Quelques jours après les critiques de Linus torvalds sur la liste de sécurité Linux submergée par les rapports générés par IA, Artem Golubin a fait une analyse des paquets déposés sur PyPi, le principal dépôt pour Python. Depuis 1 an, +30 % de paquets par semaine ! Il évoque un nombre croissant de paquets générés par vibe coding / IA et qui provoquent des faux positifs quand Artem lance des outils d'analyses. 

Il évoque un abus d'usage de evel, exec et subprocess ce qui peut être mal vu par les outils d'analyse. Parfois ces paquets sont vus comme des malwares. Pour lui, cette croissance met une pression sur les mainteneurs de PyPi et l'infrastructure qui doivent gérer. 

Autre constat, des paquets sont publiés de nombreuses fois. Il remarque ainsi que esdd-client a été publé 392 fois en avril et autant en mars. "Pourquoi publier un même paquet 392 fois en une seule journée ? C'est un comportement abusif."

Pour Artem conclut : si cette tendance se poursuit, il sera de plus en plus difficile d'avoir un PyPi stable et sécurisé. Le dépôt a déjà du mal à détecter les véritables paquets compromis, si les faux positifs se multiplient, il deviendra impossible de distinguer les bons et les mauvais paquets.

Source : https://rushter.com/blog/pypi-packages/

Sur le commentaire de Linus : https://www.theverge.com/tech/932312/linus-torvalds-linux-ai-security-bugs