Risiko dependensi: paket yang direka-reka AI
Aplikasi modern mengandalkan lusinan paket pihak ketiga, dan AI menyarankannya dengan bebas. Dua risiko ikut serta.
Pertama, typosquatting dan paket halusinasi. Penyerang menerbitkan paket jahat dengan nama yang mirip sekali dengan yang asli (reqeusts alih-alih requests), bertaruh pada sebuah typo. AI kadang dengan percaya diri mengimpor paket yang tidak ada — dan penyerang yang memperhatikan kebiasaan ini bisa mendaftarkan nama persis itu berisi malware. Sebelum menginstal apa pun yang disarankan AI, lirik dulu: apakah ia benar-benar ada, apakah punya angka unduhan yang nyata dan sebuah repo, apakah namanya dieja seperti yang kamu duga?
Kedua, dependensi yang tidak diperiksa secara umum. Setiap paket yang kamu tambahkan adalah kode yang berjalan dengan akses penuh aplikasi kamu. Lebih banyak dependensi berarti lebih banyak permukaan untuk bug maupun serangan rantai pasokan (supply-chain). Pilih lebih sedikit library yang terkenal baik ketimbang antrean panjang library yang tidak jelas, dan tanyakan "apakah kita benar-benar butuh sebuah paket untuk ini, atau cukup sepuluh baris kode?" sebelum menambahkannya.
Jalankan alat audit ekosistem kamu secara berkala (npm audit, pip-audit, dan sejenisnya) — ini menandai kerentanan yang diketahui pada apa yang sudah kamu instal, dan AI bagus dalam memperbaiki apa yang dilaporkannya.