sdecoret - stock.adobe.com
Vibe Coding bringt Open Source ins Wanken und birgt Risiken
KI-gestütztes Programmieren verursacht bei Open-Source-Projekten Wartungsrückstände und führt damit zu einer neuen Risikodimension in den Softwarelieferketten.
Open-Source-Software bildet die Grundlage für den Großteil der heute entwickelten kommerziellen Software, und KI macht diese Dynamik noch riskanter.
Der 2026 Open Source Security and Risk Analysis Report (PDF) von Black Duck ergab, dass 98 Prozent der kommerziellen Codebasen Open-Source-Komponenten enthalten, wobei eine durchschnittliche Anwendung auf mehr als 1.100 davon zurückgreift. Eine Studie der Harvard Business School aus dem Jahr 2024 von Hoffmann, Nagle und Zhou schätzte, dass Unternehmen ohne Open Source 3,5-mal mehr für Software ausgeben müssen. Open-Source-Software (OSS) ist ein Abhängigkeitsrisiko, das in jeder Schicht von Produktionssoftware eingebettet ist.
Ein Arbeitspapier vom Januar 2026 argumentiert, dass KI-gestützte Entwicklung diesem Risiko eine neue Dimension hinzufügt. KI verringert das Angebot an gut gewarteten Paketen. Diese neue Risikodimension ist schwerer zu erkennen als ein kompromittiertes Paket.
Das Paper Vibe Coding Kills Open Source wurde am 21. Januar 2026 von den Ökonomen Miklos Koren, Gabor Békés, Julian Hinz und Aaron Lohmann veröffentlicht (arXiv:2601.15494v1). Das Paper ist ein Preprint und wurde noch keiner Begutachtung unterzogen. Es modelliert, was passiert, wenn KI-Agenten anstelle von menschlichen Entwicklern Open-Source-Pakete auswählen und zusammenstellen.
Die zentrale Erkenntnis des Papers ist, dass unter traditionellen OSS-Geschäftsmodellen weit verbreitetes Vibe Coding das OSS-Angebot verringert und das allgemeine Wohl senkt, selbst wenn die Softwareproduktion steigt.
Wie verändert Vibe Coding Open-Source-Software?
Der Begriff Vibe Coding wurde Anfang 2025 vom KI-Forscher Andrej Karpathy geprägt und im selben Jahr vom Collins English Dictionary zum Wort des Jahres gekürt. Er beschreibt einen Arbeitsablauf, bei dem sich die Hauptrolle des Entwicklers vom Schreiben von Code hin zur Steuerung eines KI-Assistenten mittels natürlicher Sprache verlagert. Die KI wählt Pakete aus, schreibt die Implementierung und integriert Abhängigkeiten, oft ohne dass der Nutzer weiß, welche Bibliotheken verwendet wurden.
Die Verbreitung nimmt zu
Bis Oktober 2024 wurde laut der Bilanzpressekonferenz von Alphabet für das dritte Quartal 2024 mehr als ein Viertel des gesamten neuen Codes bei Google von KI generiert und von den Ingenieuren akzeptiert. Anhand von Daten auf Commit-Ebene von 170.000 Entwicklern schätzten Daniotti et al. (2025) – die in der Studie zitiert werden –, dass bis Ende 2024 etwa 29 bis 30 Prozent der Python-Funktionen, die von US-amerikanischen Mitwirkenden auf GitHub verfasst wurden, von KI generiert wurden.
Der Stack Overflow 2025 Developer Survey, der sich auf Antworten von 49.000 Entwicklern aus 177 Ländern stützt, ergab, dass über 80 Prozent der professionellen Entwickler KI-Tools in ihren Arbeitsabläufen nutzen oder nutzen wollen, wobei 51 Prozent dies täglich tun.
