AI die dependency-upgrades aanbeveelt zonder controle op echte bronnen creëert een gevaarlijke situatie. Uit nieuw onderzoek blijkt dat 27,76 procent van de aanbevelingen verwijst naar versies die niet eens bestaan. Dit betekent fors wat fictieve versies die ontwikkelaars kostbare tijd kosten.
Dat blijkt uit cijfers van Sonatype. Het probleem gaat verder dan enkel hallucinaties. AI kan ook bestaande maar gevaarlijke versies aanbevelen. Denk aan kwetsbare software, malware of packages die buiten het bedrijfsbeleid vallen. Voor ontwikkelaars leidt dit tot kapotte pipelines en verloren vertrouwen in automatisering.
Registries als Maven Central, PyPI, npm en NuGet verwerken tegenwoordig 9,8 biljoen downloads per jaar. De top drie cloudproviders genereren op Maven Central alleen al meer dan 108 miljard requests.
Aanvallers profiteren van kwetsbaarheden
In 2025 logde men wereldwijd 454.648 nieuwe malicious packages. Het totaal sinds 2019 komt daarmee op ruim 1,233 miljoen. Dat laat volgens Sonatype aanhoudende druk zien op ecosystemen die oorspronkelijk open en toegankelijk werden ontworpen.
Tegelijk ontbreekt bij 65 procent van de open source CVE’s een NVD-toegewezen CVSS-score. Die missende data is niet neutraal. Het creëert chaos bij het prioriteren van risico’s, vertraagt upgrades en laat teams gissen naar wat écht belangrijk is.
Tip: Lazarus-hackers gebruiken open-source tools voor malware-infectie