Was die Rettung einer vibe-coded App 2026 kostet

Wichtigste Erkenntnisse
Rettung hat Stufen, keinen Preis
Ein Audit kostet 3.000 bis 15.000 US-Dollar, die Stabilisierung 15.000 bis 60.000, ein teilweiser Rebuild 60.000 bis 150.000 und ein kompletter Rebuild 150.000 bis 500.000 US-Dollar. In welcher Stufe Sie stecken, hängt weniger vom Code ab als davon, wie lange niemand hingeschaut hat.
Der Code ist nicht das Problem. Veränderung ist es.
GitClears Daten über 623 Millionen geänderte Codezeilen zeigen 81 % mehr Duplikate und ein kollabierendes Refactoring. KI-gebaute Apps funktionieren am Launch-Tag und wehren sich gegen jede Änderung danach.
Sicherheitsschulden sind die teure Sorte
Veracode zufolge fallen 45 % des KI-generierten Codes durch grundlegende Sicherheitschecks, eine Quote, die sich seit zwei Jahren nicht bewegt hat. Ins Repo committete Keys oder halluzinierte Pakete können aus einer Aufräumaktion eine Incident Response machen.
Rufen Sie an, solange es noch eine Wahl ist
Ein Audit für 3.000 US-Dollar in ruhigen Zeiten kauft Ihnen die Reparaturliste und das Timing. Nach einem Vorfall oder einer geplatzten Due Diligence wird die Stufe für Sie gewählt, am teuren Ende.
Der Anruf beginnt meist gleich. Jemand hat im vergangenen Jahr eine App mit KI-Tools gebaut, schneller und billiger als für möglich gehalten. Sie ging live, sie bekam Nutzer, und monatelang war alles in Ordnung. Jetzt meldet der Zahlungsanbieter Retries, die niemand erklären kann, oder der Tech-Berater eines Investors fragt, wer die Codebasis auditiert hat, oder die letzten drei Deploys haben jeweils etwas völlig Unzusammenhängendes kaputtgemacht. Die Person am Telefon will keinen Vortrag über KI. Sie will wissen, was die Reparatur kostet.
Wir haben im vergangenen Winter über das Monat-3-Problem geschrieben: Vibe-coded Apps funktionieren genau so lange, bis man sie ändern muss. Inzwischen sind genug Unternehmen gegen diese Wand gefahren, dass das Aufräumen danach eine eigene Dienstleistung geworden ist, mit eigenem Namen (Rescue Engineering) und einem wachsenden Markt spezialisierter Anbieter. Branchenberichte behaupten, dass von den rund 10.000 Startups, die bis Ende 2025 KI-gebaute Produktions-Apps ausgeliefert haben, seither etwa 8.000 Rettungsarbeit gebraucht haben, zu 50.000 bis 500.000 US-Dollar pro Auftrag. Diese Zahlen stammen von Leuten, die Aufräumdienste verkaufen, also mit Vorsicht zu genießen. Aber die Form deckt sich mit dem, was in unserem Posteingang landet.
Die ehrliche Antwort auf die Kostenfrage ist ein Satz von Stufen, keine Zahl. Hier sind sie, mit dem, was Sie auf jeder Ebene bekommen, und den fünf Signalen, die Ihnen sagen, in welcher Sie tatsächlich stecken.
Warum Rettung zur Dienstleistungskategorie wurde
Die klarsten Daten dazu, was KI-Code über die Zeit macht, stammen von GitClear, das 623 Millionen geänderte Codezeilen von 2023 bis 2026 analysiert hat. Duplizierte Codeblöcke haben seit 2023 um 81 % zugenommen, der höchste je gemessene Wert. Refactoring, die unglamouröse Arbeit, Code umzustrukturieren, während ein Produkt wächst, ist von 13 % der geänderten Zeilen auf unter 4 eingebrochen. Konstrukte, die Fehler verstecken, statt sie zu behandeln, haben um 47 % zugelegt. Entwickler mit KI-Assistenten pasten inzwischen ungefähr fünfmal häufiger, als sie umstrukturieren.
Nichts davon hindert eine App daran, am Launch-Tag zu funktionieren. Es entscheidet darüber, was passiert, wenn Sie versuchen, sie zu ändern. Duplizierte Logik bedeutet, dass ein an einer Stelle behobener Bug an vier anderen weiterlebt. Fehler-Maskierung bedeutet, dass die App gesund aussieht, während sie still Daten korrumpiert. Deshalb kommen Rettungsanrufe Monate nach dem Launch, nicht Wochen. Der Code ist nicht verrottet. Er war immer so, und das Wachstum hat es offengelegt.
