ShipPad: AI für dich bauen lassen — nicht nur mit dir

Ich habe einer Yoga-Lehrerin dabei zugeschaut, wie sie Claude Code eine App-Idee beschrieben hat. Kein technischer Hintergrund. Sie wollte ein Buchungssystem mit Kursplänen, Wartelisten und Zahlung. Sie hat auf Englisch getippt, was sie wollte.

Zehn Minuten später hatte sie einen funktionierenden Prototyp.

Zwei Stunden danach war er live auf Vercel.

Das ist die Geschichte, die alle erzählen. Aber hier ist der Teil, den sie weglassen.

AI baut schnell. Es baut auch gefährlich.

Gib einem nicht-technischen Nutzer Zugang zu Claude Code ohne Scaffolding und schau, was passiert. Der Code funktioniert. Er läuft. Er sieht richtig aus.

Dann schaust du genauer hin.

Nutzereingaben gehen direkt in Datenbankabfragen. API-Keys landen in der Git-Historie. Es gibt keine Tests, also weiß niemand, wenn etwas kaputt geht. Das Mobile-Layout crasht auf Android. Es gibt kein Auth-Pattern, also vertraut die App jedem, der sagt, er sei eingeloggt.

Die Buchungs-App der Yoga-Lehrerin hätte innerhalb eines Monats Kundendaten geleakt.

Das ist das eigentliche Problem. AI-Assistenten sind außerordentlich fähig. Sie bauen, was du beschreibst. Aber sie wissen nicht, was du nicht weißt zu fragen. Wenn du nicht weißt, was SQL-Injection ist, wirst du Claude nicht bitten, dagegen zu schützen. Wenn du nicht weißt, was eine Test-Suite ist, wirst du Claude nicht bitten, eine zu schreiben.

Der Output spiegelt das Wissen der Person wider, die ihn steuert. Und genau dort werden nicht-technische Nutzer verletzt.

ShipPad ist kein Template

Lass mich präzise sagen, was ShipPad ist — denn es ist leicht falsch zu lesen.

Es ist kein Low-Code-Tool. Du schreibst immer noch Code — Claude schreibt ihn, aber es ist echter Code.

Es ist kein Template. Ein Template gibt dir Starter-Dateien. ShipPad gibt dir ein Betriebssystem dafür, wie Claude Code sich in deinem Projekt verhalten soll.

Der Kern davon ist ein Satz strukturierter Dateien — CLAUDE.md-Dateien, Regeldefinitionen, Test-Konfigurationen, Deployment-Skripte — die Claude genau sagen, wie es in dieser spezifischen Codebase arbeiten soll. Welche Patterns es befolgen soll. Welche Grenzen es nie überschreiten soll. Was es testen soll, bevor es behauptet, etwas sei fertig.

Wenn du ein ShipPad-Projekt öffnest und anfängst, mit Claude zu sprechen, weiß Claude bereits:

• Niemals Secrets in den Code, immer Umgebungsvariablen nutzen
• Nutzereingaben immer validieren, bevor sie die Datenbank berühren
• Tests laufen lassen, bevor man sagt, etwas sei behoben
• Diese spezifischen Deployment-Befehle nutzen, um in Production zu pushen
• Diese Accessibility-Standards beim UI-Bauen einhalten

Du musst das alles nicht wissen. Claude weiß es. Weil das Projekt es ihm gesagt hat.

Wie es tatsächlich funktioniert

Der Hauptmechanismus sind CLAUDE.md-Dateien. Claude Code liest diese automatisch, wenn es anfängt, in einem Projekt zu arbeiten. Sie sind Klartext. Sie enthalten Regeln in normaler Sprache.

Eine Sicherheits-Regel-Datei könnte sagen: Niemals API-Keys hardcoden. Immer parametrisierte Queries verwenden. Niemals eigene Auth bauen.

Eine Test-Regel-Datei könnte sagen: Niemals “fertig” sagen, ohne zuerst Tests laufen zu lassen. Das testen, was der Nutzer sieht, nicht den internen Zustand. Kritische Pfade zu 100% abdecken.

