-paste este un bug viitor care trebuie reparat în mai multe locuri.
Imaginea încrederii dezvoltatorilor este și mai grăitoare. Stack Overflow 2025 Developer Survey a chestionat 65.437 de dezvoltatori din 185 de țări. 84% folosesc instrumente AI. Doar 29% au încredere în output. 66% spun că sunt frustrați de codul AI „aproape corect" care pierde mai mult timp de debugging decât economisește. Oamenii care folosesc AI zilnic sunt aceiași oameni care refuză să aibă încredere în el.
Partea bună de productivitate este reală și merită menționată. McKinsey a măsurat că dezvoltatorii care folosesc AI completează task-urile de rutină cu până la 56% mai rapid, cu o creștere de 25–30% a ratei de completare. Nu este nimic nesemnificativ. De aceea fiecare agenție serioasă, inclusiv a noastră, folosește AI zilnic. Viteza este reală. Ce lipsește este judecata.
Ce se strică atunci când un site vibe-coded ajunge la trafic real?
Auditam codebase-uri pentru clienți de mai multe ori pe lună. Tiparele se repetă cu o regularitate aproape comică. Iată trei vignete anonimizate care reflectă ce a găsit Trend Micro și auditul Altersquare pe cinci startup-uri vibe-coded. Detaliile sunt ale noastre.
Landing page-ul Lovable fără Row Level Security
Un fondator SaaS a lansat o pagină de waitlist prin Lovable într-un weekend. Formularul scria într-un tabel Supabase. Bundle-ul de pe client includea cheia service role și nu exista nicio politică Row Level Security pe tabel. Oricine cu o consolă de browser putea citi fiecare email, companie și notă trimise. Scurgerea a stat în producție 41 de zile înainte ca un cercetător de securitate să o semnaleze. Acest tipar oglindește incidentul Moltbook de la începutul lui 2026, unde 1,5 milioane de token-uri API au fost expuse printr-un client Supabase nepăzit.
MVP-ul Bolt care nu putea trece de Core Web Vitals
Un fondator de e-commerce a generat un catalog de produse în Bolt.new. First Contentful Paint a măsurat 4,2 secunde. Interaction to Next Paint a atins 840 de milisecunde pe telefoane Android de gamă medie. Fiecare imagine de produs era un PNG servit la rezoluție maximă. Fără code splitting, fără lazy loading, fără optimizare de imagini. Datele CrUX ale Google au îngropat site-ul în rezultatele de căutare. Noi l-am reconstruit pe un stack reglat manual: INP a scăzut la 148ms și LCP la 1,7s. Conversia s-a triplat în două luni. (Am scris manualul de performanță în Optimizarea Three.js pentru un scor perfect PageSpeed.)
Checkout-ul construit în Cursor fără protecție CSRF
Un fondator a dat prompt în Cursor pentru a construi un checkout Stripe. AI-ul a produs cod funcțional. A și sărit complet peste protecția CSRF pentru că modelul a fost antrenat pe tipare mai simple. Un audit de securitate l-a semnalat înainte să fie furat ceva, dar clientul era la o cerere iscusită distanță de răspundere pentru fraudă financiară. Dezvoltatorul nu auzise niciodată de CSRF pentru că AI-ul nu l-a menționat niciodată.
Aceste tipare nu sunt cazuri marginale. Analiza Stack Overflow a numit 2026 „anul în care coada de salvare a dat pe dinafară". Georgia Tech Vibe Security Radar a urmărit un salt de la 6 CVE-uri legate de aplicații vibe-coded în ianuarie la 35 în martie 2026.
Cât costă angajarea unei agenții de web development în 2026?
Răspunsul onest variază între 800 € și 60.000 €, iar gama nu este fluff de marketing. Reflectă produse cu adevărat diferite.
- Freelancer. 800–3.000 € pentru un site de prezentare simplu. Bun pentru afaceri locale, bugete strânse și proiecte cu complexitate scăzută. Calitatea variază dramatic.
