Vibe-coding и зависимости: как не дать Claude и Cursor затащить дырявый пакет

Значимый прорыв формирует отрасль ИИ: На прошлой неделе я попросил Claude Code добавить рендеринг markdown в проект. Через секунду в зависимостях появился flutter_markdown — нормальный пакет от flutter. dev, паблишер проверенный.

А потом случайно открыл его карточку, а там прямо в шапке: «This project has been discontinued, and will not receive further updates. » Пакет уже больше года как мёртв. Другой пример: Cursor добавляет minio/minio:latest в docker-compose для S3-совместимого хранилища.

Только репозиторий архивирован 25 апреля 2026 года, и MinIO Inc. толкает всех в коммерческий AIStor. В статье разбираю: — что такое slopsquatting и почему эта атака работает только из-за ИИ-агентов; — что показала USENIX Security 2025 на 576 000 примерах кода (спойлер: 19,7% рекомендованных LLM пакетов вообще не существуют); — что реально творилось с npm и PyPI в 2024–2025 — от ultralytics до Shai-Hulud-червя и атаки на chalk с 2 млрд weekly downloads; — готовый skill для Claude Code, который заставит агента проверять пакет до установки.

Событие, по словам экспертов, усилит конкуренцию в сфере ИИ.