Eine Deployment-Konfiguration kümmert sich um das eigentliche Shipping — Staging-Umgebungen, Production-Guards, Rollback-Verfahren.

Das ist kein Zauber. Es ist nur strukturierter Kontext, der einem AI-Assistenten sagt, wie er sich verantwortungsbewusst verhalten soll. Die Erkenntnis ist, dass die meisten Menschen, die mit AI bauen, diesen Kontext nicht haben — und nicht wissen, dass sie ihn brauchen.

ShipPad packt ihn für sie zusammen.

Wie das in der Praxis aussieht

Zurück zur Yoga-Lehrerin.

Sie öffnete ein ShipPad-Projekt, beschrieb ihr Buchungssystem und begann, mit Claude zu bauen. Hier ist, worüber sie nicht nachdenken musste:

Claude hat automatisch parametrisierte Queries verwendet, als es die Datenbankschicht baute. Es generierte Umgebungsvariablen-Platzhalter für den Stripe-API-Key, statt den Key in den Code zu legen. Es schrieb Tests für den Buchungsablauf, bevor es das Feature als fertig markierte. Es nutzte eine bewährte Auth-Bibliothek, statt etwas Eigenes zu bauen.

Sie hat nichts davon gebeten. Die Projektregeln haben das getan.

Was sie sich konzentrieren konnte, war das eigentliche Produkt. Kurstypen, Stornierungsrichtlinien, die Wartelisten-Logik, die sie wollte. Das Builder-Zeug.

Ein weiteres Beispiel: Ein Product Manager, der ein internes Dashboard für die Metriken seines Teams wollte. Kein Entwickler. Er nutzte ShipPad, verbrachte ein Wochenende mit dem Bauen mit Claude und shipped etwas Reales. Die Deployment-Konfiguration bedeutete, dass er Updates mit einem einzigen Befehl pushen konnte. Die Performance-Budgets bedeuteten, dass das Dashboard schnell blieb, als er mehr Charts hinzufügte.

Das sind keine Ausnahmefälle. Das ist, was passiert, wenn man Menschen das richtige Scaffolding gibt.

Das größere Bild

Vibe Coding — Software bauen, indem man beschreibt, was man will, und AI es in funktionierenden Code übersetzen lässt — ist real. Es ist kein Trend, der verschwindet. Mehr Menschen werden Software auf diese Weise bauen, nicht weniger.

Die Frage ist nicht, ob nicht-technische Menschen mit AI bauen sollten. Sie tun es bereits. Die Frage ist, ob sie es sicher tun.

Im Moment tun die meisten das nicht. Nicht weil sie unvorsichtig sind, sondern weil sie nicht wissen, was sie nicht wissen. Sie bauen etwas, das funktioniert, und shippen es, ohne die Angriffsfläche zu verstehen, die sie gerade geschaffen haben.

ShipPad ist meine Antwort darauf. Die Leitplanken sollten mit dem Projekt kommen. Die Sicherheitsregeln, die Testing-Patterns, die Deployment-Infrastruktur — alles sollte von Anfang an da sein, korrekt konfiguriert, sodass das Bauen mit AI Software produziert, die tatsächlich sicher zu betreiben ist.

Was kommt

Ich baue ShipPad als einen Satz von Project Startern aus — verschiedene Konfigurationen für verschiedene Projekttypen. Web-Apps, interne Tools, Landing Pages mit dynamischen Inhalten, Mobile-First-Produkte.

Jeder kommt mit der vollständigen Infrastruktur: Sicherheitsregeln, die auf diesen Projekttyp kalibriert sind, Test-Setup fertig zum Loslegen, Deployment-Konfiguration für die gängigsten Hosting-Ziele.

Das Ziel ist einfach. Jeder mit einer Idee und Claude Code sollte in der Lage sein, etwas Reales zu bauen, ohne versehentlich etwas Gefährliches zu bauen.

Wenn du mit AI baust und keine Leitplanken hast, baust du auf Sand. ShipPad gibt dir das Fundament.