Sicherheit ist die härtere Kante. Veracodes Tests vom Frühjahr 2026 ergaben, dass 45 % des KI-generierten Codes durch grundlegende Sicherheitschecks fallen, eine Quote, die sich seit zwei Jahren nicht verbessert hat, obwohl die Modelle dramatisch besser darin geworden sind, lauffähigen Code zu produzieren. Forscher der Georgia Tech zählten im März 2026 35 CVEs, die auf KI-Coding-Tools zurückgehen, nach sechs im Januar. Und rund ein Fünftel der generierten Beispiele referenziert Softwarepakete, die es gar nicht gibt, was Angreifer ausnutzen, indem sie die halluzinierten Namen registrieren und mit Malware füllen.
Die vier Stufen, mit Zahlen
Rettungsangebote streuen genauso wie Bauangebote. Aber nach genug solcher Projekte sortiert sich die Arbeit von selbst in vier Stufen.
Audit: 3.000 bis 15.000 US-Dollar
Ein bis zwei Wochen, read-only. Sie bekommen eine Karte: was der Code tatsächlich tut, wo die gefährlichen Teile liegen, was deren Behebung kosten würde, und, genauso nützlich, was so bleiben kann, wie es ist. Viele vibe-coded Apps bestehen mit einer kurzen Reparaturliste. Ein Audit ist außerdem genau das, was der technische Berater eines Investors bei der Due Diligence ohnehin durchführen wird; wer eines vor der Finanzierungsrunde beauftragt, kontrolliert also Timing und Narrativ. Unabhängige Audit-Anbieter bepreisen kleine und mittlere Codebasen ab wenigen tausend Dollar; Enterprise-Due-Diligence-Mandate liegen weit höher, aber das ist ein anderes Kaliber.
Stabilisieren: 15.000 bis 60.000 US-Dollar
Die häufigste Stufe. Der Code bleibt; das Risiko geht. Tests entstehen zuerst um die Pfade, die Geld und Login berühren, denn das sind die, die in Incident-Reports landen. API-Keys, die ins Repository committet wurden, werden rotiert. Halluzinierte und verwaiste Pakete werden durch echte ersetzt. Ausfälle, die früher stumm blieben, werden geloggt und überwacht. Vier bis acht Wochen für die meisten kleinen Produkte, und am Ende machen Deploys keine Angst mehr. Das ist der eigentliche Liefergegenstand.
Teilweiser Rebuild: 60.000 bis 150.000 US-Dollar
Für den Fall, dass einzelne Subsysteme nicht mehr zu retten sind. Meist sind es Auth, Zahlungen oder die Datenschicht: die Teile, die Ihnen wehtun können. Sie werden ordentlich neu gebaut und eingetauscht, während der Rest der App weiterläuft, sodass Nutzer nie etwas davon mitbekommen. Das ist die Stufe für Produkte mit echter Traktion, deren Fundament nicht dafür gebaut wurde. Das Produkt stimmt. Teile der Implementierung nicht.
Kompletter Rebuild: 150.000 bis 500.000 US-Dollar
Die Stufe, die niemand will. Sie tritt ein, wenn das Datenmodell selbst falsch ist und alles daran gekoppelt hängt, oder wenn ein akutes Sicherheitsproblem besteht und die Sanierung zugleich als Incident Response dienen muss. Das typische Profil ist eine App, die achtzehn Monate auf ihrem ursprünglich generierten Fundament gewachsen ist. Auf dieser Ebene kostet die Reparatur mehr, als der korrekte Bau von Anfang an gekostet hätte, und das ist die Falle in einem Satz: Das in Monat eins gesparte Geld wird in Monat achtzehn am oberen Ende der Spanne zurückgezahlt.
Fünf Signale, die Ihnen sagen, in welcher Stufe Sie stecken
Ihre eigene Rettung können Sie nicht präzise scopen. Mit fünf Fragen kommen Sie nah heran.
- Kann irgendjemand erklären, wie der Login funktioniert? Nicht, ob er funktioniert. Ob ihn jemand erklären kann. Auth-Code, den niemand versteht, sollte als falsch gelten, bis er auditiert ist.
- Wo liegen die Secrets? Ins Repository committete API-Keys bedeuten mindestens Stabilisierung. War dieses Repository jemals öffentlich, scopen Sie kein Projekt mehr. Sie reagieren auf einen Vorfall.
- Ist das Datenmodell es wert, gerettet zu werden? Wenn die Kern-Entitäten ungefähr stimmen, lässt sich der Großteil der App um sie herum retten. Wenn sie falsch sind, ist jedes künftige Feature ein kleiner Rebuild in Verkleidung, und der ehrliche Schritt ist ein großer.
- Gibt es Tests? Null Tests sind bei vibe-coded Apps normal und nicht fatal. Sie sind nur immer die erste Zeile der Rechnung.
