LI Solutions

Wat het kost om een vibe-coded app te redden in 2026

What it costs to rescue a vibe-coded app in 2026

Belangrijkste inzichten

Rescue heeft tiers, geen prijskaartje

Een audit kost $3,000 tot $15,000, stabilisatie $15,000 tot $60,000, een gedeeltelijke rebuild $60,000 tot $150,000 en een volledige rebuild $150,000 tot $500,000. In welke tier je zit hangt minder af van de code dan van hoe lang niemand ernaar keek.

De code is het probleem niet. Verandering wel.

De GitClear-data over 623 miljoen gewijzigde regels toont 81 procent meer duplicatie en een instortende refactoring. AI-gebouwde apps werken doorgaans prima op de lanceerdag en verzetten zich daarna tegen elke wijziging.

Securityschuld is de dure soort

Veracode ziet 45 procent van AI-gegenereerde code zakken voor basale securitychecks, een percentage dat in twee jaar niet bewoog. Keys die in een repo zijn gecommit of gehallucineerde packages kunnen een opschoonklus veranderen in incident response.

Bel zolang het nog een keuze is

Een audit van $3,000 terwijl alles rustig is koopt je de reparatielijst en de timing. Na een incident of een mislukte due diligence wordt de tier voor je gekozen, aan de dure kant.

Het telefoontje begint meestal hetzelfde. Iemand bouwde vorig jaar een app met AI-tools, sneller en goedkoper dan hij voor mogelijk hield. De app lanceerde, kreeg gebruikers, en maandenlang was alles prima. Nu flagt de betaalprovider retries die niemand kan verklaren, of vraagt de tech-adviseur van een investeerder wie de codebase heeft geaudit, of braken de laatste drie deploys elk iets dat er niets mee te maken had. De persoon aan de lijn wil geen college over AI. Die wil weten wat repareren kost.

We schreven afgelopen winter over het Maand 3-probleem: vibe-coded apps werken doorgaans precies tot het moment dat je ze moet veranderen. Genoeg bedrijven zijn tegen die muur gelopen om van het opruimen van de nasleep een eigen dienstencategorie te maken, met een eigen naam (rescue engineering) en een groeiende markt van gespecialiseerde bureaus. Brancheartikelen beweren dat van de ruwweg 10.000 startups die eind 2025 AI-gebouwde productie-apps hadden uitgebracht, er sindsdien zo'n 8.000 reddingswerk nodig hadden, à $50,000 tot $500,000 per klus. Die cijfers komen van mensen die opruimdiensten verkopen, dus neem ze met een korrel zout. Maar de vorm klopt met wat er in onze inbox belandt.

Het eerlijke antwoord op de kostenvraag is een set tiers, geen getal. Hier zijn ze, met wat je op elk niveau krijgt, en de vijf signalen die vertellen in welke je werkelijk zit.

Waarom rescue een dienstencategorie werd

De duidelijkste data over wat AI-code op termijn doet komt van GitClear, dat 623 miljoen gewijzigde regels code analyseerde van 2023 tot en met 2026. Gedupliceerde codeblokken stegen sinds 2023 met 81 procent, het hoogste niveau ooit gemeten. Refactoring, het onglamoureuze werk van code herstructureren naarmate een product groeit, stortte in van 13 procent van de gewijzigde regels naar minder dan 4. Constructies die fouten verbergen in plaats van ze af te handelen namen met 47 procent toe. Developers met AI-assistenten plakken inmiddels ruwweg vijf keer vaker dan ze herstructureren.

Niets daarvan weerhoudt een app ervan om op de lanceerdag te werken. Het bepaalt wat er gebeurt wanneer je hem probeert te veranderen. Gedupliceerde logica betekent dat een bug die op één plek is gefixt op vier andere plekken blijft leven. Foutmaskering betekent dat de app er gezond uitziet terwijl hij stilletjes data corrumpeert. Daarom komen reddingstelefoontjes maanden na de lancering in plaats van weken. De code is niet gaan rotten. Hij was altijd al zo, en groei legde het bloot.

Security is de hardere kant. Veracodes tests van voorjaar 2026 vonden dat 45 procent van AI-gegenereerde code zakt voor basale securitychecks, een percentage dat in twee jaar niet verbeterde, ook al werden de modellen drastisch beter in het produceren van code die draait. Onderzoekers van Georgia Tech telden 35 CVE's die in maart 2026 naar AI-codeertools te herleiden waren, tegenover zes in januari. En ongeveer een vijfde van de gegenereerde samples verwijst naar softwarepackages die niet bestaan, iets wat aanvallers uitbuiten door de gehallucineerde namen te registreren en ze met malware te vullen.

De vier tiers, met cijfers

Rescue-offertes variëren zoals bouwoffertes dat doen. Maar na genoeg van dit soort projecten sorteert het werk zichzelf in vier tiers.

Audit: $3,000 tot $15,000

Eén tot twee weken, read-only. Je krijgt een kaart: wat de code werkelijk doet, waar de gevaarlijke delen zitten, wat repareren zou kosten, en, minstens zo nuttig, wat prima is zoals het is. Genoeg vibe-coded apps slagen met een korte reparatielijst. Een audit is bovendien wat de technisch adviseur van een investeerder tijdens due diligence toch al draait, dus er zelf één laten uitvoeren vóór de fundraise betekent dat jij de timing en het verhaal bepaalt. Onafhankelijke auditbureaus prijzen kleine en middelgrote codebases vanaf een paar duizend dollar; enterprise-due-diligence-trajecten gaan veel hoger, maar dat is een ander beestje.