Wie OSS-Entwickler verdienen
Die traditionelle OSS-Entwicklung folgt einem dokumentierten Engagement-Zyklus. Ein Entwickler lädt ein Paket herunter, liest die Dokumentation, stößt auf ein Problem, stellt eine Frage in einem öffentlichen Forum und trägt manchmal eine Lösung bei. Diese Aktivität erzeugt die Sichtbarkeit, durch die viele Betreuer private Erträge erzielen, darunter Reputation, Beratungsanfragen aufgrund des Dokumentationsverkehrs und bezahlte Unternehmens-Add-ons.
Der Engagement-Zyklus bricht zusammen
Vibe Coding durchbricht dieses Modell über zwei Kanäle.
Der erste ist ein echter Gewinn. KI senkt die Kosten für die Nutzung und Integration von bestehendem Code, und in der Studie zitierte Feldversuche ergaben, dass sie die Entwicklerproduktivität um 26–56 Prozent steigert.
Der zweite Channel untergräbt die Einnahmen der Maintainer. Die Studie bezeichnet diese Dynamik als „demand-diversion channel“ (Nachfrageumlenkungskanal). Die Downloadzahlen steigen, während das Engagement sinkt.
„Die Nutzung von Open Source nimmt tatsächlich zu, aber die Ebene der menschlichen Interaktion rund um diese Projekte schrumpft“, sagt Shanea Leven, Mitbegründerin und CEO von Empromptu. „Deshalb steigt die Nutzung, während die Engagement-Kennzahlen sinken. Entwickler sind nach wie vor stark auf diese Projekte angewiesen, aber der Weg zwischen dem Entwickler und dem Projekt wird nun durch KI vermittelt.“
Wenn ein KI-Agent den Zugang zu OSS vermittelt, besucht der Nutzer keine Dokumentation, reicht keine Fehlerberichte ein und interagiert nicht mit den Betreuern. Der Traffic auf Dokumentationsseiten und in Q&A-Foren war historisch gesehen der Weg, über den mittelgroße Projekte Unternehmensnutzer erreichten – ein Kanal, der sich verengt, je mehr diese Interaktion durch KI vermittelt wird.
„KI-Tools, die für das Vibe-Coding eingesetzt werden, wissen möglicherweise nichts von neuen Projekten, die auf den Markt gebracht werden, da sie nicht darauf trainiert wurden“, sagt Matt Farina, Head of Portfolio Architecture und Community bei SUSE. „Dies wirkt sich auf deren Markteinführung aus.“
Was passiert, wenn das OSS-Ökosystem schrumpft?
Das Modell der Studie sagt voraus, dass mit der Verbreitung von Vibe Coding die Vielfalt und die durchschnittliche Qualität der geteilten OSS sinken.
Messung der Entkopplung
Tailwind CSS ist das zentrale Beispiel der Studie. Abbildung 2 der Studie vergleicht das npm-Download-Volumen von Tailwind, das bis 2025 stetig anstieg, mit den Stack-Overflow-Fragen mit dem Tag tailwind-css, deren Zahl im gleichen Zeitraum zurückging.
Adam Wathan, der Schöpfer von Tailwind, berichtete in einem GitHub-Kommentar vom Januar 2026, dass der Traffic auf der Dokumentation gegenüber Anfang 2023 um rund 40 Prozent zurückgegangen sei, obwohl Tailwind beliebter denn je sei. Die Einnahmen seien um fast 80 Prozent gesunken. „Derzeit gibt es einfach keinen Zusammenhang zwischen der Vereinfachung der Nutzung von Tailwind und der nachhaltigen Weiterentwicklung des Frameworks“, schrieb Wathan.
Das Signal der Plattform
Der allgemeine Rückgang bei Stack Overflow spiegelt dieselbe Dynamik in großem Maßstab wider. Eine 2024 auf PNAS Nexus von del Rio-Chanona, Laurentsyeva und Wachs veröffentlichte Studie ergab, dass der Zugang zu ChatGPT die Aktivität auf Stack Overflow innerhalb von sechs Monaten um etwa 25 Prozent verursachte.
