Vorher-Nachher-Darstellung eines Vibe Code Cleanups

Vibe Code Cleanup: Was ein Developer mit deinem AI-Code macht

10 Min. Lesezeit vibe-coding

Du hoerst den Begriff "Vibe Code Cleanup" und fragst dich: Was genau passiert da eigentlich? Was macht ein Entwickler mit dem Code, den eine AI geschrieben hat? Und lohnt sich das — oder solltest du deine App lieber von Grund auf neu bauen lassen?

Dieser Artikel gibt dir einen ehrlichen Blick hinter die Kulissen. Kein Marketing, kein Fachjargon. Nur eine sachliche Erklaerung, was ein Cleanup beinhaltet, wie er ablaeuft und wann er die richtige Entscheidung ist.

Was ist ein Vibe Code Cleanup?

Vibe Code Cleanup bezeichnet die professionelle Ueberarbeitung von AI-generiertem Quellcode. Der Begriff hat sich 2025 etabliert, als immer mehr Menschen mit Tools wie Lovable, Bolt, Cursor oder v0 Apps gebaut haben — und dann feststellten, dass der Code zwar funktioniert, aber nicht sicher, nicht wartbar und nicht production-ready ist.

Ein Cleanup ist kein Neubau. Es ist gezieltes Aufraeumen: Sicherheitsluecken schliessen, fragile Stellen stabilisieren, toten Code entfernen, Struktur schaffen. Das Ziel ist eine App, die du guten Gewissens live schalten kannst.

Wie AI-generierter Code typischerweise aussieht

Bevor du verstehst, was ein Cleanup macht, hilft es zu verstehen, was er vorfindet. AI-generierter Code hat ein paar wiederkehrende Eigenschaften — und keine davon ist ein Vorwurf an dich oder an das Tool. Es liegt in der Natur der Sache.

Funktioniert, aber fragil

Die App tut, was sie soll. Der Login funktioniert, die Daten werden gespeichert, die Seiten laden. Aber unter der Oberflaeche ist vieles mit heisser Nadel gestrickt. Eine kleine Aenderung an einer Stelle kann etwas an einer anderen Stelle kaputt machen — weil der Code keine klare Trennung von Zustaendigkeiten hat.

Das ist kein Zeichen von schlechter Arbeit. AI-Tools optimieren auf Geschwindigkeit und Ergebnis, nicht auf Architektur. Fuer einen Prototyp ist das genau richtig. Fuer ein Produkt nicht.

Sicherheit als Nachgedanke

45 % des AI-generierten Codes enthaelt Sicherheitsluecken — das zeigen aktuelle Studien. In der Praxis bedeutet das: Datenbank-Tabellen ohne Zugriffsschutz, API-Endpunkte die jeder aufrufen kann, API-Keys die im Quellcode stehen statt in geschuetzten Umgebungsvariablen.

Die AI baut, was du verlangst. Aber sie denkt nicht mit, was ein Angreifer verlangen koennte.

Duplikate und toter Code

AI-Tools generieren Code fuer den aktuellen Prompt. Wenn du im Laufe der Entwicklung eine Funktion dreimal umformulierst, liegen danach oft drei Versionen im Code — zwei davon ungenutzt. Dazu kommen kopierte Code-Bloecke, die fast identisch sind, aber an verschiedenen Stellen leben.

Das macht den Code schwer lesbar, schwer wartbar und fehleranfaellig. Wenn du einen Bug in einem kopierten Block fixst, existiert er in den anderen Kopien weiter.

Kein Plan fuer Fehler

Was passiert, wenn die Datenbank nicht erreichbar ist? Wenn ein Nutzer ein Formular leer abschickt? Wenn die API eines Drittanbieters nicht antwortet? AI-generierter Code behandelt den Happy Path — den geraden Weg, auf dem alles funktioniert. Fuer alles andere gibt es meistens keine Strategie. Keine Fehlermeldung, keinen Fallback, keine Behandlung.

Echte Nutzer gehen selten den geraden Weg.

Was bei einem Cleanup konkret passiert

Ein professioneller Vibe Code Cleanup folgt einem systematischen Ablauf. Nicht jede App braucht jeden Schritt — aber die Reihenfolge ist immer dieselbe.

Schritt 1: Code-Review und Security-Audit

Alles beginnt damit, den Code zu lesen und zu verstehen. Nicht nur ueberfliegen — wirklich lesen. Was hat die AI gebaut? Welche Architektur-Entscheidungen wurden getroffen? Wo sind die kritischen Stellen?

Parallel dazu pruefe ich die Sicherheit systematisch:

  • Authentifizierung: Funktioniert der Login korrekt? Sind Sessions sicher?
  • Autorisierung: Kann Nutzer A auf Daten von Nutzer B zugreifen?
  • Datenbank: Sind Supabase RLS-Policies aktiv und korrekt?
  • API-Endpunkte: Sind sie von aussen geschuetzt?
  • Secrets: Liegen API-Keys in Umgebungsvariablen oder im Quellcode?
  • DSGVO-Grundlagen: Wo werden Daten gespeichert? Gibt es ein Loeschkonzept?

