Na co si dát pozor při vibecodingu: 9 pastí, do kterých padá většina začátečníků

Vibecoding je nejrychlejší způsob, jak postavit funkční software. Je to taky nejrychlejší způsob, jak postavit funkční rozbitý software. AI udělá, o co ji požádáte, ale neudělá to, na co jste zapomněli. A přesně tam vznikají problémy.

Tady je devět konkrétních pastí, do kterých padá většina lidí, když začínají vibecodit – a co s nimi dělat.

1. Slepá důvěra v první výstup

Problém: AI vypíše tři sta řádků kódu, web naskočí, tlačítko funguje. „Hotovo." Tak hotovo to ale není. AI mohla vymyslet API endpoint, který neexistuje. Mohla použít deprecated knihovnu. Mohla přehlédnout edge case.

Řešení:

• Čtěte výstup. Ne každý řádek, ale architekturu. Co tahle funkce dělá? Odkud čte? Kam zapisuje?
• Testujte. Klikejte. Zkoušejte vstupy, které jste nezadávali.
• Když si nejste jistí, zeptejte se AI, co konkrétní část dělá a proč ji udělala takhle.

2. Tajemství v repozitáři

Problém: Nejčastější bezpečnostní chyba, jakou jsem viděl. Někdo vibecodí napojení na Stripe, AI vloží API klíč přímo do kódu, kód se commitne na veřejný GitHub. Za hodinu mu někdo vybrakuje účet.

Řešení:

• Nikdy nedávejte klíče, hesla nebo tokeny přímo do kódu. Vždycky přes proměnné prostředí (.env.local, na Vercelu přes vercel env).
• .gitignore musí obsahovat .env* – zkontrolujte si to dřív, než commitnete cokoli citlivého.
• Pokud se vám klíč náhodou dostal do historie commitů, rotujte ho. Smazat ho z gitu nestačí, je v zrcadlech a forkech.

3. Bezpečnost na pozdějc

Problém: „Nejdřív to rozjedu, bezpečnost vyřeším pak." Klasika. Skončíte s API, které kdokoli může volat. S databází, do které jde zapsat cokoli. S formulářem, který někdo zneužije na spam.

Řešení:

• Server-side validace všeho, co přijde od uživatele. Klientská validace je UX, ne ochrana.
• Pokud používáte Supabase, zapněte Row Level Security na všech tabulkách. Default je nebezpečný.
• Citlivé akce (platby, mazání dat, admin operace) ověřujte na serveru, ne v prohlížeči.
• Když AI generuje API endpoint, zeptejte se: kdo ho může zavolat? Pokud na to nemá odpověď, je to red flag.

4. Utracená kreditka

Problém: AI API, databáze, hosting – všechno má free tier, ale taky všechno má strop. Nasadíte produkt, něco se zacyklí, ráno se probudíte s fakturou za tisíce.

Řešení:

• Nastavte si limity. OpenAI, Anthropic, Stripe – všichni nabízejí spending limits. Použijte je.
• U AI volání: pozor na nekonečné smyčky a rekurzivní agenty. Vždycky mějte timeout a max iteration count.
• Sledujte dashboardy první týden po nasazení každý den. Anomálie chyťte dřív, než se přemění na účet.
• Vercel a Supabase mají usage alerts – zapněte si je.

5. Kód, kterému za měsíc nerozumíte

Problém: Vibecodíte dva měsíce, projekt má 50 souborů, polovinu z nich jste nikdy nečetli. Chcete přidat funkci. AI ji přidá, ale rozbije tři jiné věci, protože nezná kontext celého projektu. Vy ho neznáte taky. Stojíte.

Řešení:

• Držte strukturu. Soubory mají dávat smysl podle názvu. Funkce dělají jednu věc.
• Vyžádejte si od AI komentáře k netriviálním částem – proč to udělala takhle.
• Pravidelně proste AI o přehled projektu: „Vysvětli mi, jak je propojený frontend s databází." Když to AI nedokáže popsat krátce, je projekt už moc komplexní pro vibecoding bez plánu.
• Pište si vlastní poznámky k důležitým rozhodnutím. AI mezi sezeními zapomíná. Vy taky.

6. Žádné verze, žádné zpátky

Problém: AI přepíše soubor. Vy zjistíte, že předchozí verze byla lepší. Ctrl+Z došlo. Co teď?

Řešení:

• Git od první minuty. Ne „až bude projekt větší". Hned.
• Commitujte často. Klidně každou hodinu. Nepoužívejte zprávy typu „update" – pište, co se změnilo a proč.
• Před větší změnou si udělejte novou větev. Když to AI zláme, git checkout main a jste zpátky.

7. Halucinace knihoven a API

Problém: AI s plnou vážností použije funkci, která neexistuje. Naimportuje balíček, který nikdo nikdy nepublikoval. Zavolá endpoint, který v API není. Vy spustíte build a získáte sto chybových hlášek.

Řešení:

• Když AI použije něco, co nepoznáváte, ověřte si to v oficiální dokumentaci.
• Pokud něco nefunguje a AI tvrdí, že má, požádejte ji o zdroj. „Kde je to v dokumentaci?"
• U nových frameworků (Next.js 16, AI SDK v6) si dejte pozor – modely občas používají starší API. Specifikujte verzi v promptu.

8. Debugování bez plánu

Problém: Něco nefunguje. Vy řeknete AI „oprav to". AI udělá změnu. Nefunguje to jinak. Vy řeknete „oprav to". A dokola. Po hodině je projekt v horším stavu než na začátku.

Řešení:

• Reprodukujte chybu. Jaké přesně kroky vedou k problému? Jaká je chybová hláška?
• Dejte AI konkrétní kontext: chybové hlášky z konzole, response z API, screenshot rozbité UI.
• Když dvě opravy za sebou nefungují, zastavte se. Vraťte se ke git verzi, která fungovala, a začněte přemýšlet o příčině, ne o symptomu.
• Naučte se číst error messages. Často v nich odpověď je – AI to vidí jasně, vy taky můžete.

9. Vibecoding místo přemýšlení

Problém: Nejhorší past ze všech. Začnete řešit každý problém promptem. Nepřemýšlíte, co děláte. AI vás vede, vy posloucháte. Skončíte u produktu, kterému nerozumíte, který nedělá to, co potřebujete, a nemáte ho jak posunout dál.

Řešení:

• AI je nástroj, ne mozek. Vy rozhodujete, co se má stavět. Vy víte, proč to děláte. Vy nesete důsledky.
• Před každým větším promptem si dejte tři minuty na vlastní úvahu. Co vlastně chci? Jak by to mělo fungovat? Jaké jsou alternativy?
• Když cítíte, že vás AI tahá někam, kde nechcete být, odmítněte. Začněte znovu s lepším zadáním.

Shrnutí

Vibecoding je rychlý, ale není kouzlo. Stejné principy, které platily ve staré škole vývoje, platí dál: bezpečnost, struktura, verzování, testování, přemýšlení. Jen je teď můžete dělat o řád rychleji.

Lidé, kteří v tom rostou, nejsou ti, co napíšou nejvíc promptů. Jsou to ti, co napíšou ty nejlepší.

V [našem kurzu vibecodingu](/) se těmito chybami zabýváme do hloubky – ukazujeme konkrétní situace, kdy projekty padají, a jak je stavět tak, aby vydržely. Žádné teorie, jen praxe a věci, které sami používáme.