Risco de dependências: o pacote que a IA inventou
Apps modernos se apoiam em dezenas de pacotes de terceiros, e a IA os sugere livremente. Dois riscos andam junto.
Primeiro, typosquatting (registro de nomes parecidos por engano de digitação) e pacotes alucinados. Atacantes publicam pacotes maliciosos com nomes quase idênticos aos reais (reqeusts em vez de requests), apostando num erro de digitação. A IA às vezes importa com confiança um pacote que não existe — e um atacante que percebe esse hábito pode registrar exatamente esse nome com malware dentro. Antes de instalar qualquer coisa que a IA sugerir, dê uma olhada: será que existe mesmo, tem números reais de download e um repositório, o nome está escrito do jeito que você esperaria?
Segundo, dependências não verificadas em geral. Todo pacote que você adiciona é código rodando com acesso total ao seu app. Mais dependências significa mais superfície tanto para bugs quanto para ataques de cadeia de suprimentos. Prefira poucas bibliotecas bem conhecidas em vez de uma longa cauda de pacotes obscuros, e pergunte "a gente realmente precisa de um pacote para isso, ou são dez linhas?" antes de adicionar um.
Rode a ferramenta de auditoria do seu ecossistema periodicamente (npm audit, pip-audit, e afins) — ela sinaliza vulnerabilidades conhecidas no que você já instalou, e a IA é boa em corrigir o que ela relata.