So beheben Sie, dass KI-Codierungsagenten erfundene npm-Pakete erstellen

Eine häufige und gefährliche Fehlfunktion: Der Agent importiert ein Paket, das nicht existiert – oder schlimmer noch, eines, das ein Squatter registriert hat, um dem halluzinierten Namen zu entsprechen.

Das Symptom

Der Agent schreibt einen Import für ein plausibel klingendes Paket und fügt es zu package.json hinzu, aber die Installation schlägt fehl oder zieht ein unbekanntes Paket.

import { magicValidate } from "zod-magic-helpers"; // does not exist

Warum es passiert

Modelle erkennen Muster in Namenskonventionen („Es gibt wahrscheinlich ein -helpers-Paket“) und generieren Namen, die echt klingen. Dies ist die Grundlage für „Slopsquatting“-Angriffe auf die Lieferkette.

Wie man es erkennt

• Eine Abhängigkeit, die Sie nicht erkennen, taucht im Diff auf.
• Das Paket hat fast keine Downloads oder wurde erst vor kurzem veröffentlicht.
• Die Installation löst einen Namen auf, der nur ein Zeichen von einem beliebten Paket entfernt ist.

Wie man es behebt

[ ] Verify every new dependency exists and is the one you intend
[ ] Check weekly downloads + repo link before installing
[ ] Prefer packages already in the lockfile
[ ] Pin versions; review the lockfile diff

Fix-Prompt

You added a dependency I can't verify. List every new package, its npm URL,
and weekly download count. Replace any unverified package with a standard,
widely-used alternative or inline the logic instead.

Test

bun pm view <package> 2>/dev/null || echo "DOES NOT EXIST"