P PasteCode
es
English en 中文 zh Deutsch de Français fr Español es Português pt
Error

Cómo Solucionar que los Agentes de Codificación de IA Inventen Paquetes npm Falsos

Por qué los agentes de IA alucinan paquetes npm que no existen, cómo detectarlo y cómo detenerlo.

CursorClaude CodeCodex TypeScript
.md .json Actualizado 8 jun 2026

Un fallo común y peligroso: el agente importa un paquete que no existe — o peor, uno que un ocupante ha registrado para coincidir con el nombre alucinado.

El síntoma

El agente escribe una importación para un paquete de nombre plausible y lo añade a package.json, pero la instalación falla o extrae un paquete desconocido.

import { magicValidate } from "zod-magic-helpers"; // does not exist

Por qué sucede

Los modelos buscan patrones en las convenciones de nomenclatura (“probablemente haya un paquete -helpers”) y generan nombres que suenan reales. Esta es la base de los ataques a la cadena de suministro de “slopsquatting”.

Cómo detectarlo

  • Aparece una dependencia que no reconoces en el diff.
  • El paquete tiene descargas casi nulas o se publicó muy recientemente.
  • La instalación resuelve un nombre que difiere en un carácter de un paquete popular.

Cómo solucionarlo

[ ] Verify every new dependency exists and is the one you intend
[ ] Check weekly downloads + repo link before installing
[ ] Prefer packages already in the lockfile
[ ] Pin versions; review the lockfile diff

Prompt de corrección

Fix Prompt
You added a dependency I can't verify. List every new package, its npm URL,
and weekly download count. Replace any unverified package with a standard,
widely-used alternative or inline the logic instead.

Prueba

Terminal window
bun pm view <package> 2>/dev/null || echo "DOES NOT EXIST"
Etiquetas: DependenciesHallucinationSecurity

Relacionados