- Agenție mid-market. 3.000–15.000 € pentru un site profesional cu mai multe pagini, design custom, SEO și integrări de bază. Acesta este sweet spot-ul pentru majoritatea IMM-urilor.
- Agenție premium. 15.000–60.000 € pentru inginerie custom, arhitectură axată pe performanță, munca completă de brand, e-commerce, aplicații custom și suport continuu. Aici construiesc afacerile care depind de site pentru a genera venituri.
Am detaliat asta în Cele mai bune metode pentru a obține o ofertă corectă pentru site-ul tău. Observația cheie: a compara prețurile de pe etichetă este abordarea greșită. Abordarea corectă este costul total de proprietate, iar asta este secțiunea următoare.
Vibe coding vs angajarea unei agenții: costul total pe 3 ani
Prețul de pe etichetă este o capcană. Ce contează cu adevărat este ce cheltui pe durata de viață a site-ului: construcție, hosting, mentenanță, reparații de bug-uri, venituri pierdute dintr-un site care nu rankează și nu convertește, muncă de salvare, recuperare după breach-uri și reconstrucția inevitabilă. Iată matematica onestă pentru trei căi, pentru un site tipic de business mic-spre-mediu, pe 36 de luni.
| Calea | Luna 0 | Anul 1 | Anul 2 | Anul 3 | Total 3 ani |
|---|---|---|---|---|---|
| Vibe coding Lovable / Bolt / Cursor, nesupervizat | 600 € | +7.500 € ascunse | +14.000 € reconstrucție | 3.000 € | ~25.100 € |
| Dezvoltator freelance Template + ceva custom | 2.500 € | 1.500 € | 1.500 € | 1.500 € | ~7.000 € |
| Construcție agenție Inginerit, SEO, GDPR | 8.000 € | 2.000 € | 2.000 € | 2.000 € | ~14.000 € |
Costurile ascunse ale vibe coding nu sunt teoretice. Numai în Anul 1, un site real de business sângerează aproximativ 2.500 € în reparații de bug-uri pe care un dezvoltator trebuie să le facă (fondatorul nu poate), 3.000 € în venituri pierdute dintr-un site care nu rankează pentru că fundamentele SEO sunt stricate și 2.000 € în timp irosit debugând output AI aproape corect. Adaugă abonamentele la instrumente și totalul din Anul 1 al vibe coding este deja 8.100 € înainte ca ceva serios să se strice.
În Anul 2 aterizează factura reală. O reconstrucție de salvare făcută de un inginer calificat costă 10.000 – 12.000 €. Un incident de securitate — o cheie Supabase expusă, o plângere GDPR, un tabel de utilizatori exfiltrat — adaugă încă 2.000 – 4.000 € în curățenie, revizuire legală și notificarea utilizatorilor. Cifrele exacte variază. Direcția nu.
Trei lucruri sar în ochi, și niciunul nu favorizează vibe coding. Primul, calea freelancer este cea mai ieftină dacă dezvoltatorul este competent, ceea ce este o aruncare de monedă. Al doilea, calea vibe coding este iluzia. Prețul de 0 € evaporează în momentul în care numeri ce te costă de fapt site-ul: venituri pierdute dintr-un site care nu rankează, bug-uri pe care un om trebuie să le repare, reconstrucția când stratul de date se strică, răspunsul la breach, expunerea GDPR. Pe un site real de business, vibe coding ajunge la aproximativ 25.000 € pe trei ani — cu aproximativ 80% mai mult decât calea agenției. Raportarea industrială Tech Startups a estimat costul global de curățenie pentru software vibe-coded la 400 milioane – 4 miliarde de dolari până la finalul lui 2026. Cineva plătește factura aceea, și nu este furnizorul de AI.
Al treilea, și cel mai important: vibe coding nu poate livra deloc proiecte complexe. E-commerce multilingv cu checkout-uri custom, platforme LMS cu fluxuri de înscriere și plată, marketplace-uri cu logică cu două părți, ERP-uri custom, fintech reglementat, software intern conectat la un backend Dolibarr sau SAP — niciunul dintre acestea nu se poate obține prin prompt-uri către un model. Arhitectura este prea densă, suprafața de eșec prea largă, punctele de integrare prea specifice. Pentru orice dincolo de un site mic cu un singur scop, întrebarea nu este „vibe coding sau agenție." Întrebarea este doar „care agenție."