Stabiliseren: $15,000 tot $60,000

De meest voorkomende tier. De code blijft; het risico verdwijnt. Er worden eerst tests geschreven rond de paden die geld en login raken, want dat zijn de paden die in incidentrapporten belanden. API-keys die in de repository waren gecommit worden geroteerd. Gehallucineerde en verlaten packages worden vervangen door echte. Fouten die vroeger stil bleven, worden voortaan gelogd en gemonitord. Vier tot acht weken voor de meeste kleine producten, en aan het eind zijn deploys niet eng meer. Dat is de werkelijke deliverable.

Gedeeltelijke rebuild: $60,000 tot $150,000

Voor wanneer specifieke subsystemen niet meer te redden zijn. Meestal is het auth, betalingen of de datalaag: de delen die je pijn kunnen doen. Ze worden fatsoenlijk herbouwd en ingeschoven terwijl de rest van de app blijft draaien, zodat gebruikers er nooit iets van zien. Dit is de tier voor producten met echte tractie waarvan het fundament daar niet voor is gebouwd. Het product klopt. Delen van de implementatie niet.

Volledige rebuild: $150,000 tot $500,000

De tier die niemand wil. Hij komt voor wanneer het datamodel zelf fout is en alles eraan gekoppeld zit, of wanneer er een actief securityprobleem is en de sanering tegelijk incident response moet zijn. Het typische profiel is een app die achttien maanden groeide op zijn oorspronkelijke gegenereerde fundament. Op dit niveau kost de reparatie meer dan het meteen goed bouwen had gekost, en dat is de valkuil in één zin: het geld dat in maand één werd bespaard, wordt in maand achttien terugbetaald aan de bovenkant van de range.

Vijf signalen die vertellen in welke tier je zit

Je kunt je eigen rescue niet precies scopen. Met vijf vragen kom je in de buurt.

  • Kan iemand uitleggen hoe login werkt? Niet óf het werkt. Of iemand het kan uitleggen. Auth-code die niemand begrijpt hoor je als fout te behandelen tot ze is geaudit.
  • Waar staan de secrets? API-keys die in de repository zijn gecommit zetten je minimaal op stabilisatie. Was die repository ooit publiek, dan ben je geen project meer aan het scopen. Dan ben je een incident aan het afhandelen.
  • Is het datamodel het redden waard? Als de kernentiteiten grofweg kloppen, kan het grootste deel van de app eromheen worden gered. Kloppen ze niet, dan is elke toekomstige feature een kleine rebuild in vermomming, en is de eerlijke zet één grote.
  • Zijn er tests? Nul tests is normaal voor vibe-coded apps en niet fataal. Het is alleen altijd de eerste regel van de factuur.
  • Stroomt er echt geld doorheen? Gebruikers en omzet verhogen de inzet van elk defect. Als vuistregel schuiven ze je één tier omhoog ten opzichte van waar je dacht te zitten.

Bel zolang het nog een keuze is

Niets hiervan is een argument tegen AI-codeertools. We gebruiken ze elke dag. Het argument is tegen ongereviewde output die zich een jaar lang opstapelt in productie, want dat is de variabele die je van tier naar tier verplaatst. Niet of AI de code schreef. Hoe lang niemand ernaar keek.

Als je app werkt en groeit, is dat precies het moment waarop een audit goedkoop is. Een paar duizend dollar terwijl alles rustig is koopt je de reparatielijst en controle over de timing. De dure versie van dit gesprek begint na het incident, en tegen die tijd is de tier al voor je gekozen.

Veelgestelde vragen

Wat kost het om een vibe-coded app te repareren in 2026?

Tussen $3,000 en $500,000, en daarom is het eerlijke antwoord een tier, geen getal. Een read-only audit kost $3,000 tot $15,000. Een werkende app stabiliseren kost $15,000 tot $60,000. Kapotte subsystemen zoals auth of betalingen herbouwen kost $60,000 tot $150,000, en een volledige rebuild van een app die een jaar lang op een slecht fundament groeide landt tussen $150,000 en $500,000.

Heb ik een volledige rebuild nodig?

Waarschijnlijk niet. De meeste rescues stoppen bij stabilisatie: tests rond de kritieke paden, geroteerde secrets, vervangen packages, echte foutafhandeling. Een volledige rebuild is alleen zinvol wanneer het kern-datamodel fout is en alles eraan gekoppeld zit, of wanneer de sanering tegelijk moet dienen als security incident response. Een audit vertelt je in welk geval je zit voordat je je aan één van beide committeert.

Hoe lang duurt een rescue?

Een audit duurt één tot twee weken. Stabilisatie neemt voor een klein product doorgaans vier tot acht weken in beslag. Gedeeltelijke en volledige rebuilds lopen drie tot zes maanden, afhankelijk van hoeveel moet blijven werken terwijl het wordt vervangen. De app blijft er meestal doorheen live, behalve in de ergste gevallen.

Is AI-gegenereerde code echt minder veilig?

De testdata zegt van wel. De analyse van Veracode uit 2026 vond dat 45 procent van AI-gegenereerde code zakt voor basale securitychecks, een slagingspercentage dat twee jaar lang vlak bleef terwijl de modellen veel beter werden in code produceren die draait. Apart onderzoek herleidde in maart 2026 alleen al 35 CVE's naar AI-codeertools, en ongeveer een vijfde van de gegenereerde samples verwijst naar softwarepackages die niet bestaan.

Kunnen we tijdens een rescue features blijven uitbrengen?

Tijdens stabilisatie en gedeeltelijke rebuilds wel, dat is juist het punt van die aanpak: de risicovolle subsystemen worden vervangen terwijl het product blijft draaien en gebruikers niets zien. Een volledige rebuild betekent meestal een featurefreeze op de oude app, wat één reden te meer is om het probleem te vangen voordat het zover komt.