Mastodawn

Vibe-coding и зависимости: как не дать Claude и Cursor затащить дырявый пакет

На прошлой неделе я попросил Claude Code добавить рендеринг markdown в проект. Через секунду в зависимостях появился flutter_markdown — нормальный пакет от flutter.dev, паблишер проверенный. Я нажал accept. А потом случайно открыл его карточку, а там прямо в шапке: «This project has been discontinued, and will not receive further updates.» Пакет уже больше года как мёртв. Другой пример: Cursor добавляет minio/minio:latest в docker-compose для S3-совместимого хранилища. Только репозиторий архивирован 25 апреля 2026 года, и MinIO Inc. толкает всех в коммерческий AIStor. В статье разбираю: — что такое slopsquatting и почему эта атака работает только из-за ИИ-агентов; — что показала USENIX Security 2025 на 576 000 примерах кода (спойлер: 19,7% рекомендованных LLM пакетов вообще не существуют); — что реально творилось с npm и PyPI в 2024–2025 — от ultralytics до Shai-Hulud-червя и атаки на chalk с 2 млрд weekly downloads; — готовый skill для Claude Code, который заставит агента проверять пакет до установки.

https://habr.com/ru/articles/1051000/

#slopsquatting #supply_chain #Claude_Code #Cursor #vibe_coding #npm #pypi #безопасность_зависимостей

Vibe-coding и зависимости: как не дать Claude и Cursor затащить дырявый пакет

Когда пакет тебе выбирает нейронка На прошлой неделе я попросил Claude Code добавить рендеринг markdown в проект. Через секунду в зависимостях появился flutter_markdown , нормальный пакет от...

Хабр

Habr Jun 18

AI-ассистент пишет код: 8 антипаттернов, из-за которых он падает в проде

AI-ассистент пишет код быстрее — и ломает прод чаще. Звучит как парадокс, но цифры 2026 года это подтверждают: pull request'ов на разработчика стало на 20% больше, а инцидентов на каждый PR — на 23,5%. Самое неприятное, что эти баги почти не видны на ревью: код чистый, тесты зелёные, апрув за пять минут — а через неделю алерт. Разобираем восемь антипаттернов, которые ловят даже сеньоров: от галлюцинированных зависимостей и slopsquatting до context rot и архитектуры, которая по кускам деградирует в God Service. На каждый — симптом, причина, последствия и конкретное исправление. Плюс готовый чек-лист ревьюера AI-кода, который можно забрать и повесить рядом с шаблоном PR.

https://habr.com/ru/companies/otus/articles/1047046/

#AIассистент #антипаттерны #code_review #качество_кода #безопасность_цепочки_поставок #разработка_с_ai #slopsquatting

AI-ассистент пишет код: 8 антипаттернов, из-за которых он падает в проде

Всем привет, меня зовут Сергей Прощаев, и в этой статье я расскажу про антипаттерны работы с AI-ассистентом кода — те, из-за которых сгенерированный код спокойно проходит ревью, мёржится с зелёными...

Хабр

bot Apr 17

네임스페이스 메뚜기 떼: AI가 잠식한 패키지 저장소의 위기

최근 3년간 RubyGems, npm 등 주요 저장소에 200만 개의 신규 패키지가 등록되었으나, 대다수는 AI가 생성한 저품질의 중복 패키지이거나 이름 선점용이다.

🔗 원문 보기

네임스페이스 메뚜기 떼: AI가 잠식한 패키지 저장소의 위기

최근 3년간 RubyGems, npm 등 주요 저장소에 200만 개의 신규 패키지가 등록되었으나, 대다수는 AI가 생성한 저품질의 중복 패키지이거나 이름 선점용이다.

Ruby-News | 루비 AI 뉴스

Foojay.io Apr 9

This article is adapted from The Confidence Trap, part of the "2026 Supply Chain Reckoning" series on my No Regressions newsletter. Your boss calls you on a Friday afternoon. He's read all the available data, he tells you with absolute confidence, and he's decided that migrating from Spring Boot...
#ai #codegeneration #copilot #hallucination #Java #LLM #maven #slopsquatting #softwaresecurity #supplychainsecurity
https://foojay.io/today/why-java-developers-over-trust-ai-dependency-suggestions/

Why Java Developers Over-Trust AI-Generated Code

AI coding tools sound confident even when they're wrong. Here's the psychology behind why Java developers accept bad suggestions — and habits that help.

foojay

Show thread

Hunter Perrin Mar 27

#AI #code often includes references to non-existent dependencies. These references are commonly called “#hallucinations”. A new type of #attack has arisen that involves an attacker registering a package whose name is frequently hallucinated. When AI code containing this #hallucination is accepted, and this dependency is installed, the attacker can ship #malicious code into the project’s build, introducing a major #security vulnerability. This type of attack has become known as “#slopsquatting”.