Ai deja ceva vibe-coded care are nevoie de salvare?
Auditm, securizăm și reconstruim codebase-uri generate de AI în sisteme de producție. Sau îl construim corect din prima.
Când are sens vibe coding de fapt?
Aici majoritatea articolelor de blog ale agențiilor își pierd credibilitatea. Noi nu. Există un set real de proiecte pentru care vibe coding este răspunsul corect, iar plata unei agenții este prea mult.
Folosește vibe coding pentru instrumente interne pe care le vor folosi trei oameni, proiecte de hackathon pe care plănuiești să le arunci, demo-uri pentru investitori care trebuie să pară vii, landing page-uri pentru campanii de o zi, validare rapidă de concept, portofolii personale și prototipare rapidă în fazele timpurii de discovery de produs. În toate aceste cazuri, profilul de risc este scăzut, durata de viață este scurtă, iar viteza este singura metrică care contează.
Folosim vibe coding și noi, în fiecare săptămână, exact pentru aceste cazuri de utilizare. O agenție care îți spune că AI coding este inutil își protejează marja, nu interesele tale. Întrebarea nu este niciodată „AI sau nu." Întrebarea este „la ce miză."
O limită merită numită direct: vibe coding are un plafon dur de complexitate. E-commerce multilingv cu checkout-uri custom, platforme LMS cu fluxuri de înscriere și plată, marketplace-uri cu logică cu două părți, ERP-uri custom, fintech reglementat, orice integrare serioasă cu API-uri terțe — aceste proiecte nu pot fi livrate prin prompt-uri către un model, indiferent de câte token-uri arzi. Arhitectura este prea interconectată, cazurile marginale prea multe, modurile de eșec prea silențioase. Fiecare încercare pe care am văzut-o de a vibe-coda o aplicație reală s-a lovit de același zid: un prototip care demonstrează frumos și se prăbușește în momentul în care un al doilea utilizator se loghează. Pentru orice dincolo de cel mai mic site cu scop unic, vibe coding nu este o opțiune mai ieftină. Nu este o opțiune deloc.
Când ar trebui să angajezi o agenție în schimb?
Când site-ul trebuie să își câștige pâinea. Angajează o agenție când site-ul tău este modul principal prin care clienții te găsesc, când gestionează plăți sau date personale, când brand-ul tău depinde de o percepție premium, când plănuiești să îl rulezi ani întregi sau când nu ai background-ul tehnic pentru a audita singur codul. Dacă nu poți spune dacă AI-ul te minte, ai nevoie de cineva care poate.
Pentru a concretiza, punctează proiectul pe cele șase dimensiuni de mai jos. Fiecare primește între 1 și 5. Adună totalul și verifică zona.
6–12 puncte: vibe coding este ok. 13–20 puncte: zona hibrid, adică muncă asistată de AI sub revizuire profesională. 21 de puncte sau mai mult: angajează o agenție. Scoring-ul este deliberat conservator. Un singur „5" la conformitate ar trebui să anuleze aproape orice altceva pentru că amenzile GDPR nu îți cunosc bugetul.
Vibe code
- ✓ Prototipuri, hackathon-uri și demo-uri de concept de unică folosință
- ✓ Instrumente interne folosite de o echipă mică, de încredere
- ✓ Demo-uri pentru investitori și MVP-uri de validare
- ✓ Portofolii personale și pagini pentru campanii de o zi
- ✓ Draft de copy, generare de fixture-uri pentru teste, schelet de idei
Angajează un profesionist
- ✗ Checkout-uri și orice gestionează bani
- ✗ Site-uri care colectează date personale sau reglementate GDPR
- ✗ Site-uri de brand pe termen lung pe care le vei rula ani întregi
- ✗ Lansări critice pentru SEO care depind de trafic organic
- ✗ Orice cu expunere de conformitate (PCI, HIPAA, ANSPDCP)
Economia de salvare: ce reparăm când site-urile vibe-coded ajung pe biroul nostru
Există o linie nouă pe facturile agențiilor în 2026: munca de salvare. Tech Startups a numit-o „iluzia vibe coding" și a estimat că aproximativ 8.000 din cele 10.000 de startup-uri care au construit pe platforme AI-first în 2025 au acum nevoie de o reconstrucție parțială sau totală. Coada este reală și crește.