- Fließt echtes Geld hindurch? Nutzer und Umsatz erhöhen den Einsatz bei jedem Defekt. Als Faustregel schieben sie Sie eine Stufe höher, als Sie sich gerade eingeordnet hatten.
Rufen Sie an, solange es noch eine Wahl ist
Nichts davon ist ein Argument gegen KI-Coding-Tools. Wir nutzen sie jeden Tag. Das Argument richtet sich gegen ungeprüften Output, der sich ein Jahr lang in Produktion aufschaukelt, denn das ist die Variable, die Sie durch die Stufen bewegt. Nicht, ob KI den Code geschrieben hat. Wie lange niemand hingeschaut hat.
Wenn Ihre App funktioniert und wächst, ist genau das der Moment, in dem ein Audit billig ist. Ein paar tausend Dollar in ruhigen Zeiten kaufen Ihnen die Reparaturliste und die Kontrolle über das Timing. Die teure Version dieses Gesprächs beginnt nach dem Vorfall, und dann ist die Stufe längst für Sie gewählt worden.
Häufig gestellte Fragen
Was kostet es, eine vibe-coded App 2026 zu reparieren?
Zwischen 3.000 und 500.000 US-Dollar, weshalb die ehrliche Antwort eine Stufe ist, keine Zahl. Ein Read-only-Audit kostet 3.000 bis 15.000 US-Dollar. Die Stabilisierung einer funktionierenden App kostet 15.000 bis 60.000 US-Dollar. Der Neubau kaputter Subsysteme wie Auth oder Zahlungen liegt bei 60.000 bis 150.000 US-Dollar, und ein kompletter Rebuild einer App, die ein Jahr auf schlechtem Fundament gewachsen ist, landet zwischen 150.000 und 500.000 US-Dollar.
Brauche ich einen kompletten Rebuild?
Wahrscheinlich nicht. Die meisten Rettungen enden bei der Stabilisierung: Tests um die kritischen Pfade, rotierte Secrets, ersetzte Pakete, echtes Error Handling. Ein kompletter Rebuild ergibt nur Sinn, wenn das zentrale Datenmodell falsch ist und alles daran gekoppelt hängt, oder wenn die Sanierung zugleich als Security Incident Response dienen muss. Ein Audit sagt Ihnen, welcher Fall vorliegt, bevor Sie sich auf eines von beidem festlegen.
Wie lange dauert die Rettungsarbeit?
Ein Audit dauert ein bis zwei Wochen. Die Stabilisierung läuft bei einem kleinen Produkt typischerweise vier bis acht Wochen. Teilweise und komplette Rebuilds dauern drei bis sechs Monate, je nachdem, wie viel während des Austauschs weiterlaufen muss. Die App bleibt dabei in der Regel live, außer in den schlimmsten Fällen.
Ist KI-generierter Code wirklich unsicherer?
Die Testdaten sagen ja. Veracodes Analyse von 2026 ergab, dass 45 % des KI-generierten Codes durch grundlegende Sicherheitschecks fallen, eine Bestehensquote, die seit zwei Jahren stagniert, obwohl die Modelle deutlich besser darin geworden sind, lauffähigen Code zu produzieren. Eine separate Untersuchung führte allein im März 2026 35 CVEs auf KI-Coding-Tools zurück, und rund ein Fünftel der generierten Beispiele referenziert Softwarepakete, die es gar nicht gibt.
Können wir während einer Rettung weiter Features ausliefern?
Während der Stabilisierung und teilweiser Rebuilds ja, genau dafür macht man sie so: Die riskanten Subsysteme werden ersetzt, während das Produkt weiterläuft und die Nutzer nichts davon sehen. Ein kompletter Rebuild bedeutet meist einen Feature-Freeze für die alte App, ein Grund mehr, das Problem zu erkennen, bevor es so weit kommt.
Ähnliche Artikel
Was ein Buchungssystem 2026 wirklich kostet
Eine Terminseite mietet man für 20 US-Dollar im Monat. Eine Multi-Property-Plattform kostet eine Viertelmillion. Beides nennt sich Buchungssystem. Hier sind die echten Stufen für 2026, und die Provisionsrechnung, die Ihnen sagt, wann Sie aufhören sollten zu mieten.
Der European Accessibility Act hat sein erstes Urteil. 71 Prozent barrierefrei zählten nicht.
Ein französisches Gericht verurteilte Carrefour wegen eines Onlineshops, den blinde Kunden nicht nutzen können: sechs Monate für die Nachbesserung, danach 500 Euro pro Tag. Was der EAA abdeckt, wer ausgenommen ist und warum das Übergangsfenster bis 2030 schwächer ist, als es aussieht.