Nicht jeder dieser Rückgänge ist schädlich. „Ein Rückgang bei Fehlermeldungen und Community-Fragen und Antworten ist nicht immer schlecht für ein Projekt“, sagt Farina. „Wenn KI den Nutzern hilft, mit diesen Situationen umzugehen, kann sie die Belastung für Open-Source-Betreuer verringern.“
Jason Brooks, Senior Manager für Community-Architektur und Infrastruktur bei Red Hat, sieht dieselbe Nuance in seiner eigenen Praxis, obwohl er feststellt, dass das Engagement, das Entdeckungen und Monetarisierung vorantreibt, parallel zum Rauschen abnimmt. „Ich suche oft selbst nach der Dokumentation, um die Funktionen oder Einschränkungen einer Abhängigkeit besser zu verstehen, die mir ein Tool vorgeschlagen hat“, sagte Brooks.
Die Auswirkungen der rückläufigen OSS-Wartung
Die OSS-Wartungskrise bestand bereits vor dem Vibe Coding, doch dieses verschärft sie noch. Mittelgroße und aufstrebende Projekte, die auf engagement-basierte Einnahmen angewiesen sind und keine Unternehmenslizenzen als Rückhalt haben, sind am stärksten gefährdet.
Der Black Duck OSSRA-Bericht 2026 ergab, dass 93 Prozent der untersuchten Anwendungen Open-Source-Komponenten enthielten, an denen in den vorangegangenen zwei Jahren keine neuen Entwicklungsaktivitäten stattfanden. Der Bericht 2023 State of the Software Supply Chain (PDF) von Sonatype ergab, dass fast 20 Prozent der Open-Source-Projekte in Java und JavaScript, die 2022 noch gepflegt wurden, heute nicht mehr gepflegt werden.
Diese wachsende Wartungsschuld schafft echte Sicherheitslücken. Die Apache-Log4j-Sicherheitslücke im Jahr 2021 ermöglichte die Remote-Code-Ausführung auf Unternehmensservern und in der Cloud-Infrastruktur; zwei Jahre nach der Offenlegung waren über 40 Prozent der Downloads immer noch anfällig.
Anfang 2024 wurde eine Hintertür in XZ Utils auf einen Angreifer zurückgeführt, der zwei Jahre lang Vertrauen zu einem alleinigen Contributor aufgebaut hatte, bevor er bösartigen Code einbettete. Die Umfrage von Black Duck ergab, dass 65 Prozent der Unternehmen angaben, im vergangenen Jahr einen Angriff auf die Softwarelieferkette erlebt zu haben.
Der kumulative Effekt
Die Studie modelliert, was bei einer 70-prozentigen Verbreitung von Vibe Coding unter traditionellen Geschäftsmodellen geschieht. In diesem Szenario sinkt die Monetarisierung pro Nutzer für ein typisches OSS-Projekt um 70 Prozent, während Produktivitätsgewinne durch KI nur etwa zwölf Prozent der Entwicklungskosten ausgleichen.
Das Modell der Studie kommt zu dem Ergebnis, dass die Aufrechterhaltung der aktuellen OSS-Bereitstellung entweder erfordert, dass Vibe-Coding-Nutzer mindestens 84 Prozent dessen beitragen, was direkte Nutzer zur Monetarisierung leisten, oder dass 84 Prozent der OSS-Einnahmen aus nutzungsunabhängigen Quellen stammen.
Keine dieser Bedingungen ist auch nur annähernd erfüllt.
Was muss sich ändern, um das OSS-Ökosystem aufrechtzuerhalten?
Die Autoren der Studie stellen klar, dass eine Verlangsamung der KI-Einführung nicht die Lösung ist. Vier strukturelle Maßnahmen gehen auf diese Lücke ein.