Munca are aproape întotdeauna aceeași formă. Primim un codebase funcțional dar fragil. Îl auditm împotriva OWASP Top 10, a ghidurilor WCAG de accesibilitate, a Core Web Vitals și a scopului real de conformitate al clientului. Găsim scurgerile silențioase, cheile expuse, politicile RLS lipsă, HTML-ul semantic rupt, bombele CLS, bundle-urile neoptimizate. Apoi reconstruim părțile portante pe o arhitectură sănătoasă. Front-end-ul supraviețuiește de obicei. Stratul de date de obicei nu.
O salvare tipică costă între 4.000 și 12.000 €. Incidentele critice de securitate pot împinge prețul mai sus. Fondatorii care ne sună rareori sunt supărați pe AI. Sunt supărați pe copy-ul de marketing care le-a spus că AI-ul era suficient.
Este software-ul vibe-coded conform GDPR în România și UE?
Aproape niciodată, iar acesta este unghiul pe care majoritatea scrierilor în limba engleză despre vibe coding îl ratează complet. Sub GDPR și corpul local de aplicare ANSPDCP, orice afacere care procesează date personale ale rezidenților UE este responsabilă pentru măsurile tehnice și organizatorice care protejează acele date. Legea nu îi pasă dacă un om sau un AI a scris codul.
Tiparele de eșec pe care le vedem în construcțiile vibe-coded sunt exact tiparele care declanșează amenzi GDPR. Bannere de cookie-uri halucinate care pretind că s-a colectat consimțământ când nu s-a colectat. Proiecte Supabase și Firebase fără Row Level Security, expunând date personale prin query-uri client-side. Înregistrări lipsă ale Activităților de Procesare. Niciun Data Protection Impact Assessment pentru funcționalități cu risc ridicat. Formulare care trimit date personale către analytics terțe fără un temei legal. Chei API client-side care permit oricui să exfiltreze întregul tabel de utilizatori.
CNIL în Franța și ANSPDCP în România au emis amenzi de mii de euro pentru exact aceste configurații. Un asistent AI nu îți cunoaște temeiul legal. Nu îți cunoaște programul de retenție. Nu știe ce este un DPO. Un profesionist știe. Acesta nu este un risc abstract. Este o linie de factură care așteaptă să aterizeze pe afacerea ta.
Modelul hibrid: cum folosesc echipele inteligente AI și tot angajează un profesionist
Tiparul câștigător în 2026 nu este nici „vibe coding pur", nici „AI-ul este periculos, evită-l". Este modelul hibrid și arată așa: un inginer sau o agenție care folosește AI agresiv ca pârghie, sub revizuire constantă, într-un proces real de dezvoltare.
În practică, asta înseamnă că AI-ul construiește schelet pentru componente, scrie prime drafturi, generează teste și se ocupă de boilerplate la o viteză de 3x. Un om revizuiește fiecare piesă pentru securitate, SEO, accesibilitate și potrivire arhitecturală. Un om decide ce se lansează. Un om își asumă rezultatul. După cum am argumentat în AI în dezvoltarea web: unealta, nu înlocuitorul, așa operează acum fiecare agenție serioasă, inclusiv a noastră.
Gartner estimează că până în 2028, 90% dintre inginerii software enterprise vor folosi asistenți AI, iar până în 2030 AI-ul va automatiza 70% din munca de programare de rutină. Plafonul nu este AI-ul care înlocuiește inginerii. Plafonul este inginerii cu AI care produc mai mult decât inginerii fără AI, cu marje enorme. Vibe coding este scurtătura. Modelul hibrid este strategia.
