# So beheben Sie, dass KI-Codierungsagenten erfundene npm-Pakete erstellen

> Warum KI-Agenten npm-Pakete halluzinieren, die nicht existieren, wie man es erkennt und wie man es stoppt.

**Type:** Failure  
**Tools:** Cursor, Claude Code, Codex  
**Stack:** TypeScript  
**Updated:** 2026-06-08

---

Eine häufige und gefährliche Fehlfunktion: Der Agent importiert ein Paket, das nicht existiert – oder schlimmer noch, eines, das ein Squatter registriert hat, um dem halluzinierten Namen zu entsprechen.

## Das Symptom

Der Agent schreibt einen Import für ein plausibel klingendes Paket und fügt es zu `package.json` hinzu, aber die Installation schlägt fehl oder zieht ein unbekanntes Paket.

```txt
import { magicValidate } from "zod-magic-helpers"; // does not exist
```

## Warum es passiert

Modelle erkennen Muster in Namenskonventionen („Es gibt wahrscheinlich ein `-helpers`-Paket“) und generieren Namen, die *echt* klingen. Dies ist die Grundlage für „Slopsquatting“-Angriffe auf die Lieferkette.

## Wie man es erkennt

- Eine Abhängigkeit, die Sie nicht erkennen, taucht im Diff auf.
- Das Paket hat fast keine Downloads oder wurde erst vor kurzem veröffentlicht.
- Die Installation löst einen Namen auf, der nur ein Zeichen von einem beliebten Paket entfernt ist.

## Wie man es behebt

```txt
[ ] Verify every new dependency exists and is the one you intend
[ ] Check weekly downloads + repo link before installing
[ ] Prefer packages already in the lockfile
[ ] Pin versions; review the lockfile diff
```

## Fix-Prompt

```txt title="Fix Prompt"
You added a dependency I can't verify. List every new package, its npm URL,
and weekly download count. Replace any unverified package with a standard,
widely-used alternative or inline the logic instead.
```

## Test

```bash
bun pm view <package> 2>/dev/null || echo "DOES NOT EXIST"
```