Das Ergebnis ist ein schriftlicher Bericht. Jedes Problem priorisiert: Was ist kritisch und muss sofort behoben werden? Was ist wichtig, hat aber keine unmittelbare Gefahr? Was ist wuenschenswert, kann aber warten?

Dieser Bericht ist die Grundlage fuer alles Weitere. Und er gehoert dir — egal ob du den Cleanup bei mir machen laesst oder woanders.

Schritt 2: Security-Fixes

Die kritischen Sicherheitsluecken werden zuerst geschlossen. Das sind die Dinge, die deine Nutzer direkt gefaehrden:

  • Supabase Row Level Security korrekt konfigurieren
  • API-Endpunkte absichern
  • Secrets aus dem Code in Umgebungsvariablen verschieben
  • Security-Headers setzen (Content-Security-Policy, X-Frame-Options, HSTS)
  • CSRF-Schutz implementieren

Das klingt technisch — und das ist es auch. Aber die Auswirkung ist einfach: Danach kann niemand mehr von aussen auf Daten zugreifen, die nicht fuer ihn bestimmt sind.

Schritt 3: Refactoring der kritischen Bereiche

Refactoring bedeutet: Den Code umstrukturieren, ohne sein Verhalten zu aendern. Nicht alles wird angefasst — nur die Stellen, die fragil, dupliziert oder unverstaendlich sind.

Konkret:

  • Duplikate zusammenfuehren. Wenn dieselbe Logik an drei Stellen lebt, wird sie an eine Stelle verschoben und von dort aus verwendet.
  • Toten Code entfernen. Alles, was nicht mehr genutzt wird, fliegt raus. Weniger Code bedeutet weniger Fehlerquellen.
  • Zustaendigkeiten trennen. Datenbank-Logik, Business-Logik und UI werden sauber getrennt. Damit eine Aenderung an einer Stelle nicht die ganze App destabilisiert.
  • Benennung verbessern. AI-generierte Variablen- und Funktionsnamen sind oft generisch (data1, handleClick2). Klare Namen machen den Code lesbar — fuer dich und fuer jeden Entwickler, der nach mir kommt.

Schritt 4: Error-Handling aufbauen

Fuer die wichtigsten Fehlerfaelle wird eine Strategie implementiert:

  • Formular-Validierung (bevor Daten an die Datenbank gehen)
  • API-Fehler abfangen und dem Nutzer sinnvoll kommunizieren
  • Ladezeiten und Timeouts behandeln
  • Fallbacks fuer den Fall, dass externe Dienste nicht erreichbar sind

Das Ziel ist nicht, jeden denkbaren Fehler abzufangen. Das Ziel ist, dass deine App bei den haeufigsten Problemen nicht einfach eine weisse Seite zeigt oder still abstuerzt.

Schritt 5: Deployment-Setup

Wenn der Code steht, kommt die Infrastruktur:

  • Hosting konfigurieren (Vercel, Netlify oder eigener Server)
  • Eigene Domain mit SSL einrichten
  • CI/CD-Pipeline aufsetzen (automatisches Deployment bei Code-Aenderungen via GitHub)
  • Environment Variables sicher hinterlegen
  • Error-Tracking einrichten (z.B. Sentry)
  • Basis-Monitoring aktivieren

Danach ist deine App erreichbar, abgesichert und du bekommst mit, wenn etwas schieflaeuft.

Ein typisches Vorher/Nachher

Um das Ganze greifbar zu machen, hier ein anonymisiertes Beispiel, das typisch ist fuer viele Vibe-Coding-Projekte.

Vorher: Lovable-App, 3 Wochen alt

  • React/TypeScript Frontend, Supabase Backend
  • Nutzer-Registrierung und Login funktionieren
  • 5 Hauptseiten, Datenbank mit 8 Tabellen
  • App laeuft auf lovable.app-Subdomain

Probleme im Audit:

  • 3 von 8 Supabase-Tabellen ohne RLS — Nutzerdaten frei lesbar
  • Stripe API-Key im Quellcode (oeffentliches GitHub-Repo)
  • Keine Security-Headers
  • 1.200 Zeilen toter Code (alte Versionen von Komponenten)
  • Fehlerbehandlung: keine. Bei jedem Problem weisser Bildschirm
  • Keine Datenschutzerklaerung, kein Loeschkonzept

Nachher: Gleiche App, 4 Tage Cleanup

  • Alle Tabellen mit korrekten RLS-Policies
  • Stripe-Key in Environment Variables, Repo auf privat
  • Security-Headers gesetzt
  • 1.200 Zeilen weniger Code, saubere Projektstruktur
  • Fehlermeldungen fuer die 10 haeufigsten Szenarien
  • App auf eigener Domain mit SSL, Sentry-Monitoring aktiv
  • DSGVO-Grundlagen technisch umgesetzt

Ergebnis: Dieselbe App. Gleiches Feature-Set. Aber sicher, wartbar und bereit fuer echte Nutzer.

