{
  "id": "ai-invents-fake-npm-packages",
  "type": "failures",
  "category": "failures",
  "locale": "de",
  "url": "/de/failures/ai-invents-fake-npm-packages",
  "title": "So beheben Sie, dass KI-Codierungsagenten erfundene npm-Pakete erstellen",
  "description": "Warum KI-Agenten npm-Pakete halluzinieren, die nicht existieren, wie man es erkennt und wie man es stoppt.",
  "tools": [
    "Cursor",
    "Claude Code",
    "Codex"
  ],
  "stack": [
    "TypeScript"
  ],
  "tags": [
    "dependencies",
    "hallucination",
    "security"
  ],
  "difficulty": null,
  "updated": "2026-06-08",
  "markdown": "Eine häufige und gefährliche Fehlfunktion: Der Agent importiert ein Paket, das nicht existiert – oder schlimmer noch, eines, das ein Squatter registriert hat, um dem halluzinierten Namen zu entsprechen.\n\n## Das Symptom\n\nDer Agent schreibt einen Import für ein plausibel klingendes Paket und fügt es zu `package.json` hinzu, aber die Installation schlägt fehl oder zieht ein unbekanntes Paket.\n\n```txt\nimport { magicValidate } from \"zod-magic-helpers\"; // does not exist\n```\n\n## Warum es passiert\n\nModelle erkennen Muster in Namenskonventionen („Es gibt wahrscheinlich ein `-helpers`-Paket“) und generieren Namen, die *echt* klingen. Dies ist die Grundlage für „Slopsquatting“-Angriffe auf die Lieferkette.\n\n## Wie man es erkennt\n\n- Eine Abhängigkeit, die Sie nicht erkennen, taucht im Diff auf.\n- Das Paket hat fast keine Downloads oder wurde erst vor kurzem veröffentlicht.\n- Die Installation löst einen Namen auf, der nur ein Zeichen von einem beliebten Paket entfernt ist.\n\n## Wie man es behebt\n\n```txt\n[ ] Verify every new dependency exists and is the one you intend\n[ ] Check weekly downloads + repo link before installing\n[ ] Prefer packages already in the lockfile\n[ ] Pin versions; review the lockfile diff\n```\n\n## Fix-Prompt\n\n```txt title=\"Fix Prompt\"\nYou added a dependency I can't verify. List every new package, its npm URL,\nand weekly download count. Replace any unverified package with a standard,\nwidely-used alternative or inline the logic instead.\n```\n\n## Test\n\n```bash\nbun pm view <package> 2>/dev/null || echo \"DOES NOT EXIST\"\n```"
}