AI hallucineert bij 28 procent van de dependency-upgrades

In dit artikel:

Sonatype waarschuwt dat AI-gestuurde aanbevelingen voor dependency-upgrades flinke schade kunnen aanrichten wanneer die niet gecontroleerd worden op echte bronnen. Uit hun onderzoek blijkt dat 27,76% van de voorgestelde versies helemaal niet bestaat — sprake van hallucinaties die ontwikkelaars tijd kosten — en dat AI daarnaast soms wel bestaande maar onveilige of policy-schendende versies aanbeveelt, inclusief kwetsbare of mogelijk kwaadaardige packages. Dat leidt tot kapotte pipelines en verminderd vertrouwen in automatisering.

De schaal van package-ecosystemen maakt het probleem urgenter: registries als Maven Central, PyPI, npm en NuGet verwerken jaarlijks ongeveer 9,8 biljoen downloads; alleen op Maven Central veroorzaken de drie grootste cloudproviders meer dan 108 miljard requests. Tegelijk nam het aantal malafide packages toe: in 2025 werden 454.648 nieuwe malicious packages geregistreerd, waardoor het totaal sinds 2019 ruim 1,23 miljoen bereikt.

Bovendien ontbreekt bij 65% van de open-source CVE’s een door NVD toegekende CVSS-score, wat prioritering van risico’s bemoeilijkt, upgrades vertraagt en teams laat gokken welke issues cruciaal zijn. Advies uit de context: controleer AI-aanbevelingen altijd tegen betrouwbare registries en securityfeeds, gebruik policy- en vulnerability-scans, en maak beleid (bijv. pinnen, SBOMs, vertrouwde mirrors) om het risico van zowel hallucinaties als echte kwaadaardige versies te beperken.