Lekker jezelf een securitynachtmerrie vibecoden
14 april, 2025 ✍️ Reinier Ladan
Als je lekker aan het vibe-coden bent, heb je vaak niet meteen door dat de AI die je gebruikt soms tools verzint die helemaal niet bestaan. Deze fictieve ‘dependencies’ probeert de AI van het internet te halen om in je software te integreren – zonder succes natuurlijk.
Maar het wordt echt een security-nachtmerrie wanneer de AI steeds dezelfde niet-bestaande tool blijft "hallucineren" en iemand met kwade bedoelingen besluit om deze tool daadwerkelijk online aan te bieden, compleet met malafide code.
Dit fenomeen bestaat al en staat bekend als slopsquatting.
Even worse, when you Google one of these slop-squatted package names, you’ll often get an AI-generated summary from Google itself confidently praising the package, saying it’s useful, stable, well-maintained. But it’s just parroting the package’s own README, no skepticism, no context. To a developer in a rush, it gives a false sense of legitimacy.