Jeszcze trzy lata temu zbudowanie własnej aplikacji wymagało budżetu, specyfikacji i kilku miesięcy pracy zespołu programistów. Dziś wystarczy prosty opis i kilka godzin przy laptopie.
To nie jest wyolbrzymienie. To dosłowny opis tego, co robi co rano (albo czasem weekendami) coraz więcej właścicieli firm, dyrektorów operacyjnych i product managerów – bez żadnego doświadczenia technicznego.
Ale razem z barierą techniczną zniknęła też naturalna weryfikacja: moment, w którym ktoś z wiedzą pytał:
Teraz tego momentu nie ma. I właśnie dlatego zaczyna pojawiać się po fakcie – w rozmowach z prawnikami.
Pojęcie zostało wprowadzone na początku 2025 roku przez Andreya Karpathy'ego, byłego szefa AI w Tesli i OpenAI. Opisuje sposób tworzenia oprogramowania, w którym opisujesz, czego chcesz, AI generuje kod, a ty powtarzasz ten proces, aż narzędzie zacznie działać – bez konieczności czytania ani rozumienia samego kodu.
Najpopularniejsze platformy, z których korzystają dziś przedsiębiorcy i managerowie, to między innymi Cursor, Bolt, Lovable, Replit oraz v0 od Vercel. Każda z nich oferuje możliwość zbudowania działającej aplikacji w kilka godzin, bez zatrudniania programisty.
Nie każde zastosowanie AI do tworzenia oprogramowania wiąże się z ryzykiem. Są sytuacje, w których jest to całkowicie rozsądny wybór:
Wspólna cecha tych przypadków: niskie ryzyko wysypania się. Jeśli coś się posypie, koszt jest do przyjęcia.
Problem zaczyna się wtedy, gdy narzędzie zbudowane „na próbę” staje się częścią operacji firmy.
Przetrwarzanie danych osobowych
RODO nie pyta, w jaki sposób powstało oprogramowanie. Jeśli twoje narzędzie przetwarza dane osobowe – dane klientów, pracowników, kontrahentów – jesteś odpowiedzialny za to, jak te dane są przechowywane, chronione i usuwane.
Kod generowany przez AI rzadko uwzględnia zasady Privacy by Design i Privacy by Default, które wymagają wbudowania ochrony danych już na etapie projektowania systemu. Jeszcze rzadziej respektuje zasady retencji i bezpiecznego usuwania danych, które wynikają wprost z przepisów.
Działające narzędzie to nie to samo co narzędzie zgodne z przepisami.
Integracje z innymi systemami
Połączenie własnoręcznie zbudowanego narzędzia z CRM-em, platformą e-commerce, systemem księgowym czy zewnętrznym API wprowadza złożoność, której AI nie obsługuje dobrze. Błędy w autoryzacji, nieszyfrowane przesyłanie danych, brak obsługi wyjątków – to typowe problemy w kodzie generowanym bez nadzoru inżyniera.
Warto też pamiętać, że dyrektywa NIS-2 nakłada na coraz szerszą grupę firm obowiązki związane z bezpieczeństwem systemów informatycznych i zgłaszaniem incydentów. Oprogramowanie, którego działania nie potrafisz wyjaśnić, jest trudne do obrony w przypadku kontroli lub naruszenia.
Odpowiedzialność za decyzje podejmowane przez system
Jeśli twoje narzędzie wspiera podejmowanie decyzji – ocenia wnioski, generuje rekomendacje, filtruje dane – wchodzisz w obszar regulowany przez AI Act. Unijne prawo o sztucznej inteligencji rozróżnia systemy AI według poziomu ryzyka i nakłada konkretne obowiązki na dostawców i użytkowników. Narzędzie stworzone przez weekend w Bolcie może – zależnie od zastosowania – kwalifikować się jako system AI wysokiego ryzyka.
Kontrola nad podmiotami zewnętrzętrznymi
Jeśli korzystasz z platformy do vibe codingu jako SaaS, dane, które przetwarzasz za jej pomocą, często trafiają na serwery dostawcy. Pojawia się pytanie: czy zawarłeś z nim umowę powierzenia przetwarzania danych? Czy wiesz, gdzie fizycznie przechowywane są te dane? Kwestię kontroli nad podmiotami przetwarzającymi dane osobowe reguluje RODO, niezależnie od tego, czy narzędzie powstało w pięć minut czy pięć miesięcy.
Zanim udostępnisz zbudowane przez siebie narzędzie szerszemu gronu użytkowników, zadaj sobie jedno pytanie:
Co by się stało, gdyby ktoś cię zapytał, czy narzędzie jest zupełnie bezpieczne?
Jeśli odpowiedź brzmi: nie wiem – to jest dobry moment, żeby to sprawdzić. Nie oznacza to, że trzeba wyrzucić to, co zbudowałeś. Oznacza, że warto wiedzieć, co faktycznie masz.
Niezależny przegląd kodu może zamienić prototyp w coś, na czym można bezpiecznie budować – albo jasno powiedzieć, że lepiej zacząć od nowa. W obu przypadkach masz informację, zamiast działać w przekonaniu, że „skoro działa, to jest dobrze”. Jak wygląda taki przegląd i ile kosztuje w praktyce – to temat wart osobnego sprawdzenia przed podjęciem decyzji.
Vibe coding obniża barierę wejścia do tworzenia oprogramowania w sposób, jakiego nie było wcześniej. To realna zmiana, która daje przedsiębiorcom nowe możliwości – szczególnie na etapie testowania pomysłów.
Jednocześnie tworzy nową klasę ryzyka: systemy, które wyglądają jak gotowe produkty, ale nie przeszły przez żadną weryfikację techniczną ani prawną.
Prawo nie rozróżnia, czy kod napisał człowiek czy AI. Rozróżnia, kto jest administratorem danych, kto odpowiada za bezpieczeństwo systemu i kto podejmuje decyzje przy jego pomocy.
Buduj szybko.
Testuj śmiało.
Ale zanim cokolwiek stanie się częścią twoich operacji – upewnij się, że wiesz, co zbudowałeś.
Artykuł powstał w ramach wymiany contentowej między kancelarią Sawaryn i Partnerzy a firmą Rocksoft – europejskim software housem specjalizującym się w budowie i audycie oprogramowania dla rosnących firm. Treść redakcyjna jest niezależna od współpracy
