检查点：AI代码助理的“幽灵依赖”危机，这是全

生成的AI正在深层更改软件工程过程。堆栈Overflow 2024全球开发人员调查显示，有76％的受访者有或计划在编码过程中使用AI工具，而“ AI代码写作”逐渐成为主要工作方式。在中国，这一趋势同样快 - 2024年中国开发商调查报告，有69％的国内开发商已经在阳光明媚的活动中使用了AI工具。幻觉和“ slopsquatting”攻击攻击了一项由三所美国大学在2025年一起释放的研究表明，当大语模型的开放资源生成代码时，平均有21.7％的依赖套件是“幻觉” - 他们在NPM或PYPI仓库中都不存在；业务模型的比例也达到5.2％。基于此，theattacks源自“ slopsquatting”（特别是监视AI软件包的名称），并与它们注册，然后种植恶意代码。当开发人员接受这绝对是助手的建议，它可以在CI/CD管道中自动编写特洛伊木马依赖性，而恶意代码从发展环境传播到劳动力系统。到2023年底，Huggingface-CLI事件是一个警钟。该名称最初是由AI助手反复产生的“幽灵依赖性”。在研究人员的PYPI上注册后，它在短短几天内被数千个开发人员下载并包括在内。幸运的是，测试包不是通过恶意有效载荷种植的。如果它是一个大规模运行的真正黑客，那么相同的弱点就足以制定“命中” theGlobal项目。检查要点：“ AI相比”的供应链安全性的新想法是指依靠AI助手的开发人员生成的“信任真空”的研究。在这方面，检查点继续强调“ AI”方法的重要性c在过去的几年中。依赖性弱点，毫无疑问，AI盲目地信任这些建议的依赖性差异NT减少幻觉的方法，包括获得增强发电（RAG）和进行精细维修。尽管这些方法大大降低了幻觉的范围（多达85％），但他们还引入了主要的权衡，对整体质量代码产生了不利影响。它强调了需要一个全面的安全解决方案，该解决方案提供了威胁的积极认同而不牺牲发展效率。结论在AI编码中的援助使发展速度达到了更高的水平，并将供应链保护推向了前所未有的“速度”。当“幽灵依赖”成为一个新的攻击门户时，只需使用更智能，更积极的安全功能与AI开发模型匹配，我们将维护软件供应链的最终防御线。