의존성 위험: AI가 지어낸 패키지

현대 앱은 수십 개의 서드파티 패키지에 기댄다, 그리고 AI는 그것들을 거리낌 없이 제안한다. 두 가지 위험이 따라온다.

첫째, 타이포스쿼팅과 환각 패키지. 공격자들은 진짜와 머리카락 한 올 차이 나는 이름의 악성 패키지를 게시해서(requests 대신 reqeusts) 오타에 베팅한다. AI는 때때로 존재하지도 않는 패키지를 자신만만하게 import하는데 — 그 습관을 눈치챈 공격자는 그 정확한 이름을 멀웨어를 넣어 등록할 수 있다. AI가 제안하는 무언가를 설치하기 전에 한번 살펴보라: 실제로 존재하는가, 진짜 다운로드 수와 저장소가 있는가, 이름은 당신이 예상하는 철자대로인가?

둘째, 검증되지 않은 의존성 일반. 당신이 추가하는 모든 패키지는 당신 앱의 모든 접근 권한으로 실행되는 코드다. 의존성이 많다는 건 버그와 공급망 공격 양쪽 모두에 대한 표면이 더 넓어진다는 뜻이다. 무명의 긴 꼬리보다 적고 잘 알려진 라이브러리를 선호하고, 하나를 추가하기 전에 *"이것에 정말 패키지가 필요한가, 아니면 열 줄짜리인가?"*를 물어라.

당신 생태계의 audit 도구를 주기적으로 돌려라(npm audit, pip-audit 등등) — 이미 설치한 것들에서 알려진 취약점을 표시해주고, AI는 그것이 보고한 것을 잘 고친다.