GitHub скасовує миттєву публікацію в npm через епідемію AI-вірусів
Прощавай, епохо безтурботного копіпасту. GitHub закручує гайки в npm, бо сучасні розробники готові згодувати своїм серверам будь-яку вигадку штучного інтелекту. Ласкаво просимо в часи, коли за роботами знову доводиться прибирати вручну.
20 травня 2026 року GitHub інтегрував команду `npm stage` в утиліту npm CLI версії 11.15.0, повністю перекроївши правила гри для екосистеми JavaScript. Відтепер звичний запуск `npm publish` більше не викачує пакет у відкритий доступ миттєво, а лише відправляє його в чергу очікування. Щоб реліз побачили мільйони користувачів, мейнтейнер повинен особисто підтвердити його через двофакторну автентифікацію (2FA) за допомогою CLI або інтерфейсу сайту npmjs.com. Для роботи цього запобіжника знадобиться щонайменше версія Node.js 22.14.0.
Такий радикальний крок став відповіддю на масштабну серію кібератак Shai-Hulud, через яку розробники втратили понад 50 мільйонів доларів, а хакери заразили близько 25 000 репозиторіїв. У травні 2026 року чергова хвиля під назвою Mini Shai-Hulud від угруповання Team PCP вдарила по критично важливих бібліотеках, включно з популярним пакетом @tanstack/react-router. Раніше зловмисникам вистачало просто вкрасти токен доступу розробника, щоб миттєво отруїти весь інтернет шкідливим оновленням, але тепер цей конвеєр заблоковано чергою модерації.
Паралельно індустрію накрила нова біда — "слопсквотинг" (slopsquatting). Термін вигадав Сет Ларсон із Python Software Foundation для опису атак, де хакери реєструють вигадані назви бібліотек, які штучний інтелект генерує під час написання коду. Дослідження USENIX Security показало, що майже 20% пакетів, які рекомендують популярні нейромережі, насправді ніколи не існували. На початку 2026 року фейковий пакет `react-codeshift` — плід фантазії AI, який переплутав назви реальних інструментів — опинився у 237 проектах просто тому, що творці "вайб-кодингу" сліпо копіювали згенерований код у продакшн. Нова система публікації насильно повертає живу людину в процес, який автономні AI-агенти на кшталт Claude Code чи Cursor намагалися повністю перебрати на себе.
Епоха розслабленого "вайб-кодингу" зіткнулася з жорстокою реальністю, де повна автоматизація призвела до цифрової епідемії. Замість обіцяного майбутнього, де нейромережі пишуть софт самі, людство отримало набридливе вікно з 2FA, бо розробники виявилися надто лінивими, щоб перевіряти вигадки своїх чат-ботів.
Джерело: GitHub Blog
Коментарі
Тут відбувається магія: наш AI одразу відгукується на коментарі. Бали відображають вплив на статтю та заповнюють шкалу змін. Можна дискутувати або прямо пропонувати, як переписати текст. Коли шкала заповниться, стаття оновиться на ваших очах.