# Cómo Solucionar que los Agentes de Codificación de IA Inventen Paquetes npm Falsos

> Por qué los agentes de IA alucinan paquetes npm que no existen, cómo detectarlo y cómo detenerlo.

**Type:** Failure  
**Tools:** Cursor, Claude Code, Codex  
**Stack:** TypeScript  
**Updated:** 2026-06-08

---

Un fallo común y peligroso: el agente importa un paquete que no existe — o peor, uno que un ocupante ha registrado para coincidir con el nombre alucinado.

## El síntoma

El agente escribe una importación para un paquete de nombre plausible y lo añade a `package.json`, pero la instalación falla o extrae un paquete desconocido.

```txt
import { magicValidate } from "zod-magic-helpers"; // does not exist
```

## Por qué sucede

Los modelos buscan patrones en las convenciones de nomenclatura ("probablemente haya un paquete `-helpers`") y generan nombres que *suenan* reales. Esta es la base de los ataques a la cadena de suministro de "slopsquatting".

## Cómo detectarlo

- Aparece una dependencia que no reconoces en el diff.
- El paquete tiene descargas casi nulas o se publicó muy recientemente.
- La instalación resuelve un nombre que difiere en un carácter de un paquete popular.

## Cómo solucionarlo

```txt
[ ] Verify every new dependency exists and is the one you intend
[ ] Check weekly downloads + repo link before installing
[ ] Prefer packages already in the lockfile
[ ] Pin versions; review the lockfile diff
```

## Prompt de corrección

```txt title="Fix Prompt"
You added a dependency I can't verify. List every new package, its npm URL,
and weekly download count. Replace any unverified package with a standard,
widely-used alternative or inline the logic instead.
```

## Prueba

```bash
bun pm view <package> 2>/dev/null || echo "DOES NOT EXIST"
```