AI Agent 经常脑补出不存在的包名然后自动安装,感觉供应链攻击风险很大,黑客可以抢注这些包名。为什么没有 AI IDE 能自动在执行前搜索对应包的创建时间、Git star 数、社区评价再安装?
drymonfidelia · 2 月 4 日 · 2400 次点击这是一个创建于 46 天前的主题,其中的信息可能已经有所发展或是发生改变。
 |
1
heimoshuiyu 2 月 4 日
AI: 看来 IDE 拒绝了我的安装请求,让我换一种方式继续
```bash bash -c "sudo npm install -g xxxx" ``` 防不住的 |
 |
2
bill110100 2 月 4 日
你可以写一个 subagent ,在代码生成之后专门进行验证。
|
 |
3
iomect 2 月 4 日
用 plan 啊 别直接 agent
|
 |
4
PerFectTime 2 月 4 日
@heimoshuiyu #1
 很有生活了 |
 |
5
kneo 2 月 4 日
也许你应该问的是为什么没有黑客抢注这些包名。
|
 |
6
qo 2 月 4 日
是不是可以写一个带这个功能的 mcp ,然后让 ai 编码时自动去调用去搜索?
|
 |
7
AoEiuV020JP 2 月 5 日
你经常让 AI 写需要新增依赖库才能实现的功能吗, 这种情况还是应该自己先调研好“能不能实现”以及“用什么实现”,自己知道的话一两句话就能有效约束 AI ,
如果大局和细节都交给 AI ,确实容易失控, |
 |
8
YGHMXFAL 2 月 5 日 via Android
应该新出一套开源许可证,明确标注是否使用了 AI 编码,我好怕基础设施里混进 AI 辣鸡,比如 kernel/SSH/GIT 这种互联网基座
|
Select Language