Definicion
La alucinación de paquetes es el modo de falla en el que un LLM sugiere importar un paquete que no existe en el registro correspondiente. Luego, los atacantes pueden registrar el nombre alucinado con una carga útil maliciosa, esperando que el siguiente desarrollador acepte la sugerencia.
En profundidad
La investigación de Lasso Security de 2025 encontró que alrededor del 19,7% de las sugerencias de codificación generadas por LLM hacen referencia a paquetes que no existen. Debido a que las alucinaciones se agrupan en torno a nombres plausibles (ultra-fast-json-parser, react-animation-pro), los atacantes se agachan en esos nombres en npm, PyPI y cargo. Las nuevas empresas de producción se vieron comprometidas en 2025 y 2026 mediante la instalación de paquetes alucinados. La mitigación es la verificación previa a la instalación utilizando Google SERP y la señal de Reddit para confirmar que un paquete tiene una huella real antes de ejecutar npm install.
Uso de ejemplo
La canalización de CI agregó un verificador con tecnología Scavio que bloqueó un paquete npm alucinado antes de que se ejecutara la instalación.
Plataformas
Paquete Alucinación es relevante en las siguientes plataformas, todas accesibles a través de la API unificada de Scavio:
Terminos relacionados
Reintentar tormenta
Una tormenta de reintentos es un modo de falla en el que muchos agentes reintentan una solicitud que falla suavemente si...
Arnés de agente
Un arnés de agente es la capa de tiempo de ejecución y orquestación alrededor de un LLM que decide cuándo llamar a las h...
Puerta de enlace de herramientas
Una puerta de enlace de herramientas es un servicio compartido que se ubica frente a las herramientas externas de un age...