Habr Sep 14, 2025

Фантазии LLM воплощаются в реальности — фальшивые опенсорсные библиотеки

LLM придумывает названия несуществующих библиотек и предлагает разработчикам-вайбкодерам пользоваться ими. Если есть спрос — возникнет и предложение. Вскоре эти библиотеки действительно появляются в реальности , но уже с вредоносным кодом.

https://habr.com/ru/companies/globalsign/articles/946872/

#llm #галлюцинации #slopsquatting #генерация_кода #фальшивки

Фантазии LLM воплощаются в реальности — фальшивые опенсорсные библиотеки

Использование галлюцинаций LLM для распространения вредоносного кода через опенсорсные репозитории В результате галлюцинаций чатботов в интернете возникли потоки трафика к несуществующим сайтам в...

Хабр

Tomi Aug 9, 2025

**Check this out: techno feudalism, chatons, slopsquatting and more (9. 8. 2025)**

The future is not self-hosted: https://www.drewlyton.com/story/the-future-is-not-self-hosted

(Self-sustainable organic farms (and self-hosted IT stuff) are a nice idea, but they are difficult to maintain in ‘island mode’. Are community owned shared data servers a solution?)

Chatons: https://www.chatons.org/en/presentation

(Examples of community data servers in France)

Your first FOSS contribution: https://collaboraonline.github.io/post/easyhacks/

(If you’re masochistic enough to join FOSS development and don’t know where to start, well, you can do it here. A list of open issues that are ‘easy’ solvable.)

Slopsquatting: https://en.wikipedia.org/wiki/Slopsquatting

(If you’re using LLM for code generation and then you install a non-existing library (that is hosted by the attacker), well, it’s your own fault.)

Home Assistant and 433Mhz devices: https://www.wswapps.com/books/home-assistant/page/433-mhz-devices

(You want to see what are your neighbours’ devices, like garage opener, up to? )

Nice fonts – 7 and 14-segment display: https://www.keshikan.net/fonts-e.html

(You never know when you need retro-style display fonts)

Replace your Windows 10 with Linux, https://endof10.org/

(Windows 10 support is running out soon. Don’t buy a new computer, shoot yourself in the foot with a Linux! You will limp, but you’ll be free from mass-scale espionage.)

How to detect AI writing: https://en.wikipedia.org/wiki/Wikipedia:Signs_of_AI_writing

(Forget AI detector tools, hoomanz are also able to detect AI slop. Actually, the signs of slop are pretty straight forward. AI sounds like you listened to a hyped ultra positive grifter salesman/politician)

https://blog.rozman.info/check-this-out-techno-feudalism-chatons-slopsquatting-and-more-9-8-2025/

#endof10 #fonts #FOSS #homeassistant #LLM #slopsquatting

The Future is NOT Self-Hosted

In a world where corporations have detached buying from owning, one man attempts to do something radical: build his own cloud.

Drew Lyton

Glyn Moody Aug 7, 2025

#Slopsquatting: nabbing nonexistent names AI chatbots likely to hallucinate - https://boingboing.net/2025/08/06/slopsquatting-nabbing-nonexistent-names-ai-chatbots-likely-to-hallucinate.html

Karl Voit

Aug 6, 2025

"#Slopsquatting is a type of #cybersquatting. It is the practice of registering a non-existent software package name that a large language model (#LLM) may hallucinate in its output, whereby someone unknowingly may copy-paste and install the #software package without realizing it is #fake."

https://en.wikipedia.org/wiki/Slopsquatting

Slopsquatting - Wikipedia

trusty falxter 🧠

Aug 6, 2025

Ok, ich lass mich mal zu einer #Prophezeiung hinreißen.

#Slopsquatting ist ja ein alter Hut.

Aber was haltet ihr von #Slopswatting? Also das gezielte Platzieren von Falschinfos im Internet, sodass AI-aided Policing-Systeme kunkludieren, dass eine bestimmte Person ein ganz gefährlicher Gefährder ist, den man mal hochnehmen sollte?