Was ein Cleanup typischerweise kostet

Transparenz schafft Vertrauen — deshalb hier eine ehrliche Einordnung.

Ein Cleanup ist kein Festpreisprodukt, weil jede App anders ist. Eine einfache App mit drei Seiten und einer Datenbank-Tabelle ist in zwei Tagen fertig. Eine komplexere App mit Payment-Integration, mehreren Nutzerrollen und dutzenden API-Endpunkten braucht mehr.

Grobe Orientierung:

  • Security-Audit allein: 1–2 Tage. Du bekommst den Bericht und entscheidest selbst, was du damit machst.
  • Cleanup (Audit + Fixes + Refactoring): 3–5 Tage. Die haeufigste Variante.
  • Cleanup + Deployment: 4–7 Tage. Alles inklusive bis zum Go-Live.

Die genaue Einschaetzung gibt es nach dem Erstgespraech — kostenlos und unverbindlich. Ich schaue mir deine App an, nenne dir einen realistischen Rahmen und du entscheidest.

Keine versteckten Kosten, keine Ueberraschungen. Und wenn der Aufwand den Nutzen uebersteigt, sage ich dir das.

Wann sich ein Cleanup lohnt — und wann ein Neubau

Nicht jede App sollte aufgeraeumt werden. Manchmal ist ein Neubau die bessere und sogar guenstigere Option. Hier eine ehrliche Orientierung.

Ein Cleanup lohnt sich wenn:

  • Die App grundsaetzlich funktioniert und die Kernlogik stimmt
  • Das Feature-Set klar ist und sich nicht mehr fundamental aendert
  • Der Code zwar unsauber, aber nicht komplett unverstaendlich ist
  • Du schnell live gehen willst und keine Zeit fuer einen Neubau hast
  • Die App ueberschaubar ist (bis ca. 15–20 Hauptkomponenten)

Ein Neubau ist sinnvoller wenn:

  • Die Architektur grundlegend falsch ist (z.B. alles in einer einzigen Datei)
  • Der Code so verworren ist, dass jede Aenderung drei neue Bugs erzeugt
  • Du ohnehin groessere Aenderungen am Feature-Set planst
  • Die App gewachsen ist und der urspruengliche Ansatz nicht mehr traegt
  • Ein Cleanup laenger dauern wuerde als ein sauberer Neubau

Im Erstgespraech sage ich dir ehrlich, welcher Weg fuer deine App der richtige ist. Auch wenn das bedeutet, dass ich dir einen Neubau empfehle statt den Cleanup, der schneller beauftragt waere. Langfristig ist die ehrliche Antwort immer die bessere.

Wenn ein Neubau sinnvoll ist, kann ich deine App auf einer sauberen Architektur von Grund auf entwickeln — mit ueber 12 Jahren Erfahrung in Web-App-Entwicklung.

Der naechste Schritt

Du musst nicht alles verstehen, was in diesem Artikel steht. Du musst nur wissen: Es gibt einen klaren Weg von "meine AI-App funktioniert irgendwie" zu "meine App ist sicher und bereit fuer echte Nutzer".

Und dieser Weg beginnt mit einem Gespraech.

Schick mir den Link zu deiner App oder deinem GitHub-Repo. Ich schaue es mir an, sage dir ehrlich wo du stehst und was noetig ist. 30 Minuten, kostenlos, ohne Verpflichtung.

Erstgespraech vereinbaren

Du brauchst Hilfe mit deiner AI-gebauten App?

Ich prüfe deinen AI-generierten Code auf Sicherheitslücken, räume auf und bringe deine App sauber in Produktion. Kostenlose Ersteinschätzung im 30-Minuten-Gespräch.

Mehr erfahren
PS

Philipp Seuss

Über 12 Jahre Berufserfahrung an der Schnittstelle zwischen Technologie, Daten und Marketing. Ausgebildeter Fachinformatiker für Anwendungsentwicklung und autodidaktisch tief in Web-Entwicklung, AdTech und Data Engineering gewachsen.

Mehr über Philipp

Verwandte Artikel

Visualisierung von Sicherheitslücken in AI-generiertem Code
9 Min.

Vibe Coding Security: Warum 45 % des AI-generierten Codes unsicher ist

Studien zeigen: Fast die Hälfte des AI-generierten Codes enthält Sicherheitslücken. Was das für deine Lovable-, Bolt- oder Cursor-App bedeutet — und was du tun kannst.

vibe-coding Weiterlesen
Der Weg vom Lovable-Prototyp zur produktionsreifen App
11 Min.

Von Lovable-Prototyp zur fertigen App: Was du wirklich brauchst

Deine AI-gebaute App funktioniert. Aber zwischen Prototyp und Production liegen Security, DSGVO, Hosting und mehr. Ein ehrlicher Guide für den nächsten Schritt.

vibe-coding Weiterlesen