1. Umverteilung auf Plattformebene
KI-Programmierwerkzeuge erfassen bereits, welche Pakete sie importieren und wie oft. Ein Umsatzbeteiligungsmodell, bei dem Plattformen Abonnementeinnahmen basierend auf der zuordenbaren Paketnutzung an die Betreuer verteilen, würde die in der Studie identifizierte Monetarisierungslücke verringern. Das Paper bezeichnet dies als „Spotify for Open Source“-Modell. Die Infrastruktur ist in der Telemetrie der KI-Anbieter vorhanden, und die Umsetzung erfordert eher eine Koordination zwischen den Plattformen als neue Technologie.
„Einzelpersonen und Organisationen, die OSS-Projekte monetarisieren möchten, müssen diese neue Welt des Vibe Codings sicherlich in Betracht ziehen“, sagt Scott Kingsley, VP of Engineering bei SmartBear. „Monetarisierungsstrategien müssen sich ändern.“
2. Nutzungsunabhängige Finanzierung
Der 2024 Open Source Software Funding Report von GitHub, der Linux Foundation und der Harvard University schätzt, dass Organisationen jährlich 7,7 Milliarden US-Dollar zu OSS beitragen, wobei die Arbeitsleistung der Mitarbeiter 86 Prozent dieses Betrags ausmacht. Zu den Mechanismen, um dieses Gleichgewicht hin zu direkten finanziellen Beiträgen zu verschieben, gehören GitHub Sponsors, Stiftungszuschüsse und der Open Source Pledge. Dieses Problem bestand bereits vor dem Vibe Coding, ist nun aber dringlicher.
„Wir haben die Frage der Bezahlung von Open-Source-Entwicklern für ihre Beiträge nie wirklich gelöst“, sagt Leven. „Aber jetzt müssen sich ihre Vergütung und ihr Engagement erneut weiterentwickeln.“
3. Interne Governance für KI-generierten Code.
KI-Kodierungs-Tools melden nicht, wenn generierter Code aus einem bestehenden Open-Source-Projekt stammt, gemäß den FossID-Richtlinien zur Lizenzkonformität. Sie können auch veraltete Abhängigkeiten oder solche mit ungepatchten Schwachstellen vorschlagen.
KI kann sowohl Teil der Governance-Lösung als auch Teil des Problems sein. „KI-Tools können bei der Triage von Beiträgen helfen und die Überprüfung unterstützen“, sagt Brooks. „Auf der Seite der Contributor können KI-Tools wohlmeinenden Mitwirkenden helfen, Beiträge zu leisten, die besser zu den Beitragsstandards eines Projekts passen.“
4. Direkte Investitionen in gefährdete Abhängigkeiten
Die am stärksten gefährdeten Projekte sind nicht React oder Kubernetes, sondern Komponenten der mittleren Ebene in den darunterliegenden Abhängigkeitsketten, auf die man sich weitgehend verlässt und die nur minimal besetzt sind. Der Bericht State of Global Open Source 2025 der Linux Foundation ergab, dass 83 Prozent der Unternehmen den Einsatz von OSS als wertvoll für ihren Betrieb erachten, aber nur 29 Prozent haben interne OSS-Betreuer in Vollzeit eingestellt oder benannt.
Ein Aufruf zum Handeln
Koren, Békés, Hinz und Lohmann beschreiben ihre Arbeit als „call to action“ und nicht als Vorhersage eines Zusammenbruchs. Das Open-Source-Ökosystem, so argumentieren sie, habe frühere Umbrüche überstanden, indem es seine technischen und institutionellen Grundlagen angepasst habe. Vibe Coding erfordert dieselbe Art bewusster Neuausrichtung.
„Was benötigt wird“, schreiben sie, „sind Koordination und Wille.“ Für IT-Führungskräfte, die OSS bereits als Risiko in der Lieferkette verwalten, beginnt diese Neuausrichtung mit der Erkenntnis, dass das Risiko nicht mehr auf ein anfälliges Paket beschränkt ist. Es erstreckt sich nun darauf, ob die Projekte, von denen diese Pakete abhängen, weiterhin gepflegt werden.