Întrebări frecvente
Ce este vibe coding și cine a inventat termenul?
Vibe coding este practica de a construi software prin prompt-uri către un AI și a lansa orice produce el, fără a revizui codul. Termenul a fost inventat de Andrej Karpathy, cofondator OpenAI și fost lider AI la Tesla, pe 2 februarie 2025. Collins English Dictionary l-a numit Cuvântul Anului 2025.
Este codul generat de AI sigur pentru producție în 2026?
Nu fără revizuire umană. Veracode a testat peste 100 de modele lingvistice mari pe 80 de task-uri de programare și a găsit că 45% din codul generat de AI a picat testele OWASP Top 10. Apărările XSS au picat 86% din timp. Codul AI este utilizabil doar după ce un inginer îl securizează.
Este vibe coding cu adevărat mai ieftin decât o agenție web?
Nu. Pare mai ieftin doar în prima zi. Odată ce numeri costurile ascunse — reparații de bug-uri, venituri pierdute dintr-un site care nu rankează, reconstrucția de salvare, răspunsul la breach-uri, expunerea GDPR — un site de business vibe-coded ajunge la aproximativ 25.000 € pe trei ani. Un site construit de o agenție costă în medie 14.000 €. Calea agenției este cu aproximativ 40% mai ieftină, produce un activ mai bun și este singura opțiune viabilă pentru orice proiect de complexitate reală.
Pot Lovable, Bolt sau Cursor să înlocuiască o agenție de web development?
Pentru prototipuri, instrumente interne și demo-uri de unică folosință, da. Pentru site-uri de business de producție care gestionează trafic, plăți sau date ale utilizatorilor, nu. Aceste instrumente accelerează ingineria, nu o înlocuiesc. O agenție oferă arhitectura, revizuirea de securitate, ingineria SEO și munca de brand care determină dacă site-ul chiar generează venituri.
Care sunt cele mai mari riscuri de securitate ale site-urilor construite cu AI?
Cele mai frecvente eșecuri sunt cheile API expuse pe client-side, lipsa Row Level Security pe Supabase sau Firebase, protecția CSRF omisă pe formulare, secrete hardcodate și fluxuri de autentificare defecte. Cercetările Wiz și Trend Micro au găsit că aproximativ 10% din aplicațiile Lovable deploy-uite public aveau vulnerabilități critice.
Când are sens vibe coding pentru o afacere?
Când mizele sunt mici și durata de viață este scurtă. Dashboard-uri interne, demo-uri pentru investitori, landing page-uri pentru campanii de o zi, validare rapidă de concept și portofolii personale sunt teritoriu legitim pentru vibe coding. Orice gestionează bani, date personale, percepție de brand pe termen lung sau trafic SEO nu ar trebui vibe-coded.
Este software-ul vibe-coded conform GDPR?
Rareori. Constructorii AI halucinează bannere de cookie-uri, ratează înregistrările DPA, configurează greșit permisiunile de bază de date și scurg date personale prin endpoint-uri nesecurizate. În România și UE, ANSPDCP și alte autorități de protecție a datelor au amendat afaceri pentru exact aceste tipare. Conformitatea este o disciplină de inginerie, nu o bifă pe care un LLM o poate intui.
Va mai merita angajarea unei agenții web în 2027?
Da, și probabil mai mult ca oricând. Gartner estimează că până în 2028, 90% din inginerii enterprise vor lucra cu asistenți AI. Agențiile care contează în 2027 sunt cele care folosesc AI ca pârghie, nu ca înlocuitor. Judecata, arhitectura, securitatea, brand-ul și responsabilitatea rămân muncă umană.
Construim. Salvăm. Securizăm.
Fie că pornești de la zero sau descâlcești o construcție vibe-coded care a încetat să funcționeze, inginerim site-uri care rankează, convertesc și supraviețuiesc traficului real.
